世間はシルバーウィークとやらで、大型連休です。おかげで少し時間が取れました。

Security関連

• PHP 5.2.11 Release Announcement
  • 60以上のバグ修正が取り込まれました。suhoshinは問題なく適用できるんだろうか？
• Results from Webhoneypot project
  • Web honeypotとは。流石sansだなぁ。
• glibcの脆弱性で大量のメモリが割り当てられる - セキュリティ専門家は基盤ソフトウェアに期待させてはならない
  • ああ、NetBSDを使っていたのは正解だった。でもMacOS-Xを使っているのは失敗かも。って、そう言う問題では無いわけですが。
  • 作者の気持ちも判るけど、辛いのも判るけど、でもねぇ。もう少し世間にCodeを公開すると言うことを真剣に考えて欲しいんだわ。特にlibcのような本当にBaseとなるものならばなおさらでしょう。
• オープンソース由来の国産WAFにかける意気込み
  • ああ、凄いなぁ。流石は金床さんだ。

Computer関連

• SYSLOG技術動向
  • syslogについてですね。動向と言うほどのものか？とは思うけど、標準化など結構問題があったのね。
• プログラミング言語のCOBOLが誕生50周年
  • おめでとうございます。旧世代の言語と言われながらも今でもCOBOLは重要な言語であると言うことは言えると思います。これからも頑張って。

その他

• 「しんちゃん」作者の臼井さん、死亡確認　絶壁の岩場
• クレヨンしんちゃん：遺体は作者の臼井さんと確認
  • 合掌。
• 電子申請システム、利用率低迷　検査院が改善要求
  • 是非改善してくれい。使いにくいし判りにくいし、お金がかかるし。もう少し何とかしろよ。
• ニホンミツバチの養蜂に挑む　「セイヨウ」大量死で脚光
  • こういう取り組みは素敵ですね。エコだのなんだの、言葉に踊らされていないで、こういう着実な取り組みに目を向け、本質を追うべきだと思う。
• http://www.asahi.com/science/update/0919/TKY200909190030.html太陽系外に地球型惑星　表面２千度　生命なさそう
  • 太陽系外の地球型惑星の存在を観測できるようになったことがすばらしい。生命があるかどうかはその次の問題。まぁ、500光年では通信は出来ませんけどね。
• 温暖化ストップ、最大年６３兆円の投資必要　世銀報告
  • こういう対策は、出来るだけ実施すべきであることは論を待たない。だけどね、温暖化のプロセスも原因も実は全然わかっていないのに、これで「温暖化ストップ」なんてできるの？
• Ｊ１：浦和、後半に２点挙げ快勝　川崎は今季ホーム初黒星
  • ああ、勝ったか。天皇杯、来年につながる戦いをしてくれ。
• 情報処理学会が鳩山由紀夫氏の寄稿「ITと選挙」と「メディアの将来」を公開
  • なんで情報処理学会？

ここ2日書いてないので、なんか量がありそうではある。

あああ、時間がない。夜にでも更新しよう。(15:50)

というわけで、更新を。(23:30)

Security関連

• Update on the New York Times malicious ads attack
• ニューヨークタイムズのWebサイトに「偽セキュリティソフト」への誘導広告が掲載
• New York Timesをだまして広告契約、マルウェア配信に利用
  • 恐らく世界で一番メジャーな新聞のサイトでこんな事が起こっているようでは、他は推して知るべしという感じですね。
• 「Web 2.0系サイトの投稿コメントは95％がスパムか悪質なコード」，Websense調べ
• 増え続けるWeb攻撃、正規サイトや投稿サイトを悪用
  • まぁ、そんなモンだろうなぁ。
• ブラックマーケットの現状を知る～ノートン2010発表会から
  • これはこれで、そう言うものなんだと現時点では思うしかないねぇ。やった方が得という状況をどう変えるか？は重要です。
• SANS Report: 60% Of All Attacks Hit Web Applications, Most In The U.S.
  • あうあう、こんなに成功されては困ります。今時、Linux-p2p型BotNetまで現れているというのに。でも、管理運用が重たいという事実は確かにあるんだよね。
• 無料のウイルス対策ソフトに対抗馬、独アバイラが日本語版を提供へ
  • 利用者としては嬉しい流れです。だけどね、この種の「定常的に対応することが必要」なシステムを無料にして、どこかでサービスが破綻しないかは凄く心配。
• Subversion の libsvn_delta ライブラリにおける整数オーバーフローの脆弱性
  • ひえぇ、subversionを全部更新しないといけないのか。
• MySQL の dispatch_command 関数におけるサービス運用妨害 (DoS) の脆弱性
  • これもか。更新がマジで大変なんだけど。
• Snort 2.8.5 is out
  • Snortが更新された。うう、連休中にどれだけ作業する必要があるんだろう？
• Wireshark 1.2.2 (and 1.0.9) is out!
  • お、これは便利そう。今度Compileしよう。
• [WARNING] SMB2 脆弱性による Remote Code 実行の恐れ : Windows Vista/2008 Server
  • おお、Remoteからでも実行可能とは。本気でやばいかも。
• 「Yahao!」や「Amazan」にご用心！　ヤフーかたるフィッシングも継続中
  • これ、ちょっと見では絶対に間違えます。目を皿のようにしてよーく見ましょう。
• JPCERT/CC、制御システムセキュリティのWebページを刷新
  • おっ。変更されましたか。
• マルウェア感染・侵入　実態は悪化の一途
  • こういうデータが出ると説得力ありますねぇ。
• パスワードに迫る危機——ユーザーIDとパスワードの使い回しの危険
  • これは身に覚えのない人はほとんど居ないのではないでしょうか？危険なのは判っていても管理を考えるとこうなりますよね。
  • だからってSSOが万能の解決策になるわけではありません。多少の統合が出来る程度という感じでしょうか。
  • 覚えられない→ブラウザに覚えさせる→リスク増大。覚えられない→共通のUID/PASSを使う→リスク増大　…どうしよう。
• 侵入傾向分析レポート Vol.13（LAC JSOC）
  • LACの速報です。
• マルウェア感染は長期化する傾向、半数強が300日以上に
  • そうですね。一度感染すると、OSがおかしくならない限り再インストールはしないし。
• サイバー攻撃の標的はOSからアプリへ――SANS報告書
  • ちゃんと報告書を読んで下さい。現在のトレンドがＯＳからアプリに移ったというだけであって、別にＯＳが狙われなくなったわけではありません。

Computer関連

• エリプシス（ellipsis）と三点リーダ
  • へぇぇ、こういう問題だったのか。…にも色々な理由があるものだ。
• Winny経由で、5年で約3千本の映画などを入手、約1千本を無断配布し逮捕
  • これは交換したファイル数としては少ないなぁ。もし「自分で」エンコードしてアップロードしたのなら、それは凄いなぁ。
• 文字エンコーディングバリデーションは自動化が望ましい
  • 前回の続きです。これも良い記事です。Web上で議論をするならこのくらい整理出来た方がいいですね。
• 狙われるphpMyAdmin、攻撃のきっかけは？
  • あら。やっぱり有名なツールは攻撃手法が確立されやすいんですねぇ。
• フリーのMac用動画編集ソフト2種、相次いで発表
  • どの位使えるんだろう？試してみよう。
• iPhoneをBlackberryに変える外付けキーボード
  • あはは、謎だ。謎すぎる。
• 米国5州の司法長官、「Google Books」和解案に反対を表明
  • こういう部分に関しては、Googleの横暴を許すべきではないでしょうね。
• ハッカーチームがiPhone OS 3.1のJailbreakに成功
  • 戦いは永遠に続く。
• 「違法DLでネット切断」法、修正版が仏下院通過
  • なんだかなぁ。著作権は保護されるべきでしょう。それは認める。もしかして仏蘭西においては著作権侵害って親告罪ではないのか？
  • それ以前に、違法ダウンロードって何だ？そのうち有識者が中立で解説してくれることを望みたい。これはマジで。

その他

• 自民党が撒いた「怪文書」に見る自民党の質的劣化
  • おお、これは凄いなぁ。自民党ってここまで駄目になってたのか。焦ったのはよく判るけどね。馬鹿に付ける薬はないとはよく言ったものだ。
• 民主批判から一転、農水次官「献身的に大臣支えたい」
  • 変わり身が早いですね。
• 人気住宅地も価格下落、高値取得の業者苦虫「売れない」
  • 不動産はどんどん苦しくなってますねぇ。もう少し安くならないかなぁ。
• 「宇宙から見た火山の噴火」画像9選
  • すごい。迫力あるなぁ。
• 「お隣の銀河」：最も高解像度な画像
• 新生ハッブル望遠鏡の宇宙画像8選
  • 本当に美しいですねぇ。やっぱり宇宙には夢があるなぁ。
• 契約前説明と実態が違う～「パソコン内職」に注意喚起（国民生活センター）
  • あえてこっちへ。内職は、このご時世、少しでも足しになるので人気があります。そこにつけ込む悪徳業者も多いわけです。気をつけて下さい。
• 盗撮した映画に“見えない”光くっきり──目とセンサーの違い利用し新技術
• 映画の盗撮を近赤外線LEDで妨害する技術、NIIなど開発
  • この種の解決策はいいねぇ。技術はやっぱりこうでないとね。
• 毎日新聞がAQUOSから読める「毎日新聞×DoTV」
  • これはアイデアですね。良い考えでしょう。ただ、チャンネル争いが発生したりして:-p って発生しないか。
• 超新星、“規格外”の明るさ　太陽の80億倍、恒星の進化モデル見直しも
  • モデルと仮説と理論の鬩ぎ合いが科学を進歩させる。
• J:COMの8月末の総加入世帯数は323万9700件，前月比1万300件増
  • おお、CATVは段々強化されてきているのかな。
• IIJと旭川ケーブルテレビら3社，I-CMTS方式による超高速ケーブル・インターネットの実証実験
  • 急にCATVが脚光を浴びてきているけど、もしかして地デジの影響？

会社で買ったSnowLeopardが届いた。問題は、これのupdateで、どうしたものやら？

連休中にどこかで移行しないといけませんね。

しかし、BUSを64bitに対応させるのが面倒だなぁ。

今日の気になった記事です。

Security関連

• ニコニコ動画、JavaScript実行促す動画を禁止・削除対象に
  • ある意味当然ですね。不特定多数の投稿するデータには何を仕込まれているか判らないし。
• Toata dragostea mea pentru diavola
  • どうやらZen Cart向け攻撃のログのようです。「悪魔のすべての私の愛」というような感じなのかな。
• 「情報システムの信頼性向上に関する評価指標（第1版）」の公表
  • 公開された模様です。目を通しておきましょう。
• 最悪のシナリオ～もしも社内のPCが感染したら・・・
  • これ、良くできたWhite Paperです。読みましょう。特に会社でSecurity関連の業務をしているなら絶対に読むべきでしょう。
• ニュースレターに見せかける迷惑メール、対策製品の回避が目的
  • ううむ、色々考えるなぁ。この手法を悪用すると、ClickしたらJavaScriptでVirusに感染という経路もあり得るなぁ。
• アップル、Mac OS X用セキュリティアップデート「2009-005」「10.6.1 Update」公開
  • ああ、いかんなぁ。snow leopardにするか、Security Updateにするか。まぁ、今日はupdateにして、今週末にでもゆっくりsnow Leopardにしようかな。
• アリコ、流出した顧客情報は1万8184名分～業務委託先社員が持ち出しか
  • ああ、なるほど。判りやすいなぁ。根底には収入の差と生活の苦しさがあるのかもしれないなぁ。とにかくシステム的には充分に注意が必要ですね。
• The ultimate guide to scareware protection
  • 恐怖を煽る系攻撃が流行っていますねぇ。これ、まだ過渡期だから成立する手法ですが、この過渡期はあと3年は続きそうですね。根本はOSやシステム側で対応しないといけないもんだいなんだけど。
• 不可欠なのはリスク・コストを抑える包括的アプローチ
  • Securityは常に「コスト」と「効果」のバランスでしか語るべきではありません。「何を」「誰から」「いくらかけて」「どのように」保護するのか以外に評価基準は無いわけで。
  • 今の企業は、客観的価値（思い入れなどを除く）が100万円のダイアモンドを年間100万円かけて5年も金庫に入れておくというよく判らない対策と同様のことをやっていると思うんだよねぇ。
  • CISSP的に考えるなら、「可用性」「完全性」「機密性」はこの順序で考慮されるべきであるわけです。これは忘れてはならない視点でしょう。
  • この記事は広告ではあるけど、良いことを書いてあったので敢えて取り上げてみました。
• 予選はクイズ感覚の「超高度な知恵くらべ」
  • DEFCON楽しそうだなぁ。それだけの技術があればなぁ…

Computer関連

• データベース・セキュリティ都市伝説　①
  • 当たり前の事ではあるけど、やっぱりこういう事は適宜公開されるべきですね。
• 2012年、2000万ユーザーのアクセスが2カ所の接続ポイントに集中するのか？
  • 記事にもありますが、大艦巨砲主義の匂いがプンプンしますね。大規模に集約すると言うことは、そこが全てのボトルネックになると言うことなんだけど。
  • まぁ、NTT「様」なので、なにか考えるんでしょうけどね。どんどん「設計」という言葉が軽くなっている気がする。
• 既にあたり前になりつつある文字エンコーディングバリデーション
  • PHPの問題とも言えるけど、結局Multi characterを使おうとすると発生する問題だよね。なによりもUTF-8の扱いが難しいことがその問題の根底だと思う。

その他

• 天の川全景の動画とパノラマ
  • この動画は美しいです。
• 「熱い氷」がある世界：超高圧で「第15相の氷」を生成
  • 面白い。特に、「氷の中の水素原子の存在する平衡位置は絶対零度でも秩序化せずランダムであり」というところなんか、エントロピーの法則に従っていないように見えるところが面白い。
• 「国内市場に8社も生きられるスペースはない」--NEC携帯電話事業統合の理由
• NEC／カシオ／日立が生き残り賭け携帯事業を統合，「事業補完が得られるベストパートナー」
• 「国内に携帯8社は多すぎる」　NEC、カシオ、日立、携帯統合で海外市場へ
  • ついに携帯電話製造系も再編が始まったわけですね。どこまで統合されるか、見物ですねぇ。

今日の気になった記事。

昨日の夜中に書いてしまったので、今の段階では全然記事がないが、まぁ、取りあえず。

Security関連

• チェックしておきたいぜい弱性情報＜2009.09.14＞
  • CSIRTもの。
• IPA、システム自体の信頼性を確認できるツールを無料公開
  • ほぉぉ。Windowsが必要なところが気に入らないけど、便利そうだなぁ。

Computer関連

• ［Q12］「IPv6マルチプレフィックス問題」とは何ですか
  • 人間は常識に縛り付けられている動物なんだと実感しますね。
• 高速Wi-Fi標準のIEEE 802.11n、ようやく最終承認
• IEEE，無線LAN規格「IEEE802.11n」をついに承認
  • 偉く時間がかかりましたねぇ。既にDe-Fact Standardなんだけど…。
  • しかし、やっぱり船頭多くして舟山に登るだったのね。

その他

• 超新星：明るさ太陽の８０億倍…大学院生ら確認
  • 見てみたいけど、きっと見えそうもないなぁ。