? byway, sideway
About
CISSPʾ󥷥ƥॻƥץեåʥǧˤĤ⺣˿òҤǴäƤޤ
LINKS
Hot Words

BOOKLOG

Recent Comments
Recent Trackbacks

Advertisements

Jun 05, 2005


[Security] さよならDES 20:14
5月19日、NIST(米国国立技術・技術院)は、米国連邦政府向け標準規格からDES(FIPS46-3)を外すことを発表。今後は共通鍵暗号として2001年に標準化されたAES暗号(FIPS197)を推奨することとし、復号用途としてのみDESを用いることとしました。

The CISSP and SSCP Open Study Guides Web site - NIST announce Withdrawal of DES

Announcing Approval of the Withdrawal of Federal Information Processing Standard (FIPS) 46–3, Data Encryption Standard (DES); FIPS 74, Guidelines for Implementing and Using the NBS Data Encryption Standard; and FIPS 81, DES Modes of Operation


この共通鍵暗号アルゴリズム、米国政府だけが破れるバックドアがあるんじゃないかいう噂があったり、解読専用のハードウェアチップが現れたり、1999年のRSAの暗号破りコンテストでdistributed.netが22時間で暗号文を解読したり、いろいろ話題性には事欠かない存在でした。この1999年という年は、ある意味暗号系の話題が最も盛り上がった時期だったといえるでしょう。

この数年前の1997年から「すでにDESは弱いのでは」と暗号学者の間ではもちきりで、これを受けNISTではAESの暗号アルゴリズムの公募を始めていました。他方、DESはTripleDESとして強度を高め、その用途を見出そうとします。しかしながら新しい実装からは徐々に使われなくなり、まるで年季の入った悪役レスラーのような存在になっていきます。計算能力の高くない携帯電話(WAP2.0)からもTripleDESは見放され、みな次世代標準のAESに向かって行きます。

そして2005年5月19日、ひっそりと迎えた引退の日。1977年の標準採用から20数年間、暗号の先端米国で頑張ってきた割には地味な最後でした。君はよく頑張った。ありがとうDES。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1117970043.html |

May 29, 2005


[Security] Amazonのビーコン 00:37
ふぅ、
ようやっと、新サイト移行に伴う整備が終わった感じです。

今度のサイトでは書籍紹介周りの仕掛けを変えるとともに、AMAZONの「Webビーコン」をリンクに追加することにしました。

私はまがりなりにもセキュリティを専門にしていた人間ですから、これに関して見解を記載しておきます。

画像は新しいbyway, sidewayをWindows XP SP2で開いたときに表示されるプライバシーレポート。見て分かるとおり、amazon.comが商品画像(.jpg)表示と同時にCookieを焼きこもうとしているのがわかると思います。これはAmazon.co.jpのプライバシー規約によるものです。これについては規約をお読みになり、セキュリティソフトやブラウザ設定でブロックする/しないを決めればよいと思います。そこまでストイックに考えるのが面倒だとしても、用事が済んだらAmazon.co.jpから都度都度ログアウトしさえすれば、個人情報とCookieの紐付けが切られますから、セキュリティ的には面倒なことにはならないはずです。

まあ、ここまではAmazonの画像を使うブログではよくある話。
さて、WinXP2をお持ちの方は、このプライバシーレポートで「すべてのサイト」表示をしてみてください。www.assoc-amazon.jpという見慣れないドメインがあると思います。これが、Webビーコン。この5月から追加されたAmazon.co.jpアソシエイト・プログラム(販売促進プログラム)から送信される1x1ピクセルのイメージです。
<img src="http://www.assoc-amazon.jp/e/ir?t=xxx-22&l=as2&o=9&
a=1234567890" width="1" height="1" border="0" alt=""
style="border:none !important; margin:0px !important;" />
今日時点で以前の「画像なしリンク」も有効ですが、今後はこの「新しいリンク方法」を使うことをAmazonは推奨しています。非常に荒っぽい言い方をすると、紹介元である各サイトのインプレッションとAmazonの販売状況を照合し、効果測定することになったから、必ず小さい画像(ビーコン)を貼りなさい、という発表が突如されたわけです。ビーコンについては、高木浩光先生の日記に一番詳しい記載があります。

ビーコンの危険なところは、ビジターのクリックというアクションなしに情報が取られ、それが意味を持ってしまうことです。最初この話を聞いたとき、サイトの引越しを機にやめてしまおうかとも考えたのですが、思いとどまって新仕様を採用することにしました。個人を特定するクッキーの送信元(amazon.com)とは異なる別のドメイン、assoc-amazon.jpでビーコン画像を管理しており、特定の広告会社など第三者がこれに介在していないと分かったからです。
Amazon.co.jpアソシエイト・セントラル[要ログイン]
テキストリンク、個別商品リンク(基本型)に挿入されているイメージタグにより、インプレッションごとにどのような情報を収集しているのですか?

各インプレッションに対し、アソシエイトID、リンクタイプ、ASIN(該当リンクのみ)を記録します。この際、当プログラムはいかなる個人情報も記録しません。また、ビジターのコンピューターの、Amazon使用時のcookieにアクセスすることもありません。
もし同一のドメインでこれらの画像のアクセス履歴やCookieがすべて管理されていれば、このブログを見ただけで(Amazonの振り出すCookieを利用した)個人情報の紐付けを行うことができます。しかし、Amazonはあえてそれを避ける実装を今回しました。紹介者と見込み顧客の個人情報相互のマッチングができないようにシステム的に考慮されていて、あくまで紹介者のみを追跡するためシステムが設計されたと考えているほうがよさそうです。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (1) | Parmanent link /Security/1117294625.html |

May 28, 2005


[Security] CISSPの認定者数 03:09
CISSPの認定団体である(ISC)2のページにて、認定者(構成員)の国別分布を公表し始めたようです。
2月の情報によると、日本のCISSP認定を受けたセキュリティプロフェッショナルは230名で10番目とのこと。
Constituent Counts - (ISC)2
  • Number Of CISSPs By Country

    UNITED STATES20417
    CANADA1719
    UNITED KINGDOM1248
    HONG KONG1226
    SINGAPORE694
    KOREA666
    AUSTRALIA503
    INDIA450
    NETHERLANDS269
    JAPAN230
    CHINA217
    GERMANY194
    SWITZERLAND192
    SOUTH AFRICA159
    FINLAND137
2004年5月の数値は64人(在日の外国人の方を含む)でしたから、8ヶ月でまずまず順調に数を増やしているようです。日本語での試験実施が効いているのでしょう。香港、シンガポール、韓国が多いのは国家施策としていろいろやっていて、かつ英語を使う環境の差異がありますから、単純に比較するわけにはいかないですが。

この半年ほど純粋に個人ベースで受けているケースに限れば、日本もいい感じなんじゃないでしょうか。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (1) | Parmanent link /Security/1117217352.html |

May 21, 2005


[Security] 仕手株SPAM&ペニー株ソーシャル 03:14
ブルースシュナイアー氏が新手のボイスメールを使ったソーシャルエンジニアリング(社会工学的ハッキング手法)として下記を紹介しています。

Schneier on Security

Social Engineering Via Voicemail
Here's a clever social engineering attack:

The Division has received a number of calls concerning a voicemail message left by an anonymous female caller urging them to purchase a particular penny stock.


確かに気を引くことにはなるけど、、、「はたしてこれってソーシャル?」と思いつつ調べてみたらこんな記事が。

手早い利益獲得を狙うスパマー、再びペニー株を攻略手段に

2005年5月10日イギリス ロンドン発 - インターネット詐欺犯が、メール爆弾による儲けを最大化するために、再び株式市場に矛先を向けています。電子メールセキュリティのエキスパート企業、クリアスウィフトは、最新月のスパムインデックスで、この数週間でいわゆる「Pump and Dump(違法な株の売り逃げ行為)」と呼ばれる詐欺メールの件数が700%に急増していることを伝えています。


ふーん、スパムメールでも、ペニー株(低位株:仕手株の売り逃げ)関連が急増ということですね。ボイスメールだとSPAMと違いフィルタリングもされないし、足跡もつかないと。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1116612853.html |

May 11, 2005


[Security] RSAカンファレンス&CISSPフォーラム 02:50
今週・来週は行きたい会合が2つあるんですけど、やはりいけそうにないです。誰か行ってきた方、コメントかトラックバックもらえるとうれしいです。

5月12日、13日
RSA Conference 2005 Japan
※ニュープロダクト&テクノロジートラックの事前登録は11日18時まで。

5月18日 17:30~19:30
CISSP Forum2005 Japan
※CISSPホルダー限定。

あー、RSAはブルースシュナイアーが来ているじゃん。これだけでも聞きたいんだけど。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (4) | Parmanent link /Security/1115747413.html |