しゅーと

話題になった当時は反応を控えていましたが、去年被害が爆増して話題になったCANインベーダーによる車両窃盗は、技術背景を拙著で2年以上前から紹介しています。車両のコンピュータ仕様がどう解析されて開錠されるのか、技術的見地からカーハッキングの基礎を知りたい方は是非 shuttle.booth.pm/items/1835492

こういうのあるあるすぎて 開発工程で無邪気に作られたデバッグ機能なんだろう(だから大抵のケースはLAN側からのみ利用可能) 個人的にはメーカーしか触れないTR-069とかでいつの間にかバックドア埋め込まれるケースが怖い。メーカーを信用するしかないので

サイバー攻撃で中高生が逮捕されるたびに湧いてくる 「将来有望！ホワイトハッカーとして雇うべき！」みたいな風潮、 犯罪なんてしてない中高生からしたら理不尽すぎるんだよな 正当に強い人間が報われない空気になるから、いい加減この称賛パターンやめた方がいい

突然ですが、新刊です。フォトグラメトリの教科書に続き、インプレス NextPublishing様技術の泉シリーズです。 空と宇宙のサイバーセキュリティ入門　航空宇宙システムの基礎から衛星ハッキング対策まで | インプレス NextPublishing nextpublishing.jp/book/18811.html

この度はお客様には多大なご迷惑をおかけすることとなり誠に申し訳ございません。 以下の件につきまして深くお詫び申し上げます。 IIJセキュアMXサービスにおけるお客様情報の漏えいについて iij.ad.jp/news/pressrele…

サブドメイン探索に証明書発行情報サービス使う例としては crt.sh にpublic suffixを入れるとかすれば... #CITP_51

わかりやすいし素晴らしい、登録不要で読める、よい。 ファイルアップロードのところは個人的にはロジックの脆弱性と認識してなかったけど(実装のカテゴリかと)、ロジックのカテゴリなんやなあ

北原さんから「Windowsセキュリティインターナル」をご恵贈いただきました！500ページを超える大ボリュームで、低レイヤ勢にはたまりません。Windowsセキュリティの真髄に触れていきます...！

@takahoyo 子どもの初急病で飛行機出張を飛び帰ったときに悟ってもう数年はあらゆることを諦めた😇

ここ最近、大事な仕事や楽しいイベントがある時に限って家族みんなで体調不良になってしまってつらい…

楽しみすぎる

本日、ザックさんが開催している「DFIR忍者チャレンジ」 #yamasec で「Active Directory攻防※よく見る脆弱性」のテーマで登壇した資料です。 @yamatosecurity 誘ってくれてありがとうございました！ ※前のポスト名がよくなかったみたい、、、 speakerdeck.com/cryptopeg/acti…

⚙️Fuzzing Villageのお知らせ⚙️ SECCON 13 電脳会議の一日目に、弊社エンジニア集団がFuzzing Villageを開催します。Fuzzingの基礎知識から実践的な手法までを体験できる機会です。 Fuzzing Village CTFも開催予定です。豪華賞品もあるので、ぜひご参加ください！！ #SECCON #d1-ws6" target="_blank" rel="nofollow noopener">seccon.jp/13/ep250301.ht…

ペネトレはAIに任せて隠居するか

AI全自動ペネトレーションテスト初期侵入くん（RapidPen）、セキュリティ・キャンプフォーラムに先立ってデモ動画を公開しました📹 Hack The BoxのBlueマシンのシェルを全自動で奪取します。 📌 [Demo] RapidPen Automatically Gains a Shell (HTB Blue Machine) youtu.be/uk4209jyzvg?fe…

pandocみたいな機能だ...

セキュリティ人材居なさすぎ

先日Active Directory 環境に対する攻撃と推奨する保護策の基本ポイントを理解する勉強会をしました。対象は、非セキュリティ担当、AD運用担当で技術的には浅めですが全体像の把握ができるようにまとめています 誰かのお役に立てればということで資料公開しました📝 speakerdeck.com/eurekaberry/ac…

@AvatarofVirtues もちろんこれは冗談でカメラの撮影データのバックアップ用途にノートPCを持っていったのですが、確かにWifiの安全性確認のためにAndroid端末を持参するのはいいアイデアかもしれませんね

@shutingrz 各種電波検出機も別途携行されたし。 但し、荷物は軽くしたいところ。 Android端末の性能、年々向上しているので、 Wifiの安全性確認だけなら、Android用のTerminalアプリで済ませようかな、と、最近は割り切ろうとしてます。 出先では、不確かな回線に接続しないのが、一番、なのですが、通信費が…

新婚旅行でも脆弱性調査用のPCみんな持っていくよな！？

@nikinusu お読みいただきありがとうございます！仕事としては同じことをペネトレとしてサービスしています。お客様と保護したい資産を擦り合わせたあと、診断期間、シナリオ、ゴール、調査範囲、事前情報の開示範囲を決めてから開始します

めちゃ面白かった。変態だ！（褒めてます） 診断員の方が柔軟に目的や仮説を立てて調べるとこんなに見つかる&深堀されるんだ。 こういう調べ方って脆弱性診断の範疇なのか、ペネトレなのか、サービスでは踏み込まれない趣味の世界なのかどれなんだろう。

@shinji_kono 今回は他客室のタブレット端末そのものを遠隔操作するものではなく、自客室のタブレット端末の任意操作(問題1-4)と、コントロールサーバ経由の他客室のタブレットシステム操作(問題5)の2種類になっています。2種の問題が1つの記事に纏まってるのでわかりづらくてすみません🙇

@shutingrz 単体をsafe bootできてから、他の端末のデバイスにアクセスするまでは距離があると思うけど そんなことができるなら、ゲストwifiからでも可能なんじゃないの?

高級ホテルの客室タブレットに潜む危険：他客室も操作、盗聴可能だった脆弱性を発見するまで devblog.lac.co.jp/entry/20250124 書きました。だいぶ珍しいタブレットシステムに対する事例です。大作なのでぜひ読んで🙏