2009年12月25日

社外から社内情報へアクセスしたいですか?

ZDNet Japanで面白い記事があったのでご紹介です。

我が社でも社内グループウェアへ社外からアクセスを許可していますが
管理されていない労働時間が増加する一つの要因にもなりかねないので
どこでも仕事ができる生活上のリスク(苦笑)として、ちょっと心配です、、、


識者のご意見と少しピックアップ
 ・在宅勤務でサビ残が増える?ホワイトカラーは公私混同を!
   横山哲也 氏 グローバルナレッジネットワーク株式会社

 ・いつでもどこでも仕事ができるのは、それはそれで生活上のリスク(笑)
   小山安博 氏 フリーランスライター

 ・育児休暇を終えた妻が支障なく復職できた理由
   新井悠 氏 株式会社ラック サイバーリスク総合研究所

■ZDNet Japan
 社外から社内の情報にアクセスしたいことはありませんか?


たしかに新井さんの奥様のように職場から離れてても状況とかがわかると、復職し易いかもしれませんね。

2009年12月22日

ハワード・シュミット氏

目の前で講演を拝聴して、実に的確で明快で凄い方だと思っていましたが

まさかオバマ大統領のサイバー調整官に任命されるとは思いませんでした。

■ウォールストリートジャーナル:オバマ大統領、サイバー調整官を指名へ
 http://jp.wsj.com/IT/node_15460

シュミット氏は、非営利のコンピューターセキュリティグループ、情報セキュリティ・フォーラム(ISF)の会長。ブッシュ政権やFBI(連邦捜査局)、空軍特別捜査局の研究所で情報セキュリティ分野の要職を歴任した。また、政府のサイバーセキュリティ委員会の委員も何度か務めている。


来年早々に来日して講演があるので、拝聴に行かなければ。

2009年12月14日

はまちちゃん再び

アメブロ版Twitterの「Amebaなう」でCSRF脆弱性が潜在していたようだ。
発見から解決までは、さほど時間がかからなかったようですが、大手のWebサービスで基本的な対策がとられていなかったのが、ちょっと驚きです。

「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、特定のアカウントを自動でフォローしてしまうという現象が広がった。

■IT media:AmebaなうのCSRF脆弱性で“意図しない投稿”広がる

2009年11月19日

SSLの脆弱性でTwitterのパスワード入手に成功

理論的には難しいと言われてましたが、Twitterという身近な事例で実証されると、ちょっと怖くなってきます。

研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得することに成功したという。
なお、この問題に対処した更新版の「OpenSSL 0.9.8l」ではリネゴシエーションの処理が無効化されており、Twitterは既にこれを適用したと研究者は伝えているという。


■ITmedeia:SSLの脆弱性でTwitterのパスワード入手に成功
■CNETjapan:TLSとSSLにゼロデイ脆弱性

2009年11月06日

無料でネットが使える無線LAN製品

中国で大好評の製品のようです。
しかし、かなり違法に近いグレーな製品ですね。

普通の無線LANの数倍の電波出力の強さと、ペンテストなどでも使う
ネットワーク攻撃診断ツール「BackTrack」を付属して、ちょっとした
ハッキング入門キットの様相です。

やはり、無線LANの暗号方式は常に最新の方式を使って、
なおかつ、重要なネットワークから無線LANのAPを
切り離す事が定石ですね。


■日経トレンディネット:中国で大ヒット中の「一生ネットが無料になる機器」とは!?

GS-27USBはWi-Fi規格に沿った802.11b/g無線LAN子機。そんな一見普通の無線LAN子機で、なぜ「一生ネットが無料になる」のだろうか?これには2つの理由がある。1つは電波の出力が普通の無線LANカードの数倍もあるということ。すなわちハイパワーであり、それ故、普通の無線LANカードでは検知できない遠方のアクセスポイントも検知できてしまうのだ(公称では「半径3.6km圏内のアクセスポイントを検知できる」とか)。