  |
はてなキーワード: Firewallとは
ある企業で、サーバ室に設置してたFirewallの電源を「電気代がもったいない」って理由でそこの偉いさんがわざわざoffにして
Firewallってその名の通り壁で、そこがパケットを転送しないのだから、内も外も遮断される
内部では物理的に直結されてて電源オフるとパケットをそのまま横流し「してくれる」の?
これもとからFirewallが機能していなかったとしか思えない
自販機って結構古い機体でも、「釣銭切れ」って売り切れと同義なんよ
ちな海外向けはforceベンドって機能があって釣銭無しでも売るフラグがある
海外で釣銭返ってこないとかの話はこれだと思っている
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
32 風吹けば名無し@転載禁止 [sage] 2014/11/25(火) 04:07:46 ( tor-elpresidente.piraten-nds.de )
使えなくは無いけども当職は使わないナリ
kaliかtailsをCDに焼いた方が便利ですを。win系のパスクラならophcrackがオススメナリ
守り方だけど鯖建てたい初心者はhackmeで検索してSQLインジェクションとXSS辺りの初歩を学ぶと良いナリ
バッファオーバフローはアップデートと設定さえ、やっとけば0dayで無い限りやられることは無いと思うナリ
win系とかの簡易ウイルス発見テクは「タスクマネージャが出ない」「隠しフォルダが強制非表示になる」
「サービス、スタートアップ、タスクスケジューラに不審なexeが登録してある」「USBを挿した時autorun.infを上書きしようとする」等々のパターンが多いナリ
とりあえず常駐プロセスとサービスがどこの会社のどのソフトか理解しておくことも早期発見に繋がるので大切ナリ
防御ソフトとしてはpeerblock、sandboxie、privoxy、EMET、DNSCrypt、comodo firewall辺りと適当なウイルス対策ソフトナリ
ブラウザはfirefoxでアドオンはadblock edge、cookiesafe、noscript、prefbar辺りを入れてprefbarでプロキシとかflashとかjavaのオンオフ管理すると良いナリ
合計は重複含む
| 賞種別 | タイトル | PC | PS4 | NS | XB1 |
| GAME OF THE YEAR | ゴッド・オブ・ウォー | x | |||
| アサシン クリード オデッセイ | x | x | x | x | |
| Celeste | x | x | x | x | |
| Marvel’s Spider-Man | x | ||||
| モンスターハンター:ワールド | x | x | x | ||
| レッド・デッド・リデンプション2 | x | x | |||
| BEST ACTION GAME | Dead Cells | x | x | x | x |
| コール オブ デューティ ブラックオプス 4 | x | x | x | x | |
| Destiny 2 孤独と影 | x | x | x | ||
| ファークライ5 | x | x | x | x | |
| ロックマン11 運命の歯車!! | x | x | x | x | |
| BEST ROLE PLAYING GAME | モンスターハンター:ワールド | x | x | x | |
| ドラゴンクエストXI 過ぎ去りし時を求めて | x | ||||
| 二ノ国II レヴァナントキングダム | x | x | |||
| OCTOPATH TRAVELER | x | ||||
| Pillars of Eternity II: Deadfire | x | x | x | x | |
| RE: Charge | |||||
| BEST NARRATIVE | レッド・デッド・リデンプション2 | x | x | ||
| Detroit: Become Human | x | ||||
| ゴッド・オブ・ウォー | x | ||||
| Life is Strange 2: Episode 1 | x | x | x | ||
| Marvel’s Spider-Man | x | ||||
| BEST SCORE/MUSIC - PRESENTED BY SPOTIFY | レッド・デッド・リデンプション2 | x | x | ||
| Celeste | x | x | x | x | |
| ゴッド・オブ・ウォー | x | ||||
| Marvel’s Spider-Man | x | ||||
| 二ノ国II レヴァナントキングダム | x | x | |||
| OCTOPATH TRAVELER | x | ||||
| BEST ART DIRECTION | Return of the Obradin | x | |||
| アサシン クリード オデッセイ | x | x | x | x | |
| ゴッド・オブ・ウォー | x | ||||
| OCTOPATH TRAVELER | x | ||||
| レッド・デッド・リデンプション2 | x | x | |||
| BEST VR/AR GAME | ASTRO BOT:RESCUE MISSION | x | |||
| Beat Saber | x | x | |||
| Firewall Zero Hour | x | ||||
| Moss | x | x | |||
| TETRIS EFFECT | x | ||||
| BEST FIGHTING GAME | ドラゴンボール ファイターズ | x | x | x | |
| BLAZBLUE CROSS TAG BATTLE | x | x | x | ||
| ソウルキャリバーVI | x | x | x | ||
| ストリートファイターV アーケードエディション | x | x | |||
| BEST FAMILY GAME | Overcooked 2 - オーバークック2 | x | x | x | x |
| マリオテニス エース | x | ||||
| Nintendo Labo | x | ||||
| スターリンク バトル・フォー・アトラス | x | x | x | ||
| スーパー マリオパーティ | x | ||||
| BEST STRATEGY GAME | Into the Breach | x | x | ||
| The Banner Saga 3 | x | x | x | x | |
| BATTLETECH | x | ||||
| Frostpunk | x | ||||
| 戦場のヴァルキュリア4 | x | x | |||
| BEST INDEPENDENT GAME | Celeste | x | x | x | x |
| Dead Cells | x | x | x | x | |
| Into the Breach | x | x | |||
| Return of the Obra Dinn | x | ||||
| The Messenger | x | x | x | x | |
| BEST SPORTS/RACING GAME | Forza Horizon 4 | x | x | ||
| FIFA 19 | x | x | x | x | |
| マリオテニス エース | x | ||||
| NBA 2K19 | x | x | x | x | |
| ウイニングイレブン 2019 | x | x | x | ||
| BEST GAME DIRECTION | ゴッド・オブ・ウォー | x | |||
| A Way Out | x | x | x | ||
| Detroit: Become Human | x | ||||
| Marvel’s Spider-Man | x | ||||
| レッド・デッド・リデンプション2 | x | x | |||
| BEST ONGOING GAME | フォートナイト | x | x | x | x |
| Destiny 2 孤独と影 | x | x | x | ||
| No Man’s Sky | x | x | x | ||
| オーバーウォッチ | x | x | x | ||
| レインボーシックス シージ | x | x | x | ||
| BEST AUDIO DESIGN - PRESENTED BY DOLBY | レッド・デッド・リデンプション2 | x | x | ||
| コール オブ デューティ ブラックオプス 4 | x | x | x | x | |
| Forza Horizon 4 | x | x | |||
| ゴッド・オブ・ウォー | x | ||||
| Marvel’s Spider-Man | x | ||||
| GAMES FOR IMPACT | Celeste | x | x | x | x |
| 11-11 Memories Retold | x | x | x | ||
| Florence | |||||
| Life is Strange 2: Episode 1 | x | x | x | ||
| The MISSING - J.J.マクフィールドと追憶島 - | x | x | x | x | |
| BEST ACTION/ADVENTURE GAME | ゴッド・オブ・ウォー | x | |||
| アサシン クリード オデッセイ | x | x | x | x | |
| Marvel’s Spider-Man | x | ||||
| レッド・デッド・リデンプション2 | x | x | |||
| シャドウ オブ ザ トゥームレイダー | x | x | x | x | |
| BEST MULTIPLAYER GAME | フォートナイト | x | x | x | x |
| コール オブ デューティ ブラックオプス 4 | x | x | x | ||
| Destiny 2 孤独と影 | x | x | x | ||
| モンスターハンター:ワールド | x | x | x | ||
| Sea of Thieves | x | x | |||
| 計 | 56 | 79 | 38 | 53 |
