黒林檎のお部屋♪

黒林檎のお部屋、気になるお肌のシミからセキュリティまで手広くカバーしちゃう魔法のブログ


テーマ:
テスト
 
 
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

こんにちは、黒林檎です。

子供とネットを考える会の活動に簡単に触れる様になって、もう4年になりました。

時間が経つのは早い物です..。

 

いきなり本題ですが、今回のお題は"「子供/保護者」×「オンラインコミュニケーション」"です。

そこで、最近仕様変更でアップデートされたLINEを利用して主に子供が"イイネ"を押す事でスパムの助長行為を行ってしまう例を挙げたいと思います。

 

今回の見所は、スパムの助長を如何に子供のコミュニケーションい無理やり紐付けるかという所です。(半分冗談)

 

それはそうと、最近社会人に対してもこの様な事例が流行っている様です。

 

(図)SNSで見かけた注意喚起文

 

これは簡単に"なりすまし"と言えますが、問題点は幾つかあります。

 

1.社員を語り社員の共通フレンドを増やしている。

2.社員以外にもフレンド申請している

 

この2つですね、社員の共通フレンドを増やせば非公開アカウントをターゲットに対してフレンド申請を行った場合に申請が許可される確率が上がる可能性があります。

 

この注意喚起を見た時に、Twitterでは新入学生が大学にサークル勧誘される時期(入学式)になりすましアカウントを使用して多くのフォロワーを得るという方法を思い出しました。

 

上記は今回の内容と特に関係ありません、今回の問題は下の画像です。

 

(図)タイムラインに流れる稚拙な文

 

LINEをしている方であれば見た事があると思います、LINEは今までフレンド間でしかタイムラインのやりとりが出来ませんでしたが何時頃からか全ユーザーが閲覧できる設定が可能になりました。

また、Twitterのハッシュタグの様にハッシュタグでその関連文を探す事が出来る様になりました。

そして、その機能を使用して多くの"イイネ!"を集めるユーザーが増えたわけです。

 

その際に"イイネ!"を押すと以下の様な表示になります。

 

(図)イイネを押す事により共有した図

 

上記の様に、"イイネ!"を押す事によって"黒林檎がこの投稿を気に入ってます。"というメッセージと共に、稚拙な文章がタイムラインに共有されてしまいました。

これはイイネ!を押したユーザーのフレンド全てに共有されてしまうので、以下の様に拡散されていくでしょう。

 

(図)SNSにおける拡散の流れ図

 

例えば、私のLINEフレンドが100人いれば5人はモラルが無いユーザーだと思われます。

よって、その5人はタイムラインの新機能と思い"イイネ!"を押すので無意識にタイムラインに共有されてしまいます。

これを繰り返されていく事で多数のユーザーに拡散されていくわけです。

 

それでは、これの何が怖いかです。

TwitterとLINEのタイムラインの違いを皆さまおわかり頂けますでしょうか?

 

Twitterは投稿した文章の編集が不可能

LINEは投稿した文章の編集が可能

 

という点ですね。

 

投稿の編集が可能という事は、この様に変更できます。

 

(図)一定のイイネ獲得後宣伝文に変更した図

 

これにより、稚拙な文章を新機能と誤解したユーザーが押したイイネしたユーザーは知らず知らずのうちにスパムの宣伝に加担してしまった事になります。

 

LINEというコミュニティケーションツールは、学生はメッセージのやりとり以外でもTwitterやFacebookの様にタイムラインを使用するでしょう。

そこで、学友が新機能に対して”イイネ”を押しているという文章を読めば会話を弾ませる必要なども考え普段モラルがあるユーザーもモラルが無いユーザーになる可能性があります。

 

この様な軽度の情報モラルに関しては1度や2度のの失敗は良いでしょう。

しかし、経験して終わりでは無く経験した事で"この様な稚拙な事をしている人間にはどういう得があるのか?"を考えれる様になれば素晴らしいのでは無いでしょうか?

「子供/保護者」×「オンラインコミュニケーション」 Advent Calendar 2016 - Adventarの明日の記事はamidakuさんです。
明日もお楽しみに!

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

http://ruffnex.oc.to/ に少しスペース貰ったので移転します。

得に何書くか決めてないのですが、後々自分が使えそうな事まとめたいな。という感じです。
自由度が上がった(アメブロだとコード貼付けると禁止文字エラーになる。)ので若干更新していくかもです。

新•黒林檎のお部屋♪

個人的に一番書きたいのは
参考になったサイトまとめ
参考になったサイトまとめておきたいなーという感じですね。
(簡単に言うとブックマークのバックアップ)

宜しくお願いします。
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:

2月28日は大阪で私立プログラミングキャンプでウイルス検知プログラミングをしますー!(簡単なので是非遊びに来てくださいねb


画像荒いので、見たい人は facebooktwitterを見るか僕に直接お願いしますb

タイトルこういう感じで。。



例としてダークシェルのバックドアC2マルウェアとかを...



こういう感じのデータを使って



こうやって検知



して検知出来ないのは自分で検知出来る様にしよーって言う感じでみなさん遊びましょう!!




参加登録はこちら


いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
2月28日の勉強会の告知です。
[関西 in 大阪]私立キャンプ参加登録


私の考えが甘すぎて深刻な感じになってるので、コンテンツをさらに追加しました。



個人的にお誘いしてるのですが、やはり厳しい面があるようで..orz


2月28日(土曜日)は、誰でも出来る、ウイルス検知プログラミングをやりたいなと思います。
あえて解析をせずに検知にするのは解析環境の用意など参加者負担が少し大きいのですが、今回の検知プログラミングは技術的にも環境的にも負担無しで出来るので。


イベントがハッカソンなので、私がマルウェア検知プログラミングを題材にお話するのでそれをもとにハッカソンのテーマを"ウイルス検知"で少し考えてプログラミングをしなおして貰えるとプログラミング未経験者でも楽しめると思います。



上記を一緒にやる方は仮想環境などにx86のUbuntuをご用意の上ご参加ください。
私は下記の環境で行います。(ubuntu 13.10)



r00tapple@ubuntu:$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 13.10
Release: 13.10
Codename: saucy





データハウス様より"ハッカーの学校"と"パスワード解析"が献本として頂いております。
現在倍率的にも貰える確率がめちゃくちゃ高いです、技術書目的歓迎なので是非是非!!



懇親会ないのですが、梅田それなりにお安く美味しいお店あるので終わったら是非行きましょうー!という感じです

いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
ハッカーの学校を読了したので、折角なので感想を書きつつ久しぶりにこのブログを更新したいと思います。




[最初に]
最初に、ipusironさん、編集のMADさん、書籍に関わった方々お疲れさまでした。
本の内容に触れつつ、これを読了してからどういう勉強をすれば良いのか?という事を書いて行きます。
ハッカーの学校はネットワークを中心に書かれていて、前章の基礎知識編ではハッキングのための概念(ネットワークについてまとまった解説となっています。)
個人的には基礎知識編もう一度ゆっくり読みたいなという感じです。

[本について]
ざっくりですが..、
前編:ネットワークの基礎知識
後編:ハッキングツールを使用したサーバーへのハッキング、パケットについてです。

前編は、最初に述べた感じでもう一度じっくり読みたいなと思う内容でした。
後編は、情報の劣化が少ない記事(使用してるツールの使用ユーザーがいなくなったりしてアップデートなどがなくなったり、情報の過疎化などが無い)なのでこれから始める初心者にもおすすめです。
後編の内容は、読んでいると「あー、ここでコレを説明するのか。」と思う内容でした。(GoogleHackingなど)

初心者が読めば学習時間の短縮になる内容ですし、基本的に内容把握している人でも楽しめそう。
読んでいて「あー、これこうやって応用出来るかも?」という気づけると楽しい。

後編の内容は僕もざっくりした原稿を昔書いて勉強会を行ったので懐かしさなどがありました。
当時は時間の都合などでA4数程度で書いてしまったのですが...。
こういう事を詳細に説明してる本としてはかなり説明がしっかりしていて良いと思います。(そもそも本の対象がそういう層なので)
書籍的には、Metasploit実践入門などありますが、初心者にはこれが中々..。
ハッカーの学校は、そういう本の必要なノウハウ集合体+ネットワークの解説という感じです。

対象読者を僕的にざっくり言うと..

個人的な対象読者層


1)ネットワークを手短に勉強したいユーザー -> 前編
2)ネットワークは学校の授業で習ったけどハッキングが知りたい!! -> 後編
3)何も知らないけどサーバーへの侵入行程を知りたい、学習したい -> 全編



という感じで感想としてはこういう感じでこれから勉強する読者に付いて若輩者ですが書いて行くと..。

この本では、ネットワークを対象に書かれていますがサーバー侵入行程のみで偽装パケットなどについて書かれていません。
そこで、次のステップを踏む読者は偽装パケットなどについて触れてみると良いかもしれません。


TCP/IPの構成から通信の偽装をどのように行えるのか?
偽装通信について現状どのような物が存在するか?(どのペイロードの隠すのか? -> TCP? ICMP? )
そもそも暗号化通信とは何?
その偽装パケットは検知出来るの?
逆にどうやって検知するの?( -> トラフィックを監視? )
httptunnelって何?
偽装通信経路ってどうやって潰す?
制限ネットワーク内で悪い事をするならどうやってする?(どのような制限ネットワークがある?)
マルウェアが通信偽装に使う手法は?


..などなど疑問を考えてそれを1つずつ潰して行くというのが良いと思います。


参考LINK:


APTハッキング
http://www.commandfive.com/papers/C5_APT_SKHack.pdf
torトラフィック検出
http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
convert channnel in the tcp
http://firstmonday.org/ojs/index.php/fm/article/view/528/449
http://www.cl.cam.ac.uk/~sjm217/papers/ih05coverttcp.pdf
その他
https://www.google.co.jp/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=tunnnelshell



[最後に]
あとがきにもある様に、”応用を捨ててでも基礎”というスタイルの書籍です。
これが出来るから無敵という物ではないですが、これだけの知識で侵入出来るサーバーがあるのも事実です。
これから学習して行くための基礎、道しるべとして読むと良いと思います。
書籍の中では応用すれば効率良くハックできる技術も紹介されております。
基礎はあるので、これを発展させて自分なりに利用するにはどうしたら良いか?という事を考えて読むとすばらしい書籍です。

[最後に]
荒い感想かもしれませんが、「こういう所が駄目」というのは人それぞれの観点な気がするので省きました。
僕も久しぶりに原稿を書いてみたいと思いました。
勉強を兼ねて色々調べてやって見て完成したら公開します。
読んでる最中に...
「あぁ.ipusironさんっぽい記事だなぁ..」
「誤字が見つからない..だと..」
「これで削ってる(ページ数を)んだもんな、すげぇ..」
同時期に物理侵入編も書いてるのか..(これは発売予定?らしいです、凄い読んで見たいですね。)」
「これ結構短時間(?)で..だよな..編集作業も...。」
と..まぁ、僕的に感情が読んでる最中多い本でした。




最後にもし、関西圏内でハッキングを勉強したい学生がこのページを読んでいれば下記どうぞ

[春期]私立プログラミングキャンプ



いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:



この記事は、「子供」×「ネット」 Advent Calendar 2014 - Adventarの5日目の記事で、4日目の記事はPasta-kさんの記事でインターネットについて今まで書いたりしたことを振り返ってみる 【「子供」×「ネット」 Advent Calendar 2014 4日目】でした。




[最初に]
今回少し気味の悪い記事になってしまっていますが、啓発活動の一環で被害抑制のためのご
紹介です。
そろそろ忘年会の時期ですので、忘年会で気をつけるべき事をご紹介させて頂きます。
お酒の呑み過ぎにも注意ですけど、それとはまた違ったご注意が必要です。

[本題]
皆さんタクシーアプリは使っていますか?
タクシーアプリとは名前の通りスマホでタクシーを呼ぶ事が出来るアプリです。
気になる機能ですが以下です。


■機能
[1]ネット決済機能で降車時のお支払いが不要になります
[2]マップ上で乗車場所、降車場所を指定して最適ルートと概算料金が検索可能
[3] 対応している空港とその対象エリア間の送迎を予約することで定額料金
[4]Eメールに利用明細の送信
[*]降車時の記録も手に入る。(GPSなどで)



皆様なら問題点に気づいたかと思いますが、"降車時"の"記録が呼び出し主"に送信される
という事です。
要するに、ストーカーはタクシーアプリを使用して被害者を家に送る事で自宅住所を調べる
事が可能
という事です。
勿論タクシーを呼んでくれる人の全員が全員こういう部類の人ではありませんが、タクシー
アプリで呼ぶ人には注意が必要かもしれません。

[考えられる対策]
[1]これは普通にタクシーを乗る際でも気をつけている方は多いと思いますが、自宅とは離
れた地点で降車する。
[2]親しくない関係にタクシーアプリでタクシーを呼ばれた際は、「お金とか悪いですし良
いですよ..。」で良いと思います。
タクシーアプリはクレジットカード払いが多いので断り方としては自然です。

[最後に]
スマートフォンアプリで私生活が便利になる一方で知らなければならない危険性などはたく
さんあるかと思います。
今回の話題は、家庭内の手に届く範囲内の電子機器(携帯電話やパソコンなど)のみ焦点を
あてていると見逃してしまいがちです。
私も、皆さんで情報共有してこのような手口が広まり危険性を認識出来ればと思います。




告知



今回の記事とは関係のない話ですが、2015年2月28日に[春期]私立プログラミングキャンプを実施したいと思います。

今回は、ハッカソンの最終成果発表で少し参加悩んでたり告知は見てるけど参加戸惑って...という未参加者様がご参加しやすい様読書会も兼用で行いたいと思います。

新年早々(?)わちゃわちゃ変なスキルトークが出来れば良いですね!!

下記募集ページですが、[日程/時間/開催場所]の変更はありませんが、内容等の変更(ハッカソンの時間帯に何かLTが行われるなど)の変更はあるかも知れません..、ご了承ください。

ATND参加ページはこちら

質問等は下記連絡先へお願いします。
連絡先: aiceteasun@gmail.com
twitter:r00tapple
facebook:村島正浩
いいね!した人  |  コメント(0)  |  リブログ(0)

テーマ:
お久しぶりです、りんごちゃんです。
生存確認のためここにも記事を投稿します。

今回は、私立プログラミングキャンプの発表資料など投げます。

LINEについて..


Jail触りたかっただけ..


来年度参加者増える事を期待して..


質問などあればお気軽に@r00tappleまで!

いいね!した人  |  コメント(1)  |  リブログ(0)

テーマ:
私立プログラミングキャンプ 関西の告知です。


URL:私立プログラミングキャンプ関西(atnd)
関西のトリッキーな開催を一転さして未成年の学生が参加しやすい時間帯と場所です!!(逆に関西人はトリッキーが好きなのかもしれないんですが)



[会場]
株式会社はてな 京都本社 セミナールーム
住所は下記URLに詳細書かれています。
URL:私立プログラミングキャンプ関西(atnd)

[スケジュール]
13:00 受付開始
13:15~13:30 開始・自己紹介
13:30 ~ 17:30 ハッカソン
17:30 ~ 18:30 成果報告・投票
懇親会:私立・プログラミングキャンプ 2014 関西大会 懇親会 – #upcamp #upcampKansai : ATND
※こちらは参加受付別途です。

懇親会URL:懇親会(atnd)


[雰囲気、内容]
ハッカソンに自信が無い方でも最終成果発表は「これから実装して公開したいもの」など完成系で無くても大丈夫です。
個人的には”僕の考えた最強のセキュリティ”みたいなお話も面白いと思うので是非ネタに困ったる方は考えてみてください。
時間的にもハッカソンとして厳しい面があると思うので卒業生交流としてレッドブルを飲みに来るのもアリな気がしますね(ォィ

[注意点]
”私立プログラミングキャンプ”は交通費が出ません
又、参加層ですがプログラミングが好きならWelcomeです。
卒業生オンリーではありません、運営にも非卒業生がいますので非卒業生も安心して参加して頂けます。
(※)僕は力になれないかもしれませんが、今年セキュリティキャンプ(本家)の選考に落ちた方がアドバイスを貰うのに来るのも良いかもしれませんね。

[懇親会]
当日参加OKです、ハッカソンには参加したいけど友人がいないので懇親会は..って方でもハッカソン中にお話相手が出来たので懇親会でお話したいので参加!っていうのもお待ちしております。

[趣旨]
今回この交流会ハッカソンで新しい勉強会が派生すればとても良いという事を運営側の方々が思っているので是非勉強会の運営をしたい方は参加してみてください。

[最後に]
堅い勉強会という雰囲気というより基本的にユルい(※良い意味で)雰囲気にしましょう!
いいね!した人  |  コメント(3)  |  リブログ(0)

テーマ:
既存情報かもしれませんがだらだら書いて行きます。

LINEの乗っ取り結構興味深くて、ログインに必要な情報が"メールアドレス"と"パスワード"が普通必要で難易度高くないか?っていう疑問が出ていた訳です。

LINEに登録してるメールアドレスなんて携帯のアドレスなのか、PCメールなのかすら解らなくてそこで既にランダム要素あるのにパスワードも必須だしマジでどうやってんだ?って感じだったんですが。

基本的にLINEのログインって
ID(メールアドレス)
PASS(****)
って感じだと思うんですが...

良く考えてみたら、Facebook認証でメールアドレスや携帯電話番号の登録なしでLINEのアカウントを作成出来るのを思い出した訳です。

で実際Facebookアカウントで登録していると...



facebookのアプリ一覧でこの様に表示されるわけです。

それでfacebookアカウントがメールアドレスandパスワードの変わりにもなってくれる訳です。

勿論そのアカウントを使用し違う携帯端末でログインすればLINEアカウントを操作出来るので乗っ取り手順的には結構簡単

しかしここで乗っ取り犯的な問題点としては
{連携認証しているfacebookユーザーをどう絞るか}
{携帯端末でしか乗っ取る事が出来ない}
っていう点です。



このようにPC用のLINEではfacebook認証でのログインが出来ない。


じゃあわざわざ乗っ取り犯って携帯端末でやってるのか?っていう感じですね。
乗っ取り犯が携帯で乗っ取りアカウントの友達全員にメッセージ送ってると思うと凄い可愛らし感じですね。

もしかしたら、LINEをアップデートすればPC版でもfacebook認証が使えるかも?しれませんね(?)

■最後に
今回久しぶりに文章を書きたかったのでなうい感じの事を書きましたが面白くない部分と間違った部分がある(..かもしれない)のでお手柔らかにお願いします。

要するにfacebookのアカウントをなんらかの形で取れればLINE取れるじゃんっていう感じです。
アカウント自体をクラックせずにどこぞのサーバーから流出したユーザー情報(ID/PASS)が広まってればそこからfacebookにログイン施行っていう流れもありな気がしますよね。

LINEの乗っ取りの中身結構気になるお年頃な黒林檎でした、ではでは。


■追記
PINコード
PINコードでなりすまし対策はかってたみたい
1>メールアドレスandパスワード→PINコード確認
2>facebook認証→PINコード確認
_PINコード(上記サイトから)_
>もう一つの可能性は、「Facebook 認証」で LINE のアカウントを作成している場合。
>電話番号を登録しないため、当初は PIN コードによる保護が無効
いいね!した人  |  コメント(0)  |  リブログ(0)

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。