けんのぼやき

ここは個人的なメモ的日記です。よく間違えていて、放置したりしているので要注意。typo多し。というかダメ杉なんで。
記載内容でクレームがある場合はメールください。(tDiary.Netのクレーム対応方針について)

20 現状確認

2002-02-02

1 リンク(疲れた…)

[ツッコミを入れる]

2002-02-03 リュウキ

1 2/2

たまっていたメモを作成。19000を超えた。。。

2 リュウキ

仮面ライダー「アギト」が終了して今日から仮面ライダー「リュウキ」。でも仮面ライダーっぽくない…

3 ｔDiary

本日のリンク元がすべて３の倍数(^^; どっかがおかしそう(^^; いい加減、1.3.3にあげねば。

[ツッコミを入れる]

オレンジを基調としてよい感じ。何かを彷彿とされるんだけど何だったなぁ。それはそうとxreaから移行決定(気持ち)。登録が開始されたら早速移行しようと思ふ。さすれば「現在のバージョン上げねば、でもxrea特有な何かが出たらちょっと嫌だなぁ」な気分が払拭されてよい感じ。怪しいスナップショットを常に使える(笑あ、そいえば本日のリンク元が３の倍数という昨日の言は間違いだった、けど今日はなぜか４の倍数(^^;

2 脚注plugin (tDiary)

今日の三角木馬、もとい今日のなんでやねんの脚注plugin。よさげだ。う、でも tDiary.Net にしたら skel/dialy.rhtml に手を入れるのでちょっとつらいのかなぁ。あれそもそも plugin を使えないのかなぁ。tDiary.Netはちょっと様子見かなぁ。。。

3 グーグルワック

微妙に盛り上がらなそうなグーグルワックですが、日本語版があるとのこと。黒澤明、初脱ぎが笑えるのですが。。。ということでお約束で挑戦。楽しい組み合わせが思い浮かばず、「お魚くわえた、ハヤタ」でとてもつまらないけど１件。自分としてはハヤタ隊員だったのですが。。。

4 格闘

ノアの話題なのですが、例の小川が秋山に延髄くらわした件が、今日のTVKの放送でやっていました。いや永久保存版ものの楽しい映像でした。三沢のコメントもいい「俺はわかっていたから」みたいな(^^;

そんな状態で小川が三沢をホメ殺しを見たので、またやったか？と思ったら、小川違いだったり

5 Microsoft

[XP] タスクバーが隠れてしまうことがある

あるあるあるある、12人。

▽Hotfix Reporter 3.2 released.

hfnetchkで使うものらしい。

6 セキュリティ

▽セキュリティホール情報の公開に関するガイドライン

他にもBUGTRAQ-JP よくある質問と回答 (0.1.8 何が「セキュリティに関わる脆弱性を報告するための適当なプロトコール」ですか?) とかがあるようだ。ちょっと考え方として興味深かったのでメモ。

▽クロスサイトスクリプティングの脆弱性を持つサイトの対応

▽BIND8.3.1がリリースされましたが、「1324.[bug] certian bad delegations could result in a DNS storm.」の意味がよく分からない。うーん。。。

▽IDKey　確かに安い。うーんいいかも。

7 その他

▽あるＰＣオタク社員の壮絶なる報復劇

何やってるか分からない人はいろいろいると思わる。

▽ネコの飼育は室内で　環境省が基準改正へ (毎日新聞-全文)

猫は室内で飼うようにと理解を求めているという話だ。お魚くわえたどら猫はいなくなるわけだ(笑

▽暴れん坊Windows

ぷぷっと笑える。

[ツッコミを入れる]

2002-02-05

1 巡回

巡回していたら、メモしたいことがたくさんあったので、今日の更新は無理かも(^^; ところで、この"ぼやき"の多くはニュースサイトのマナーを無視した手法をとっています。というのは、たいていはニュースサイトで仕入れた情報はネタ元として表示するのが暗黙の了解みたいな雰囲気なのにも関わらず、私はそれをほとんど無視しているので、ここで仕入れた情報を紹介する場合、ここへのリンクはしなくてもよかです。そもそも私的なメモを私的なまま終らせなくてもよかろうという考えでやっているのでして。

2 tDiary.Net

s2.xreaの不調とのことですが、この1件で tDiary.Net に押し寄せたらたださん大変かもと思ったり。

[ツッコミを入れる]

2002-02-06

1 レイアウト

おかしい。でもなおす暇ない。

2 IPアドレスの枯渇

こんな話題をよく耳にして、真剣に考えずにそーかやばいのかぁと単純に思っていたのですが、日経の記事([IPv6(1)]IPアドレスは枯渇するか )を読むと、多ざっくりで半分くらい割り当てが余っているのかな。実際は割り当て方法やTCP/IP的なところで非効率な部分があるのだろうけど、感覚的にあるのかぁといった具合。だからこそ余裕があるうちに、IPv6の方向へと早めに進めないといかんですね。ところで『政府の「e-Japan重点計画」では「2005年までにすべての国民がIPv6（インターネットプロトコル・バージョン6）が使えるインターネット環境を実現する」』なんて話がそーいえばありましたね(^^; 政府の取り組みだけではどうこうなるものではないかと思うのですが、これに関する政府の文書は出てるんでしたっけ。あらためて考えると興味深いなぁ。もっともこの手の話題はNTTの光化とかもそうで、目標はあっても達成は難しいってやつだろうな。

3 リダイレクト

なんか@ITの第8回　bashで始めるシェルスクリプト基礎の基礎を眺めていると、リダイレクトの話題で標準エラー出力の話がでていた。いやぁ OS 利用頻度 Windows が 90% な私と逃げ口上を前置きにして、これを読むまで標準エラー出力で 2> ってな具合を使えるのを知りませんでした。。。重大事件です。とりあえずWindowsXPでも使えるのかとヘルプの検索( 意外に利用できることを多くの人は知らない(笑 )をすると、「コマンドリダイレクト演算子を使用する」なところを読むと、つ・使えるじゃん(^^; まいった。降参です。

4 ストリーミング

▽第53回さっぽろ雪まつり現在の会場の様子（ライブカメラ） (他)

▽Super Bowl Ads 2002

5 ネットワーク攻撃の認識と対応(Microsoft)

個人的に非常に面白い文書でした。Microsoft的じゃないですね(笑ということで気になったところをPickUpしてみたいかと思います。不要なTCP/IPポートを閉じるとあります。そしてWindows NT、Terminal Server、および Microsoft Exchange サービスの TCP/IP ポートの使用についてというのがあって、せっかくだからWindows2000/XPも示して欲しいなぁと。そして確認ではnetcatを使ってとあります。ポートの確認で使う話題でnetcatが出てくることがなかなか渋いです。netcatは私用したら削除しちゃいましょう。さらに読み進めると、ネットワークモニタを使ってネットワークトラフィックをキャプチャする方法ってのがあります。なかなか素敵ですが、どーせならNetwork Monitor Capture Utility についても紹介されていると幸せです。

[その他]

▽ObserverR 8.0 Web Literature

　Sniffer Proみたいな雰囲気。いやぁ偉い人に見てもらうには格好いいかもしれん。

▽SF Focus-IDS Mailing List FAQ

　FAQ: Network Intrusion Detection Systems[日本語版]も併せて読むとよいかも。

▽Hardening Windows 2000 PDF

　IIS 5.0 セキュリティ対策ハンドブック(PDF) はport139の伊原さんが書いた Windows2000 world の特別付録

6 脚注plugin (tDiary)

▽使い方

7 メモ

▽xinetd で chrootする。

8 Lycosディクショナリ

のみ(^^;

9 その他

▽一年戦争記〜君は、生き延びることができるか！？〜

▽浜崎あゆみファンの皆様へ

▽PIC2ASCII

▽PIC2HTML

10 リリースとか

▽Mozilla 0.9.8

▽p.0.f 1.8.2

▽Syncapture

11 セキュリティ

▽[CERT] CSIRT FAQ

Computer Security Incident Response Team

Frequently Asked Questions

▽電子メールによるウイルスを“水際”で食い止める

12 統計

▽SecurityFocus Vulns Stats

13 脆弱性

▽MSN Messengerに個人情報漏えいの問題が発見される

▽RealPlayer Buffer Overflow

Windowsかと思ったら違った。

　* RealOne Player Alpha for Linux 2.2

　* RealPlayer 8 for UNIX

　* RealPlayer 7 for UNIX

14 脆弱性(Lotus Dominoメモ)

なにやらいくつか出てきたので、前にメモっていたのを掘り起こし。

なにやらいくつかのいくつか

▽Lotus Domino Password Protected URL Bypass　　

▽Lotus Domino Web server DOS-device Denial of Service

ソフトウェア

▽DominoScan

Domino系サイト

▽DominoSecurity.org

▽DomiLock

ドキュメント

▽NISR Insight Security White Papers

▽ PPT

▽ドミノサーバーで HTTP サービスを提供する際のセキュリティポイント

　lotusの文書がどこにあるのか思い出すのに30分くらいかかってしまった。。。

　どうやったらトップから辿り着けるのか不明なのが問題

15 Microsoft

▽[IME2002] 規定の言語設定で ATOK が有効にならない

▽Microsoft Network Security Hotfix Checker (HFNetChk) Version 3.32

▽Daisy a intelligent auto-hotfix utility for Windows 2000

▽マイクロソフト単語帳 (軽い方)

▽NULL IPC$ Sessions - incorrect information

どっかに流れていたのでメモ。

　Set the REG_DWORD value of the above key to 1 (default is 0).

　\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\RestrictNullSessAccess

16 Snort

MLに流れたメモ

alert $EXTERNAL_NET any -> $HOME_NET 80 (msg: "14all.cgi access (14all)";
uricontent: "14all"; content: "cfg"; )

alert $EXTERNAL_NET any -> $HOME_NET 80 (msg: "14all.cgi access (traffic)";
uricontent: "traffic"; content: "cfg"; )

alert $EXTERNAL_NET any -> $HOME_NET 80 (msg: "14all.cgi access (mrtg)";
uricontent: "mrtg"; content: "cfg"; )

alert tcp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DNS EXPLOIT named"; flags:
A+; content:"ADMROCKS"; reference:cve,CVE-1999-0833; classtype:attempted-admin;
sid:260; rev:2;)

alert tcp $EXTERNAL_NET any <> $HOME_NET any (msg:"DOS NAPTHA"; flags:S; seq:
6060842; id: 413; reference:url,razor.bindview.com/publish/advisories/adv_NAPTHA.html;
classtype:attempted-dos; sid:275; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 3372 (msg:"Possible MSDTC DoS"; flags:
A+; dsize: >1024; reference:bugtraq,4006; classtype:attempted-dos;)

17 sniffer

▽Win Sniffer 1.22

▽ObserverR 8.0 Web Literature

18 BlackICE

BugtraqでVulnerability in Black ICE Defenderな話が流れたので、こりゃイカーンと某所で利用している for Server を停止させたら、【緊急】BlackICE Defender 2.9 の脆弱点に関してな告知が東陽テクニカから出て、回避方法の記載がありよかったよかった。
メモしておこう。

[発生バージョン] 
　2.9canJおよび英語版2.9（以前のバージョンでは発生しません。） 

[修正バージョンリリース予定] 
　修正バージョンリリースに関しては未定です。 
　(コメント：はやくWindowsXP対応にしてください。。。）

[回避方法] 
　Firewall.ini の [MANUAL ICMP ACCEPT] のセクションに下記の行を追加します。
　　ACCEPT, 0:,Echo Reply ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 1:,Unassigned ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 2:,Unassigned ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　ACCEPT, 3:,Destination Unreachable ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 4:,Source Quench ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 5:,Redirect ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 6:,Alternate Host Address,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 7:,Unassigned ,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 8:,Echo,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 9:,Router Advertisement,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 10:,Router Slection,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 11:,Time Excceded,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 12:,Parameter Problem,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 13:,Timestamp,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 14:,Timestamp Reply,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 15:,Information Reqest,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 16:,Information Reply,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 17:,Address Mask Reqest,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 18:,Address Mask Reply,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 19:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 20:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 21:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 22:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 23:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 24:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 25:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 26:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 27:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 28:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 29:,Reserved,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 30:,Traceroute,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 31:,Datagram Conversion Error,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 32:,Moble Host Redirect,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 33:,IPv6 Where-Are-You,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 34:,IPv6 I-Am-Here,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 35:,Mobile Registration Request,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 36:,Mobile Registration Reply,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 37:,Unassigned,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 38:,Unassigned Conversion Error,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 39:,SKIP,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　　REJECT, 40:,Photuirs,2002-02-01 20:26:53, PERPETUAL,2000,BIgui

気になったのは、
　>パラメータリスト上では、
　>REJECT, 0-8:0,All ICMP,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　>のように範囲指定できるはずなのですが、実際にはうまく動作しませんので、
駄目ぢゃん(--#)

[ツッコミを入れる]

2002-02-07

1 BlackICE

昨日も話題にしましたが、SecuriTeam.comに掲載されていた内容を見ると(Remote Denial of Service Vulnerability in BlackICE Products) BlackICE Defender だけではなくて、 RealSecure Server Sensor とか BlackICE Agent でも発生するようです。あれissのalaertにも書いてあったかなぁと思って、 X-Forceを見に行くと (うぉーデザインが変わってURIも変わってるじゃん(TT))、確かにそんな具合で書いてある。うーむ。。。
読み進めると、BlackICE Defender workaroundでは

1. Open the firewall.ini file.
2. Under the [MANUAL ICMP ACCEPT] section, add the following line:
REJECT, 8:0, ICMP, 2001-10-15 20:28:53, PERPETUAL, 4000, BIGUI
3. Save the firewall.ini file.
4. The next time you open BlackICE, click OK when the following a
pop-up window appears: "A configuration file change was detected."

となっているのです。え、、、確か東陽テクニカでは、　>パラメータリスト上では、
　>REJECT, 0-8:0,All ICMP,2002-02-01 20:26:53, PERPETUAL,2000,BIgui
　>のように範囲指定できるはずなのですが、実際にはうまく動作しませんので、
といってるのですが。試してみようかしらん。それとも英語版の新作では大丈夫なのかなぁ。

2 格闘

2002/3/3に予定されているK-1 WORLD GP 2002 in 名古屋の対戦カードが発表されました。さらに今年のグランプリのシステムも発表。ワンマッチ戦中心とかで、対戦カード重視に向かうようです。そして総合格闘技系との試合も盛り込んでいくのでしょうね。。。とりあえず名古屋注目のカードはマーク・ハントが体重をどれだけ絞ってくるか、じゃなかった、第5試合のマーク・ハントとミルコ・クロコップのカードでしょう。

3 "もと"と"やく"

Word2002およびIME2002で"もと" の文字を変換すると強制終了エラーと"やく" の文字を変換すると強制終了エラーといった話がでてました。みんなでMicrosoftにどんな陰謀があるのか考えてみましょう(笑

4 Microsoft

▽IIS LockDown 実行後、アクセス権が空白になる現象について

▽[OFFXP] Office XP SP-1 で修正された問題の一覧

5 その他

▽ガンダム者〜ガンダムを作った男たち〜

安彦良和へのインタビューです。

▽「およげ！たいやきくん」の続編発売へ

な、なにを今更。。。何かとタイアップしないと売れないのでわ。。。

6 Wmap

のぞいたら、これは便利かもしれん。Wmap 1.2

Wmap is a "simple less stupid web scanner" for *nix . Im not going 
to tell you that is a intelligent scanner, because it isnt. 



When you use a CGI scanner it just searches for the existence 
of cgis in common directories. Thats the fact. But it should 
not be that way. Because many companies just use their own 
locations to put their cgis. So you are just searching in a 
default web server path, leaving behind a huge space 
without testing, with bigger holes that you didnt found. 



So what happens if target.org just move or rename the common 
cgi-bin directory having in there all the vulnerable cgis. 
WMAP search recursively, grabing all the info contained in 
html tags like HREF, FORM and FRAME, capturing the new 
directories , dividing  and including them in the tests.

[ツッコミを入れる]

2002-02-08

1 セキュリティ

▽Norton Internet Security 2002 Professional Edition

| Windows用の個人向けセキュリティ製品ラインを強化。

| 新たに2種の上級者向け製品を追加し3月1日（金）より販売開始。

| ・不正侵入検出（Intrusion Detection System：IDS）

| ・ネット使用制限機能

| ・パームOS用ウイルス対策

| ・価格（税別）：11,800円（標準パッケージ）

だそうです。IDSってどんなの検出してくれるのかなぁ。ちょっと気になるところ。だって、AntiVirusとは製品が違うのだから、検出するのもそれとは違うものなのだろう。かといって個人向けと記載されているので恐らくサーバー用途でもなさそうだし。NIDSなわけじゃないしさ。

▽Securing a Solaris 8 Server Ashford Computer Consulting Service

2 ARIS

SecurityFocusでやってるARIS analyzerですがどのくらい利用者いるのでしょう。使ってみようかと思っているのだが。日本の記事でそこそこの内容が記載されているものを探したら無料のIDSログ分析サービスARISアナライザの概要（SecurityFocus.com）(2001.5.28)くらいかな。あとはstalkで流れたものとか。

3 統計

▽改ざんされたサイトのOpenPort(TCP)ランキング（2002.01.01-31）

Linuxも普及に伴ってやられてるのが増えてきましたね。。。クライアントとして侵害度はWindowsに比べれば格段に少ないでしょうが、Linuxも気をつけた方がよくなっていると思われます。ただ、統計上では kernel 2.4.x は少ないようだなぁ。[penetration technique research site]

4 ブロードバンド

▽KDDI、100Mbpsのマンション向けFTTHサービスを月額2500円で提供

結局の所、この手でありがちな条件があって、

| 全戸加入型が30戸以上、個別加入型は20戸以上の契約数

とのことらしい。

| KDDIによれば、今後5年間で40万戸の契約を見込んでいる

どうなんだろう、見込み方が問題かな。こういうのもあるのだし。

5 Microsoft

▽[IIS]HOWTO: SQL Server を使って Web ログを解析する

6 偽メッセンジャー（仮）

MSN Messenger 互換のインスタントメッセージクライアントらしい(ここ)。

7 その他

▽米 Sendmail、今年前半には日本法人立ち上げ

えっと Sendmail for NT とかを扱ったりもしていると思ったのですが、日本ではアスキーNT で販売していて結局いれてみたら日本語化されてるわけでもなくみたいな状態だったりするので、そこら辺りがどうなるのか気になるところです。そいやBlackICE Defenderと言えば未だにisskkではなく東陽テクニカだな。関係ないですが、ここの関連記事が Linux でスパム対策--2となっている。微妙に違うような感もあるが、メモ(笑

8 Cobalt ResQ

のみ。

9 ndiff

nmap関連で利用するもののようです(ndiff)。

nmapで2回ほどscanした結果の違いを見るようなツールなのかな。他にもngen,nrun,ndiff2htmlとかあるようだ。nmapって使い方に注意しないとすぐとりこぼすんだよなぁ。。。

[ツッコミを入れる]

2002-02-11

1 指輪物語

ついに来月上映です。知らない方は前知識として第1回「旅の仲間」トールキンのココだけは押さえる!を読むとよいかも。訳書を私が読んだのは、一般的には遅めで15年前ほどだったかと。ファンタジー好きな人は読んどけな"指輪物語"ですが、個人的には「面白くてたまらないぜ！」というほどではないです。そいえば、同時期に"ドラゴンランス戦記"の1巻が出た頃だったような。ボリュームあるものを読むのならば、"ベルガリアード物語"と"マロリオン物語"がおすすめです。

2 すべてがFになる

ゲームになるらしいのですが、ここにサンプルボイスが更新されてます。イメージ違いすぎ。。。

3 1$

台湾のMOVIE 88という所は1$で映画を見ることができるらしい。ラインナップも素晴らしい。

4 ATOK15

▽ATOK15

ダウンロード版が5,800円かぁ。欲しいなぁ。

5 BlackICE Defender

今度はeEyeから。
▽ALERT: ISS BlackICE Kernel Overflow Exploitable

　Example:
　　To cause the kernel to fault using an interrupt 3 (0xCC, or hard break on Intel hardware), 
　　issue the following command against a BlackICE protected server from a Linux machine:
　　　ping -s 60000 -c 16 -p CC 1.1.1.1

東陽テクニカからはコメント無し。英語版はBlackICE Defender Patch Release 2.9.carがリリースされています。正規ユーザは確か英語版も使えるので、乗り換えるのが吉かな。

6 BIND8.3.1

BIND8.3.0にのbugを修正したBIND8.3.1ですが、JPNICからBIND ネームサーバの更新に関するお願いてのが出ているようです。以前、ここ(けんのぼやき)で不明だったことが分かった感じ。BIND8.3.0を利用している人はBIND8.3.1へ。

10 復元

削除したファイルを復活させるWindows9x/NT/2k用のフリーソフト。NTFSは未対応。復元。

11 ManHunt

各種IDSのデータを分析できるようになったらしい。ManHunt。

12 Nmap-Scanner

▽First release of perl Nmap::Scanner module available :)

13 netstat

▽Secure Programming

コネクションテーブルを表示する方法は 2種類あるそうです。

14 SPAM

ZAKZAKにPC無知のスパムメール業者激増てのが。PCに無知ってのはあまり関係ないかも。

15 XREA

ついにSMTPが使えるようになったらしい(ここ)。内容はサーバーに保存するらしい。

[ツッコミを入れる]

2002-02-12

1 セキュリティ

▽通常のトラフィックに隠された“攻撃”を見逃すな

ICMPのパケットに隠すバックドアの話等々。たまらんなぁ。。。

▽Halted Firewalls

slashdot.jpでも話題になっている。ログは時としてほとんど見ない人(場合)もあるだし、割り切って使えばよかですね。

2 TCP/IP

ちょっとTCP/IPのTCPのパケット構造に関して知りたくて、「マスタリングTCP/IP 応用編」を読んだが、知りたいことが載っていない。「詳解 TCP/IP Vol.1」というのがあるそうだが、眺めたことが無い。どうなのかなぁ。なぜパケット構造に知りたかったかというと… (次に続く)

3 Windows2000

Etherealで Windows2000 Server のTCPパケットをのぞいていたら、 Header Checksum が incorrect, should be だのとなっていて変な感じ。IPsecの設定をしたら correct となっていい感じ。IPsecを使わない場合は Header Checksum を送らなくていいのだろうか？と気になったので。RFC791(日本語化)あたりを見ると>[Header Checksum: 16 bits]ヘッダだけのチェックサム。あるヘッダフィールド (例えば生存時間フィールド) は値が変わるので、インターネットヘッダが処理される各々の箇所で再計算され、照合される。ってな具合で書いてある。でも送り主が送るときに必要か不要かが分からない。いらないでいいのかなぁ。

4 snort

snort-sigsにcgisecurityの方がポストされていた。[Snort-sigs] New Rules。とりあえず考えずに追加しとくか…(^^;

5 ん？(^^;

自分で収集しなくともセキュリティホールmemo を見れば十分って話もありますが(^^;

[ツッコミを入れる]

2002-02-13

1 Header checksum

Header checksumについて検索しました。昨日までは必要か不要かをコンセプトにパケット構造近辺を含めて検索エンジンで探していたのですが、送るのを前提で、どのように計算するのか？を起点に調べると、

▽チェックサムの計算方法

▽IP のチェックサム -- 1の補数演算

▽チェックサムの計算について

を見るとデータを16ビットごとに分割し１の補数和を計算し、結果の１の補数がチェックサムとなるようだ。RFC1071,RFC1141,RFC1624あたりが関連している雰囲気。

昨日と重複するが整理すると、Windows2000でTCPの通信をする際に送っているパケット(構造)の、IPパケット部のチェックサムとTCPパケット部のチェックサムがおかしいかも？ということ。とあるトラブルの切り分けで、Etherealを使ってパケットをキャプチャし調べていたとき、ふと、Etherealの解析部(?)を見ると IPのヘッダのチェックサムが 0x0000 (incorrect, should be 0x***) となっていて計算されていない。さらに TCPヘッダのチェックサムには数値が入っているものの、incorrect, should be 0x*** てな具合で結果がおかしい雰囲気。気になりますよね？(^^; まだ追試してませんがIPSecの設定をしたらcorrectってなってるのでIPSecが関係しているのか？といった意味不明な状態に陥っていたのです(^^;

可能性を考えると、

　(1)Etherealの計算が間違ってしないか？ (可能性薄)

　(2)IPヘッダのチェックサムは計算すべきか？

　(3)Windows2000の仕様か？

　(4)IPSecが関係しているのか？

　(5)私の環境がおかしいか？(^^;

ってな具合があげられそうだ。それを受けて計算方法を探したわけだ。面倒そうだけどチェックできそうなので、暇をみつけてやるしかなかろう。で、問題は(2)なのだが、ここを見ると気になる記述があって、RFCを眺めなければならないのか？と思ったりしている夜でした。

暇をみつけて言葉だと伝わりにくいので、Etherealのデータを提示したりしないとなぁ。

関係ないが、IP Network Skillなるメールマガジンを発見。

2 更新

考えふけっていたら、その他の更新をする時間が… 明日の昼か夜だなぁ。

[ツッコミを入れる]

2002-02-14

1 SNMP

何やらヤバヤバな話。

たまたま私は「内閣官房情報セキュリティ対策推進室」(ここ)というけったいな名前の所から流れてくる情報を目にする機会がたまたまあるのですが、今日CA-2002-03な注意喚起が流れてきました。そもそも内閣官房情報セキュリティ対策推進室ってのは、内容はともかく必要と思うならば広くあまねく情報提供すべきなんじゃないかしら。サイトあるんだし。一応けったいな名前の用語解説としてここ(IPA)と思ったけど、解説じゃなかったり。

さて話を戻して、基本的にはセキュリティホールmemo (2002/02/13 SNMP)を参考すればよかろうと思われます。これだけだと情報価値が低いので取り上げてない記事も含めてリンクをいくつか。

▽広範囲に該当する SNMP の脆弱性について

▽SNMPの脆弱性を攻撃できるツールが流出(2002.2.13)

▽OSやネットワーク機器の多くにSNMPのセキュリティ・ホール

▽米ISSが「SNMP v.1」のセキュリティ・ホールを警告

▽SNMPに脆弱性——多くのネットワーク機器に影響

▽SNMPにセキュリティホール (/.J)

English

　▽Simple Network Management Protocol (SNMP) Vulnerabilities Frequently Asked Questions (FAQ)

　▽CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) (CERT)

　▽M-042: Multiple Vulnerabilities in Multiple Implementations of SNMP (CIAC)

　▽"Potential for Multi-Sector Internet Outages"

　▽PROTOS Remote SNMP Attack Tool (X-Force)

　▽PROTOS Remote SNMP Attack Tool (SecuriTeam.com)

　▽PROTOS Test-Suite: c06-snmpv1

　▽SNMP Security Flaw Threatens Network Infrastructure (SecurityFocus)

　▽CA-2002-03.snmp (packet storm)

　▽CAN-2002-0012

　▽CAN-2002-0013

　▽MS02-006 に関する情報 (Microsoft)

　▽Microsoft Security Bulletin MS02-006 (Microsoft)

　▽Unchecked Buffer in SNMP Service Could Enable Arbitrary Code Execution (SecurityFocus)

　▽The SNMP fiasco: steps you need to take

疲れた。無意味にリンクだらけだ。

2 セキュリティ

▽Exchange 2000 System Attendant Incorrectly Sets Remote Registry Permissions

▽Internet Explorer and Access Allows Macros to be Executed Automatically

3 Microsoft

▽2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム (MS02-005)

ちっとも問題がなおってないじゃんというツッコミがあるそうですが、ダウンロードしたときのデフォルトが"開く"だったのが"保存"になったそうで。解消している問題もありますし適用すべし。

▽[IIS]Internet Information Server サービスに必要なデフォルトのサービス

▽[IIS] Internet Information Services 5.0 で確実に統合 Windows ログオンを行う方法

4 CGIsecurity

Cgi Security Paper #4がLACにより邦訳されました。ポイントは解決策かな。

5 Symantec

シマンテックのウイルス辞典を更新チェックしてるのですが、サイトが更新され危険度がついたりして見やすくなりました。

6 SQL関連

▽http://www.sqlsecurity.com/scripts/sql+server+security_2002.ppt

▽http://www.ngssoftware.com/papers/advanced_sql_injection.pdf

▽http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf

pml-securityより。

7 ドキュメント

▽Linuxセキュリティ入門びぎねっと

▽Scanning for Rootkits

▽LinuxWorld Online：連載一覧

8 BIND&DNS 第4版

▽BIND&DNS 第4版オライリー

2月に発売予定。他にも"入門 csh & tcsh"とか"JSPデスクトップリファレンス"とか。

9 デジカメ

▽デジタルスチルカメラの商品テスト結果

内容がとても素敵だそうです。

10 愛甲

GENDAI NETに元ロッテ　愛甲行方不明とかあって、どうしちゃんただろうと思ったら、…だとか。。。

11 Mフレッツ

▽NTT東日本が無線の「Mフレッツ」を提供　東京，北海道で5月にも試験サービス開始

サービスを拡大するのはいいのですが、ちゃんと行動も伴ってもらわないと。つーか無線のM？というツッコミがどっかであった。ぶっ。

12 ダメダメな映画

▽The 100 Worst Films of the 20th Century

こういうときに和名で覚えていると楽しみが半減です。

13 MGS2

▽MGS2 欧州で初回157万本の受注

次もお待ちしてます。あ、ストーリはちゃんと練って欲しい。

14 …

▽鈴木宗男議員に白い粉入り封筒が届く

15 リロード

某所のページがリーロドしまくり。困ったものだ。。。

16 K-1

ミドル級の大会が連休の最後にやったのですが、なんとなく見なかったのです。すると面白かったって会社の先輩から聞いて悔しくなり、視聴率もよかったと聞いて悔しくなったしだい。ミドル級も真面目にみよっと。

▽K-1 World MAX 試合結果

▽魔裟斗戦、深夜脅威の１３％

▽藤田ＶＳミルコ　８月再戦へ

17 ブロードバンド

▽gooブロードバンド[ブロードバンドリンク]

[ツッコミを入れる]

2002-02-15

1 Header Checksum

先日から悩んでいる Windows2000 の Header Checksum ですが、私が設定した2つの環境(Professional,Server)で起こったのですが、ほぼデフォルトインストールに近い状態では発生しないような雰囲気。時間がなくて細かくみれてませんが、少なくとも私が設定した WindowsXP Professional では発生してないようです。この件、ちょっと保留。

2 snort

SNMPの件があったので、ルールを追加したりルールの内容が気になっていたものをのぞいたりして気づいたことがあった。

・いつの間にやら experimental.rules が追加されていた。古い snort.conf には記載が無いので追加が必要であることに気づく。

・いつからか preprocessor の minfrag が無くなっていた。

・いつからかCodeRedの検出が出てなくてオヤと思っていたら、WEB-MISC whisker space splice attack あたりが悪さしてた。vision18.rules にも似たのがある。むぅ。手抜きでルールセットを全て上書き＆適用が敗因だが。むぅ。

・uricontentに":"を含ませたい場合がワカラン(爆)

その他いろいろ。

3 SNMP

昨日のに日本語の記事追加

▽SNMPv1 の実装に含まれる脆弱性に関する注意喚起

▽ネットワークの基礎言語『SNMP』にセキュリティーホール

▽「『SNMP』に重大なセキュリティーホール」CERTが警告

4 Microsoft

▽Windows 2000 Security Rollup Package 1 (SRP1), January 2002, Release Notes

5 worm

▽CoolNow に関する情報

MSNメッセンジャとIntenetExplorerを利用している人は要チェック。

6 記事

▽ハッカーはそのへんにいる普通の人

[ツッコミを入れる]

2002-02-16

1 SNMP TEST TOOL

▽SNMPing

SNMP Self-Test Tool incidents.org

SNMP Self-Test Tool Released SecriTeam.Com

▽SNScan

SNScan v1.04 FOUNDSTONE

▽snmping.pl

snmping.pl

[こめんと]

SNMPingは検査ポートを指定できるが、検査対象はIPアドレスをレンジで指定する程度。SNScanは検査ポートは161,391,193,1993(選択可)の固定だが、検査対象はIPアドレスのファイルを読み込むことが可能。SNMPingの方は何故か検査対象がいないと終了に時間がかかる。ので、SNScanをおすすめする。どちらもWindows用のソフトウェア。ちなみに試してないがsnmping.plを改造してもよさげだ。