【セキュリティ】オヤジのきまぐれニュース – 2017/05/26


本日のセキュリティ寄りだけど、そうじゃないのも混じってるニュースだよ。


大量の脆弱性報告で注意喚起、インストーラ作製アプリなどに起因 – 脆弱性狙うマルウェアも

http://www.security-next.com/082096
うーん、永遠の課題ですな…。仕組みは分かりやすいですね。libフォルダ配下のファイルをワイルドカード指定で取得するような実装でしょ。組織で作っていれば1ファイル1ファイル指定するようなコーディングルールにしたりするだろうけど、個人とか小規模で作っているものだと怪しいですね。


Twitterに第三者が勝手にツイートできる脆弱性、発見者に報奨金7560ドル

http://itpro.nikkeibp.co.jp/atcl/news/17/052501503/?ST=security&itp_list_theme
文面だけ読むと脆弱性というより、ただのバグじゃないの?と思ってしまうのですが…。本家見てみると、Burp使ってパラメータいじるぐらいはしてるのか。これで80万円弱。


WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか

http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?ST=security&itp_list_theme
名前解決できないときだけ活動する、って面白い仕組みだな。ウラのかき合い。
サンドボックスでは活動しないマルウェアってこういう仕組みなんですね。思ってたより普通だった。


「ログインの3割がなりすまし」、アカマイが最新の攻撃動向と対策を解説

http://itpro.nikkeibp.co.jp/atcl/news/17/052301479/?ST=security&itp_list_theme
ハニーポットのCowrieちゃん見てると、入力を再生できたりするんだけど、操作がめちゃくちゃ速いログがあるんよね。あれボットなんだろうね。というか、ほぼそういうパターンなんだけど。


IT業界の多重下請け構造とは何なのか

http://axia.co.jp/2017-05-06
過去こういう会社に所属していたような…。相手にしている会社が大きい会社だったし、さっさと帰れな文化の現場だったので悲惨ではなかったけど、やっぱグレーじゃなくてブラックよね。指示系統については書かれている通りでしたし。
ただ、労務の観点でばかり書かれているけど、経験を積む意味では必ずしも悪いことばかりではないと思いますよ。本人のやりたいことができるのであれば、こういう働き方を必ずしも否定しません。
ちなみに現在の私は、派遣契約でクリーンにお仕事してます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です