主催は遠隔操作真犯人さん、名前はまだない。
正月早々エントリーしてしまった。真犯人主催のCTF。2ちゃんねらに押されながらもほぼ同時刻に問題を解く。
問題入手は記者さんから
- 1問目
ヤサヤサ ソゥウールニプソ ゲヌ
チークァミウマ トオオ シハハモンシモンチュフド
アルキゾニューツマワニヤヘス
アキヨ
スーペースがあるので、単語ごととに区切っていて一字つづの換字法であるのではないかと予測できる。文章が短いので全換字テーブルを得るのはできないが、またゲームの言語だろうと思うのでテーブルがどこかにあるはず。
書かれていそうな言葉を予測する。
またまた (連続する冒頭の言葉)
とぅるーくりぷと (使っているだろうソフト)
ぱすわーど (truecryptで必要な言葉どちらか)
きーふぁいる (truecryptで必要な言葉どちらか)
かしこ (前のメールでもあった最後の言葉)
換字テーブルがどこかにあると思う。
ヤま サた ソと ウる ルく ニり プぷ
これで検索
アルベト語が出てくる。
これで翻訳可能。
- 2問目
truecryptでマウントすると、ドライブとしてマウントされる。
マウントしたドライブは、emptyというなかに、0byteのテキストファイルと、真っ白な.pngファイルがあった。
ドライブならまずdd、ディスクイメージが出来上がる。
ディスクイメージなのでバイナリエディったでひらく。
PKという見慣れたヘッダが・・・・
PKの前をカットして、hoge.zipに名前をつけて保存
zipを開くと神奈川新聞の上の首輪
と3枚の猫の写真と、テキストファイル。
- 3問目
江ノ島に向かい、野良猫争奪戦に参加。
現地にはメディアとあそこの人だけいて2ちゃんねらは一人もいなかった・・・。おい、おまいら、第三問も参加しろよとおもう。
結果:負けました。
ソロプレイは限界がありますな・・・。
Amazon kindle をクリスマルプレゼントにしてはいけない
本日来ましたAmazon kindle fire HDですが。読書好きな人にそのまま送るには危険なことがわかりました。
対策としては「ギフトの設定」をしてから送ればOKです。
ギフト設定にある、「Kindleを登録せずにお届けします。受け取った方は、ご自身のアカウントに登録することができます。」というのは、kindle fireを使えば、amazonのアカウントがそのまま入っているので、購入した人のアカウントがそのまま結びついているために、Kindleを購入した人のアカウントで買い物し放題になるということです。
Amazonのアカウントなので、注文履歴や登録された送付先が見えます。他の送信先などに知らない人の名前があったり、過去に買ったものの中に、見せられないものがある人は取り返しがつかなくなります。
kindle をギフトでなくてプレゼントされたら、その人のアカウントで買い物し放題です。
スマホ個人情報漏洩 ありえない!直接データベースに接続
また起きました、the Movie系以来の大量の確信犯による個人情報漏洩事件です。
今回も住所も氏名も勤務先まで実行者の個人情報が分かります。
絶対に実行しないでください。
https://play.google.com/store/apps/details?id=info.jigensha.hellopage
作って公開しているのは同和問題の活動家。思想的にこのようなことをやっているようだ。
通常はこの連絡先のデータを抜いてサーバーに送るまでなのだが今回はおかしいことになっている。データベースが公開されているのだ。(パスワードは設定されていませんが、意図的な公開ではなかったみたいで現在は非公開になっています。)
アプリ自体は「全国電話帳」という名前で、まさに電話帳だ。
電話帳のデータ自体は、ハローページとタウンページに掲載された約3800万件からのデータだそうだ。
ネットワークにつながりさえすれば掲載されている電話番号や住所を検索できる。
だが問題はこのアプリで、利用者の電話帳の情報(連絡先情報)を送信して公開されていることだ。
現在、漏洩してされてさらされている個人情報は約76万件。
アプリの利用者でなく、利用者の友人や取引先といった情報が漏れているのだ。
実行したユーザーの数もカウント可能である。
実行されたのは3387台(10/6 10:38) 連絡先は一人当たり何百件も登録されている。
- 漏洩する情報は連絡先の
- 電話番号
- 郵便番号
- 名前
- 住所
- メールアドレス
- 送信者の位置情報
- 端末識別情報(IMEI)
このアプリの不思議なところは、データベースに直接接続しているところだ。
当然だれでも入れるデータベースである。
データベースに直接連絡先が送信されているコード
PreparedStatement preparedstatement = connection.prepareStatement("INSERT INTO work_android(phone,postal,name,country,region,city,street,email,latitude,longtude,deviceid)VALUES(?,?,?,?,?,?,?,?,?,?,?)");
11:54 追記
収集された:データの公開はなくなったみたいです。引き続き収集は行われていると思います。
標的型攻撃のデモンストレーション
明日から始まる情報セキュリティEXPO 情報セキュリティEXPO|Japan IT Week 春 にて、ネットエージェントブースで随時、
標的型攻撃のデモンストレーションを行います。実際に標的型攻撃対策をしようとしている人も実際の典型的な標的型攻撃を生で見たことのある人は非常に少ないと思います。3日間やっていますのでぜひとも見たことのない人は見ていってください。
クラウド コンピューティングEXPO春のNIFTYブースでも9日の11:30〜12:20でデモンストレーションを行います。
2012年5月9日(水)〜11日(金)「第3回 クラウドEXPO春」に出展します 【終了しました】 | ニフクラ
この機にぜひとも生の標的型攻撃をご覧ください。
ニャルラトホテプ言語が難しすぎるので中間言語から変換するものを作った。
このニャルラトホテプ言語 GitHub - masarakki/nyaruko_lang: いつもニコニコあなたの隣に這いよる混沌ニャルラトホテプ言語ですっ
この言語かけそうもないので、中間言語?のBrainFuckで書くと変換できるようにした。
でもBrainFuckも書けません。
bf2nyaruko.pl
#!/usr/bin/perl # BrainFuck to Nyaruko while(<STDIN>){ chomp $_; if ($_ eq 'nxt'){print '(」・ω・)」うー(/・ω・)/にゃー';} elsif($_ eq 'inc'){print '(」・ω・)」うー!(/・ω・)/にゃー!';} elsif($_ eq 'prv'){print '(」・ω・)」うー!!(/・ω・)/にゃー!!';} elsif($_ eq 'dec'){print '(」・ω・)」うー!!!(/・ω・)/にゃー!!!';} elsif($_ eq 'opn'){print 'CHAOS☆CHAOS!';} elsif($_ eq 'cls'){print 'I WANNA CHAOS!';} elsif($_ eq 'put'){print "Let's\(・ω・)/にゃー";} elsif($_ eq 'get'){print 'cosmic!';} }
以下のような感じで書いて
cat hoge.bf |./bf2nyaruko.pl > hoge.nyaruko
nxt inc inc inc inc inc