以前、安全に悪いことをする方法として、やられサイトの活用を検討したが、自分で作る場合、どれくらい手間なのだろうか?
最近はAmazon Web Services(AWS)や、Google Cloud Platform(GCP)等のIaaSサービスが充実しており、サーバは簡単に立てられる。
で、上物のアプリケーションだが、最近、XAMPPという便利なものの存在を知った。
XAMPPとは、ウェブアプリケーションの実行に必要なフリーソフトウェアをパッケージとしてまとめたもので、apachefriends.orgから提供されている。
主として開発用あるいは学習用であり、名前の由来は下記から構成されている。
・X - Windows、Linux、macOS、Solarisのクロスプラットフォーム
・A - ApacheのA
・M - MariaDB(旧バージョンはMySQL)のM
・P - PHPのP
・P - PerlのP
ただ、上記以外にFTPサーバであるFilezillaや、メールサーバであるなども同梱されており、個別にダウンロードをすることなく、XAMPPの管理コンソールでインストールから設定までまとめて行うことができる。
更にXAMPPにはアドオン機能があり、WordPress、Joomla、Drupal等、悪名高いCMSも簡単に導入することができる。
まったくもって便利な世の中になったものである。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
暗号化ZIPファイルのパスワードが分からなくなった際の対処法 【fcrackzip】
ZIPファイルのパスワードをかけたものの、そのパスワードを忘れてしまい、困ってしまうことは無いだろうか?
そんな時はあきらめるか、正攻法でパスワードクラッキングをするしかない。
パスワードクラッキングの難点は、パスワードが複雑であるほど解読に時間がかかる点である。
パスワードについてはNISC(内閣サイバーセキュリティセンター)が推奨する、英大文字小文字+数字+記号の組み合わせで10桁以上のものを採用した場合、クラッキングツールを用いても約2,785,976,009,000,000,000通りのパターンを試さなければならないため、スパコンでも使わない限りは現実的に厳しいため、潔く諦めたほうが良い。
パスワードが小文字と数字だけで6桁程度であれば、ツールを使うことで解読ができるかもしれない。
ツールは下記を使う
fcrackzip
自分も1回だけパスワードを忘れてしまい、ツールによる解読を試みたが、とてつもなく時間がかかった記憶がある。
本気で解析するのであれば、相応の時間を覚悟したほうが良い。
【参考】
https://otome-pw.hatenadiary.org/entry/20120423/1335146459
優良FX事業者を見分ける方法
爆損系FX YouTuberのJIN氏が2019年1月のフラッシュクラッシュで2500万吹き飛ばした話を聞いて、以前とある筋から優良FX事業者を見分ける方法を教えてもらったのを思い出した。
その方法とは、スワップポイントを見る方法である。
これはスワップポイントが高い=優良事業者という意味ではない。
通常、スワップポイントの絶対値は同じになるはずである。
ところが、FX事業者は利用者に購入してほしいペアに対してスワップポイントを高くつける傾向にあるため、ダメ事業者になればなるほど、買いと売りのスワップポイントが乖離していくというわけである。
早速ある日のスワップポイントの一覧を見てみる。
こう見ると、JIN氏が2500万円吹き飛ばしたヒ〇セ通商はかなりダメな部類の事業者ということになり、JIN氏が1年経っても根に持つのも分かる気がする。
また、この一覧から行くと、「みんなのFX」や「LIGHT FX」が優良事業者と言うことになる。
自分はFX自動売買を行っており、一覧にはない事業者を使っているのだが、裁量トレードを行う際は優良事業者を使いたいと思う。
「JAL NEOBANK」を考えてみる
JALがネット銀行サービス「JAL NEOBANK」を始めたらしい。
「JAL NEOBANK」の銀行口座を作れるのは、「JAL Global WALLET」利用者のみ。
「JAL Global WALLET」はリリース時に導入を検討したものの、イマイチ感が強く、見送った経緯がある。
個人的に何がイマイチだったかと言うと、プリペイド型であるという点。
事前にチャージして両替して現地引き出しだと、「JAL Global WALLET」に半端な残高が残る感じが嫌だなと。
ただ、改めて「JAL Global WALLET」のサイトを見てみると、小数点第2位までの単位で両替できるようなので、イマイチな点は自分の思い過ごしだったらしい。
「JAL Global WALLET」を既に持っている人は「JAL NEOBANK」の口座を追加で作る形になるし、無い人は今後セットで申し込む形となる模様。
んで、「JAL NEOBANK」と、「JAL Global WALLET」の関係が下記。
これまでは「JAL Global WALLET」への入金に難があったのを、「JAL NEOBANK」を用意することでそれを解消させた感じ。
「JAL NEOBANK」は住信SBIネット銀行との協業で行っているため、感覚的には住信SBIネット銀行の機能を一部そぎ落としたものを「JAL NEOBANK」とした感じ。
自分は住信SBIネット銀行をメインで使っているが、メインバンクとして使うには明らかに機能不足なイメージがあるが、「JAL Global WALLET」への橋渡しがメインであれば、まぁよいのかと。
んで、肝心な活用法だが、自分は住信SBIネット銀行をメインにしているため、「JAL NEOBANK」はあまりメリットが無い。
「JAL Global WALLET」だが、最近の円高傾向を鑑みて活用法を思いついた。
それは、円高時の外貨預金である。
たまに旅行の計画は無いのだが、円高で「今海外に行って両替したらレートいいはずなんだけどなー」って思うことは無いだろうか?
「JAL Global WALLET」を活用すれば、円高時にチャージ&旅行予定先の通貨に両替しておくことで、仮に旅行時に円安になったとしても為替リスクをヘッジすることができる。
「JAL Global WALLET」は、円安局面ではあまり活用シーンが無いが円高局面だと為替ヘッジに使える面白いツールに思えてきた。
そうと決まれば早速申し込んでみよう。
【参考】
https://www.bousaid.com/jalのネット銀行サービス「jal-neobank」が登場/
https://クレジットカード比較プロ.xyz/news/20200507001-jalneobank/
https://www.traicy.com/posts/20200427155316/
https://マイルの鉄人.com/jal-neobank
https://tabikazu.com/2020/05/01/jal-neobank-merit/
悲報。愛知県が武漢ウイルス感染者の氏名などをWebサイトで露出
武漢ウイルスの猛威が世界中に広まっている。
感染しないことが一番だが、感染してしまったら生き抜くことが一番である。
そんな武漢ウイルス感染者や濃厚接触者に対する差別的な発言や扱いが増えているらしい。
武漢ウイルスによる肺炎で死亡した男性の遺族は、「お前も感染者か」と聞かれたり、職場で人に避けられたりする事象が出ている。
大の大人でこんな状態だから、当然学校でも差別やいじめが発生している。
愛媛県の小学校では、感染拡大地域との往来があるトラック運転手の児童が、健康状態に問題がないにもかかわらず自宅待機を求められ、入学式や始業式を欠席させられていたようで、4月16日に文部科学省から感染リスクのある仕事に従事する人らへの差別や偏見の防止徹底を求めるよう都道府県教育委員会などに通知を出した。
偶然の一致か、狙ったのか、詳細は不明だが翌月、5月5日に再び愛知県がやらかした。
今度は武漢ウイルス感染者495人分の氏名や入院先などの非公開情報を誤って県のウェブサイト上に掲載したと発表したのだ。
ニュースでは通常ダブルチェックの体制で・・・・と言うことだったが、ダブルチェック以前に機微情報を公開サーバ上で取り扱うという行為が理解を超えている。
想定損害賠償額シミュレータで今回の損害賠償額を試算してみると、約3,300万円と言う結果となった。
今回は愛知県の嫌がらせかオペミスが原因だが、県が差別を助長するのはどうかと思う。
【参考】
https://www.jiji.com/jc/article?k=2020041600706&g=soc
https://www.asahi.com/articles/ASN5552HCN55OIPE007.html
https://www.jiji.com/jc/article?k=2020041601291&g=soc
WindowsのPCで別ユーザのパスワードが分からなくなった場合の対応【Cain & Abel】
自分のWindowsパスワードが分からなくなってしまって困ることは無いだろうか?
上記の結果Windows OSそのものにログインできなくなってしまうと救いようがないが、自分のアカウントとは別に管理者権限を持つアカウントがあり、OSにログイン可能であれば、救う手立てが無いこともない。
悪用厳禁だが、自身のアカウントに対してブルートフォース攻撃を行うことで分からなくなったパスワードが分かる可能性が出てくる。
一般的にはペンテストツールとして用いられるものであるが、その名も、
Cain & Abel
である。
辞書アタックやブルートフォースアタックが可能で、使ってはいけないパスワードを使っているようなケースであれば、数分程度で解析が完了する。
パスワードについてはNISC(内閣サイバーセキュリティセンター)が推奨するように、英大文字小文字+数字+記号の組み合わせで10桁以上のものを推奨したい。
【参考】
https://blog.kawa-xxx.jp/entry/2016/09/24/155451
http://www.byakuya-shobo.co.jp/hj/moh/pdf/moh_p206_p211.pdf
【cain_and_abel_setup_ver4.9.56バックアップ】
※汚染されている可能性あり。インストールはマルウェア感染しても影響のない環境でお願いします。
https://www.dropbox.com/sh/i1fvec875poety4/AAAmC4lea6BZWJQWCPPWBf2Za?dl=0
Webサイト脆弱性スキャンツール【OWASP Zed Attack Proxy(ZAP)】
サイバーセキュリティを一般の人に説明する場合、分かりやすく実在するものに例えて説明することがよくある。
例えば、インシデントレスポンスであれば消防に例える。
火事が見つかった場合に緊急出動して消火を行う。平時は訓練等を通じていつでも出動できるようにする。
インシデントレスポンスも同じでセキュリティインシデントが発生した際には関係者をかき集めて復旧活動を行う。
同じ流れで、セキュリティ業界のキャリアパスを医者に例えるのはどうかと最近考えている。
医者と言っても特定分野のトップガンのような大学病院の医者もいれば、地方の総合病院の医者もいれば、町医者もいる。
セキュリティも幅広い知識が必要となるが、その広さと深さに応じて、大学病院クラスのセキュリティ担当、地方総合病院クラスのセキュリティ担当、町医者クラスのセキュリティ担当と別れるような気がしている。
大学病院クラスのセキュリティ担当はセキュリティ専業ベンダーを指すものと思われる。
地方総合病院クラスと、町医者クラスの分類が悩ましいのだが、有償のツールを使ってそれなりに分析できるのが地方総合病院クラス、無償のツールで必要最低限の分析を行うのが町医者クラスとなるのだろうか?
今日はそんな町医者クラスを満たすのに必要な脆弱性スキャンツールの紹介。
その名も、
OWASP Zed Attack Proxy(ZAP)
OWASPzapはOWASP(Open Web Application Security Projectの略。Webアプリケーションセキュリティの分野で自由に利用できる記事、方法論、ドキュメント、ツール、および技術を作成するオンラインコミュニティ)が開発したWebサイトの脆弱性スキャンツール。
Linux、Windowsで稼働し、日本語版もある。KaliLinuxには標準で搭載されている。
【参考】
OWASP ZAPの基本的な使い方
脆弱性診断研究会(Security Testing Workshop)
IPA安全なウェブサイトの作り方
OWASPWebシステム/Webアプリケーションセキュリティ要件書
ヴァージンアトランティック、2020年5月末までに資金調達ができないと破綻か!?
先日、ヴァージンオーストラリアの破綻がニュースになったが、ヴァージンアトランティックも2020年5月末までに資金繰りの調整がつかないと破綻の危機となる模様。
ヴァージンオーストラリアはオーストラリアの航空会社だが、80%は海外資本となっていることから、オーストラリア政府に見捨てられた格好となっている。
ヴァージンアトランティックはイギリスの企業だが、株式の49%は米デルタ航空が保有しており、イギリス政府が救うかは若干微妙な状況にある。
武漢ウイルスの蔓延が航空業界を蝕んでいる。
早く事態が落ち着くことを祈りたい。
【参考】
https://loyaltylobby.com/2020/04/26/virgin-atlantic-collapses-by-the-of-may-unless-no-new-cash/
登録:
投稿 (Atom)