OWASP ESAPI encoder library

ESAPI is a library for user input cleansing for a web application. ESAPI encoder sanitizes user input so that the input can be safely displayed on a user's browser. ESAPI is a great help preventing code injection (inc. SQL injection) and XSS.

OWASP ESAPI (OWASP Enterprise Security API)
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

ESAPI supports
- Java, .NET, Python, Ruby, PHP, etc.
- Base 64 encoding/decoding is also supported.

P.S. For XSS prevention,
Set cookies HTTP access only and block Javascript access.

iPhone の管理

iPhone を企業にて使う際の情報

http://www.apple.com/support/iphone/enterprise/


Enterprise Deployment Guide とか iPhone Security Configuration Tool なんてものがあるみたい。
iPhone Security Configuration Tool を使うと、プロファイルを作って、iPhone や iPad に展開できるみたい。

SANS Mentor Program について

SANS には SANS Mentor Program というものがあって、GIAC の試験を 85% 以上の正答率で合格すると、その人にメンバーにならないか、と、招待状が送られるようです。
例の如く、招待状が届いて初めてその存在をしりましたよ、 と。

SANS Mentor Program
https://www.sans.org/mentor/about.php

フルタイムで講師を務める道もありますよ、と、招待状にはそんなことも書いてありました。
日本では生徒が集まらないような...。

SANS って参加型の組織なんですね。

The GIAC Advisory Board について

SANS には The GIAC Advisory Board というものがあって、GIAC の試験を 90% 以上の正答率で合格すると、その人にメンバーにならないか、と、招待状が送られるようです。
招待状が届いて初めてその存在をしりましたよ、と。

GIAC Advisory Boards
http://www.giac.org/certified/board.php

真面目に勉強するとこんなこともあるんですね。

GIAC GSNA について

日本ではとっても知名度の低い、SANS Institute の GIAC Systems and Network Auditor (GSNA) を取得してみました。

勉強形態
独学

利用教材
SANS の研修教材のみ（ AUDIT 507 Auditing Networks, Perimeters, and Systems を SANS OnDemand にて受講）
1. レジュメ * 6冊
2. Work Book * 1冊
3. レクチャーの音声 * 6日分

勉強方法
1. 教材を見ながらレクチャーの音声を繰り返し聞く（SANSのサイトからレクチャーのライブ録音がDLできます）
2. 教材の読み込む（メモの部分も読む必要がありますよ！）
3. Work book の課題を実際にやってみる（教材にLinuxサーバ6台分のVMがラボ環境として含まれています）
4. 模擬試験（教材に2回分の模擬試験が含まれています）

費用
研修費用：AUD507: Auditing Networks, Perimeters & Systems ($3,268.00)
受験費用：GIAC Systems and Network Auditor - GSNA ($499.00)
教材発送費：Shipping Charges (Worldwide Expedited): $179.77 ← いくらなんでも高すぎ！
合計：Total: $3,946.77

勉強期間
2ヶ月（平日は仕事が終わってから、週末は土日とも一日中、ゴールデンウィークまで...。）

難易度
ネットワーク、Winodwsサーバ、UNIX系サーバ、全ての管理経験があれば、楽しく勉強できると思います。３つのうちどれかが掛けていると、必死で勉強する必要があるかもしれません。殊、Windowsサーバについては細かいところまで取り上げているな、という印象を持ちました。
SANS の監査系資格で一番難しいということになっている通り、簡単な試験ではないと思います。

試験問題
普通の英語で、題意はすぐにつかめるはずです（CISAのように問題を読み解く技術は必要ない、ということ）

注意点
試験は CBT なのですが、2010年春の時点では、日本で GIAC の試験を受験可能な場所はテンプル大学日本校のテストセンターのみです。また、受験可能日があらかじめ決まっており、それが月に１日だけ。さらに、月によっては試験日が平日に設定されていたりします。受験を思い立ったら、なによりもまず試験の日程確認＋予約を済ませるのが吉でしょう。

感想
例の如く、 取得費用は全額自腹。$4,000 近い投資を回収しようと意気込んで勉強を始めましたが、終わってみれば十分に元が取れたように感じています。システム監査、システム管理の実務に応用できる内容を多数身につけることができましたし、レクチャーの中でとりあげられていた実例や Tips も興味深いものでした。各種ツールを実際に試してみる Work Book の課題により、楽しいひと時を過ごすこともできましたしね。


次の資格コレクション、何にしようかな。システム系で行くなら、Windows Server 2008 関連の資格か GIAC Certified Enterprise Defender (GCED) あたりか。GIAC Certified Forensic Analyst (GCFA) は面白そうだけれど、今やっている仕事とちょっと離れすぎているからなぁ。あるいは CPA の勉強でもしようか。

ところで、日本人の GSNA ホルダーって何人くらいいるんでしょうかね。

参考
GIAC Systems and Network Auditor (GSNA)
http://www.giac.org/certifications/audit/gsna.php

AUDIT 507 Auditing Networks, Perimeters, and Systems
http://www.sans.org/security-training/auditing-networks-perimeters-systems-6-mid

Web Application Firewall 読本

後で読む

Web Application Firewall
http://www.ipa.go.jp/security/vuln/waf.html

オープンソースのWAF

Wizard Bible の金床氏が作っているんだそうな。

Guardian@JUMPERZ.NET
http://www.jumperz.net/index.php

Wizard Bible
http://wizardbible.org/

Snow Leopard

早速アップデートしてみました。
何事も無くアップデートは進んで行き、40分程度で終了。
インストール完了後、早速OSのソフトウェアアップデートを行ってみると、
3件のアップデートがありました。

Weekly となっていたアップデート確認周期を Daily へと変更したのは言うまでもありません...。

それってなんてセキュリティ意識の欠如 AIGの情報漏洩

システムの試験で本番データ?
いや、もちろん使わざるをえないこともあるけれど、モノがモノだけに相応の管理を行うだろう、普通。
何が起こったんだ？

内部の試験データ流出か＝情報流出、最大１３万件に拡大−アリコ
http://www.jiji.com/jc/c?g=soc&k=2009072700869

SANS Future Visions 2009 Tokyo の配布資料

【強いセキュリティ管理チームを組織する】
SANS Technology Institute　プレジデント　スティーブン ノースカット
http://sans-japan.jp/pdf/Building_A_Great_Security_Team.pdf

SANSの方々の講演、同時通訳はついていたけれど、資料は英語版だけでした。

そのうち行く研修

コンピュータ・フォレンジック技術者養成コース
http://www.dit.co.jp/training/forensics/index.html

Unified Threat Management(UTM) のベンダ

パッとうかんできたものたち

Cisco ASA 5500 Series Adaptive Security
http://www.cisco.com/en/US/products/ps6120/index.html

FortiNet FortiGate
http://www.fortinet.com/products/

McAfee
http://www.mcafee.com/us/enterprise/products/network_security/utm_firewall.html

無線LANの安全性

安全なプロトコルで通信していようが、パスワード自体が脆弱だったら何の意味もないってことですね。

 GPUを利用した無線LANのパスワードクラッキングが主流に
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20386958,00.htm

スパムメール対策

Backscatter (Backward Scattering) について調べる機会がありまして、
Backscatter とは？　どのような方針で対処？ 実際の対策方法は？
ということがよくまとまっているサイトを見つけました。

Backscatter
http://spamlinks.net/prevent-secure-backscatter.htm

SpamLinks ってスパムメール対策関連の膨大なリンク＋解説サイトのようです。
http://spamlinks.net/index.html

iptables でファイアウォール設定を管理

/sbin/iptables を使ってポリシーを作成
=> メモリ上の情報を更新

/sbin/service iptables save を使ってポリシーを保存
=> メモリ上の情報を /etc/sysconfig/iptables に保存

echo 1 > /proc/sys/net/ipv4/ip_forward
=> NIC -> Linux BOX -> NIC とパケットが通り抜ける動作を許す
=> メモリ上のパラメータを更新
=> #Linux のマシンを router として構成する際の必須設定

/etc/sysctl.conf にて net.ipv4.ip_forward の設定値を 1 に変更
=> 次回以降起動時に利用される設定ファイルの更新

参考：Linux でルーター/ファイアーウォールを作るときに重宝するサイト

Linux Home Networking: Quick HOWTO : Ch14 : Linux Firewalls Using iptables
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables

財務省、生体認証に100%の信頼性を求める

生体認証には誤認証が付きものです。

一般的な生体認証、つまり、事前にユーザーの情報を登録し、その情報を元に認証を行う場合ですら
False Acceptance （ 本来認証してはいけない人を認証してしまうエラー）の発生を抑止できません。
いわんや、アルゴリズムを使用して万人の顔からその年齢を判別をや。

財務省さんは「もっと強力な魔法を使え」との指示を出している？
読売新聞さんは財務省さんのことを皮肉っている？

１つ確実なのは、たばこ自動販売機メーカーには魔法使いか詐欺師のどちらかがいる、ということでしょう。

なんだかなぁ。

バイオメトリクス認証技術
http://img.jp.fujitsu.com/downloads/jp/jmag/vol54-4/paper04.pdf

刑事事件でもないのにプロバイダは情報を出すの？

裁判所の要請がなきゃ個人情報だしちゃだめだろ > プロバイダさん

　日本IBMは監視作業のほかに、流出情報をShareネットワークにも拡散させた人物の特定や当該情報の削除をインターネットサービスプロバイダーと進めていた。

神奈川の個人情報流出、規模は2000人から約11万人に
http://www.itmedia.co.jp/enterprise/articles/0901/08/news100.html

これって刑事事件なわけ？
なんでIBMが調査してるの？
協力しているプロバイダってどこ？

2009/01/09 追記

「Shareネットワークへの意図的と推察される情報公開行為に関し、刑事事件化も視野に入れて神奈川県警察との協議を開始した」と発表したが、現在までにISPからの情報開示は行われていないという。
http://internet.watch.impress.co.jp/cda/news/2009/01/08/22046.html

とのことなので、ITmediaがとんでもな記事を書いていただけでした。。。

JPIX: 日本インターネットエクスチェンジ株式会社

イタリア−エジプト間を結んでいる地中海のファイバーケーブルが事故で破損してしまったそうな。
http://www.bloomberg.com/apps/news?pid=20601085&sid=ayPbWf_7l17w&refer=europe

あれ、日本のってどうなってるんだっけ、と、Google先生にいろいろ聞いるなかで、
日本国内のネットワークトラフィックが１日の間にどんなカンジで変化しているかを
簡単に確認できるものを発見。

こんなカンジ。

JPIX トラフィック
http://www.jpix.ad.jp/jp/techncal/traffic.html
# AM6:00から7:00が一番少ないんですね、トラフィック。

どうでもいいけどJPIXさん、スイッチの設置場所を誇らしげに宣伝しているのってセキュリティ的に
いかがなものでしょうか...。
http://www.jpix.ad.jp/jp/service/site_info.html

TCB, Trusted Computing Base

CISSPのお勉強で勉強したTCB、HPさんの関連資料を見つけましたよ。

HP 9000 Computer Systems : Administering Your HP-UX Trusted System
http://docs.hp.com/en/B2355-90121/

SSLとCRLの確認について

ブラウザデフォルト設定だと SSL の通信を始める際に電子証明書の CRL を確認しない。

# このことが原因で man-in-the-middle-attack の被害がでたらどこが責任を負うんだろう...。