2015年07月の#ssmjpまとめ
開始 #ssmjp
— #ssmjp info(@_ssmjp)Fri Jul 31 10:00:21 +0000 2015
返信
リツイ
お気に
本日は会場よりwifi環境をご提供いただきました!前のホワイトボードにSSIDなどの情報の記載がございます〜
#ssmjp
#ssmjp
The Web Never Forgets:
Persistent Tracking Mechanisms in the Wild
securehomes.esat.kuleuven.be/~gacar/persist…
#ssmjp
Persistent Tracking Mechanisms in the Wild
securehomes.esat.kuleuven.be/~gacar/persist…
#ssmjp
EvercookieをEverhipと空目したけど、URLはりたくない
#ssmjp
#ssmjp
対策アドインツール: fireglobes、chameleon、adblock plus、etc #ssmjp
RTBとCookie Syncingはボリューム満点なので、後で公開するスライドを読んでねとのことです。
#ssmjp
#ssmjp
トラッキングされてもええよ ていうたから、そにっくんさんはきっと関西人。(違) #ssmjp
ちょうどWebトラッキング系をちょこっとしらべてたところだったので、面白かった!! あとで資料が出れば読んでみます! #ssmjp
Webトラッキングの話。悪用があると、一周してまたJavascript切るべきになったりするかね。#ssmjp
WebのITニュース見てもITの展示会に行っても標的型攻撃の被害をいかに減らすかとゆーのが目につくので、自社でも啓蒙活動をしたいと思ってたところです #ssmjp
自社のWebサイトから推測できる社長のメールアドレス(偽物)をfromにしてデモ用トロイを全社のML宛に送りつけてみたい #ssmjp
今日のニュース記事これのことですな。 #ssmjp
緊急対応依頼が急増、サイバー攻撃対策の理想と現実のギャップが浮き彫りに itpro.nikkeibp.co.jp/atcl/column/14… #ITpro
緊急対応依頼が急増、サイバー攻撃対策の理想と現実のギャップが浮き彫りに itpro.nikkeibp.co.jp/atcl/column/14… #ITpro
今日はこれのアップデートとな #ssmjp
すぐ実践可能!:設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」 (1/4) – @IT atmarkit.co.jp/ait/articles/1…
すぐ実践可能!:設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」 (1/4) – @IT atmarkit.co.jp/ait/articles/1…
Windowsやブラウザの標準の機能を使ってリスクを減らすとゆー事らしい。これはうれしい。 #ssmjp
「Flashを無効にしろという人もいるが、世の中まだまだ使われてます。エロ動画とかエロゲーとか」 #ssmjp
普段はあふwを使ってファイル操作をするので拡張子偽装には絶対に引っかからないけど、一度、アーカイバで開いていてフォルダアイコンに偽装されたトロイ踏んでしまったあの夏の日 #ssmjp
ファイル種別偽装の手段: アイコン変更、二重拡張子、空白文字による拡張子隠し、RLO文字による反転表示など #ssmjp
ファイル名に拡張子つけてそのあとにスペース入れまくって本当に拡張子を隠すのなるほどなぁという感じで好き #ssmjp
パスワードつき圧縮ファイルだとゲートウェイ型のアンチウィルスソフトもすり抜けられるしねw #ssmjp
windowsは独占禁止法でパスワード付きzipファイルの作成ができなかったと。
#ssmjp
#ssmjp
サードパーティの圧縮解凍ソフトを使うと、解凍するときにzoneidが欠落するので警告無くファイルが実行される危険性がある #ssmjp
「Lhaplusなんかで解答するとZone.IDが欠落(元々ないので責られない)してしまうのでセキュリティ的に問題」 #ssmjp
独自のファイルマネージャで開くとかはそもそもExplorerで拡張子表示させとけよって話だと思うので割とどうでも良い気はする #ssmjp
ZoneID、なるほど、維持されるされないでこんな違いがあるのね。そしてWinRARはエラいぞと。#ssmjp
Alternative Data StreamはWindowsの新しいファイルシステムのReFSではサポートされないんですよ。 #ssmjp
添付ファイルをデスクトップにドラッグアンドドロップするとZoneIDが欠落すると。
#ssmjp
#ssmjp
パスワードつき圧縮ファイルでセキュリティ対策やってますよ感出す風潮なくなればいいのに #ssmjp
保護されたビューなー。ファイルサーバから開けた時とかもつくことあるから解除慣れしてしまってあまり意識せずに解除しちゃったりすることありそう。機能自体は割と有効性高そうなので気をつけないと。 #ssmjp
7zipもいつも入れてるけど関連付けはLhaplusにしちゃってるなー。独自ファイルマネージャがなんかうざくて… #ssmjp
lhaplusとか+lhaca使ってる人を多く見かけたので会社で配布する標準PCの環境には7zipをぶっ込んでます。事務の人とか知らぬわ! #ssmjp
「履歴書とかRARで送ってくる人はいないでしょうから」笑ってる人はいけない人あるいはいけない事してた人だと思いますねっ #ssmjp
Windows SmartScreen強そうだけどいまだにWin8にすら上がってない職場環境考えると…… #ssmjp
サードパーティソフトのデフォルト解凍先 + ソフトウェア制限ポリシー運用で頑張れば、意図しないexe実行を防げる #ssmjp
用途を考えたら、たとえば「元ファイルに限らずアーカイバのデフォルトで展開後ファイル全てにZoneIDを付ける」というのは有効かなあ。 #ssmjp
長兄さんには、来月も話してもらうのがいいとおもうんです。 きっと資料倍になってるとおもいますが。。。。 #ssmjp
Laplasを利用するとWindowsが折角デフォルトで搭載している防御機構が台無しになるわけだな。非常によくわかった。
#ssmjp
#ssmjp
今まで知らないようなWindows
の機能が知れて面白かった(まだ終わってない) #ssmjp
の機能が知れて面白かった(まだ終わってない) #ssmjp
Chrome、firefoxではプラグインの設定でflashの実行時に実行確認できる。
#ssmjp
#ssmjp
かっぱえびせん状態 #ssmjp twitter.com/kyokutei_koyo/…
firefoxはclick to play per elementの拡張機能。
IEではEMETを使うと比較的安全にflashを利用できる。#ssmjp
IEではEMETを使うと比較的安全にflashを利用できる。#ssmjp
業務サイト用(IE)、外部閲覧用(Firefox,chrome)でブラウザを分ける、か。なるほど。 #ssmjp
場所非公開の2泊3日のPwn合宿で、6000円ってどこに泊まるの? #ssmjp
あとはブラウザでのFlash対策でしたね。Chromeは設定>プライバシー>Flash(だったかな?)から、Flash Playerの実行タイミングを自分で決める(右クリックから実行)ように変更可能 #ssmjp
Firefoxではアドイン「Click to Play pre-element」で対策。IEではEMETで無効化。あとは…メモみなきゃ #ssmjp
#ssmjp 本物の標的型攻撃対策の話を聞いた。結論、Windowsを賢く使うえば、★百万もするような箱物はいらない。
箱物調達できる予算があれば、社員のPCを、Windows8に更新できるんとちゃうんか?! #ssmjp
今日の話の続きは、来月の #ssmjp で。8/7開催予定だそうですよ。
参考になる / 進化するWebトラッキングの話 #ssmjp slideshare.net/sonickun/web-5…
@tomoki0sanaki ブートパーティションにできるわけでもないですし、設計思想が可能な限りオンラインでエラー検出・復旧、でかいファイルを取り扱うことに向いていると思うので、NTFSとは使い方が違ってくると思いますよ。 #ssmjp
追記
そのあとのツイートを
今日の話の続きは、来月の #ssmjp で。8/7開催予定だそうですよ。
— 北河拓士 KITAGAWA,Takuji(@kitagawa_takuji)Fri Jul 31 14:08:39 +0000 2015
スマホ向けのWebトラッキング技術の進化具合も気になる。 / “進化するWebトラッキングの話 #ssmjp” htn.to/xc7xJC
今回の #ssmjp で衝撃的だったのが、メーラーで添付ファイルを「名前を付けて保存」だとZoneIDが付加されるが、「ドラッグアンドドロップ」だと付加されないという事実を知ったことだった
#ssmjp 多分、標的型攻撃で被害が出ていない組織は、「狙われていない」or「狙われているけど、この手の標準的機能を粛々と活用していて跳ね返している」のどちらかかもしれない。
北河さん枠で2時間とは吹いたw確かにそのぐらいのボリュームはありましたね。 #ssmjp 2015/07の2 ssmjp.connpass.com/event/18354/?u…
@0x009AD6_810 医療費通知.exeのような解凍後におとり文書が自動起動されるような自己解凍EXEはWinRARで簡単に作れるというのを見せたので、WinRAR怖いという反応になったのだと思います。
@0x009AD6_810 あと、一般事務員がRARとかのフォーマットを扱う必要もないので、標準のアーカイバで十分じゃない?履歴書をいきなりRARで送信してくる人がいたら、ZIPで再送してもらえば良いだけ。という話です。RARが悪いという話はしていないです。
読んでる。通りで最近はトラッキングをオフにしてもしつこく広告が出続ける訳だ。それにしてもここまで追跡出来るのは正直気味が悪いな。:進化するWebトラッキングの話 #ssmjp bit.ly/1KGD7bz
@kitagawa_takuji そうでしたか、ありがとうございます。ジャンルは違いますが例えば Tor も WinRAR も怖いものだし使っている人は悪いヤツだよねみたいな匂いを勝手に感じてしまったようです。失礼しました。
@kitagawa_takuji 確かに一般事務員ならばそうですね。外部からの問い合わせ窓口だとしても tar.gz で Linuxのログファイルを送ってくる人はいても rar で送ってくる人はいないと思います。AV関連だとパスワード付RARとかもあり得るのかもしれないですが。
@0x009AD6_810 WinRARは非常に良いという評価をしました。ただ、シェアウェアで約3千円なので全社的に導入するのはコストが掛かるし、一般事務員は標準アーカイバで良いんじゃないという話です。
@kitagawa_takuji そうなんです、国内で買う場合サポートなどの面でも DTI 経由にするのが良いのか本国の RARLAB からにするのが良いのかなど議論はあると思います。一般事務員前提だとそこまで高機能である必要もないし標準アーカイバで良いというのには同意です。
Windows 7 HomeのPCをWindows 10 HomeにアップグレードしたらWindows SmartScreenが使えるようになった。 #ssmjp
(続き) #ssmjp
4.右クリックでプロパティを選択し、「このファイルは他のコンピュータから取得したものです」となっていることを確認
4.右クリックでプロパティを選択し、「このファイルは他のコンピュータから取得したものです」となっていることを確認
(続き) #ssmjp
5.自己解凍形式EXEを実行
実行したファイルのハッシュ値がMSのクラウドに送信されレピュテーションを問い合わせる。作成した自己解凍形式EXEは、今まで世に出ていない未知のものなので、レピュテーションがなく、SmartScreenでブロックされる。
5.自己解凍形式EXEを実行
実行したファイルのハッシュ値がMSのクラウドに送信されレピュテーションを問い合わせる。作成した自己解凍形式EXEは、今まで世に出ていない未知のものなので、レピュテーションがなく、SmartScreenでブロックされる。
(続き) #ssmjp
標的型メールに添付されるマルウェアは、アンチウイルスのシグニチャを回避するため、あえて未知のハッシュ値となる様に作ってあるので、レピュテーションがなくSmartScreenでブロックされる。
標的型メールに添付されるマルウェアは、アンチウイルスのシグニチャを回避するため、あえて未知のハッシュ値となる様に作ってあるので、レピュテーションがなくSmartScreenでブロックされる。
(続き) #ssmjp
ただし、SmartScreenのチェックが行われるのはZoneIDが付加されている場合のみなので、ZoneIDが維持されるようなメーラ、アーカイバの組み合わせが重要。
ただし、SmartScreenのチェックが行われるのはZoneIDが付加されている場合のみなので、ZoneIDが維持されるようなメーラ、アーカイバの組み合わせが重要。
(続き) #ssmjp
3.コマンドプロンプトで notepad 自己解凍.exe:Zone.Identifier
新規作成をOKして、下記を貼り付け保存
[ZoneTransfer]
ZoneId=3
3.コマンドプロンプトで notepad 自己解凍.exe:Zone.Identifier
新規作成をOKして、下記を貼り付け保存
[ZoneTransfer]
ZoneId=3
北河さんのセッションで、著名なサードパーティ製アーカイバにおいてZoneIDが維持されるかどうかの挙動の話があったけど、自分の使っているLhazについてはどうなんだろうと気になった。一応独自ファイルマネージャもあるしなー。ためしてみるかしらん。 #ssmjp
最近のコメント