59 episodes
Secure Liaison Secure旅団
-
- Technology
セキュリティアーキテクト・エンジニアであるken5(@ken5scal)が1人で、時にはゲストを招き、セキュリティネタをまったりと話すテック系Podcastです。通勤通学や作業のお供にお楽しみください。 ハッシュタグ:#secure旅団, おたより・アンケート:https://forms.gle/4hJNHn6ZfW5CAza9A
-
XZ UtilsのSWサプライチェーンとOSSエコシステムの話
(収録日: 2024/04/14)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
XZ Utilsに脆弱性が埋め込まれた話
OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話
# 参照
## 経緯
https://research.swtch.com/xz-timeline
https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/
## CVEそのもの
SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
## 関連PR
https://github.com/libarchive/libarchive/pull/1609
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86
#積ん読
なし
# 参加者: 中谷さん、ken5scal -
CVSSv4.0とかOkta(続)などの話
(収録日: 2023/11/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
CVSSv4と、今までの脆弱性評価の思い出
Oktaのインシデントの話(10/30以降に更新された話)。主に公私分離、体制、サービスアカウント
# 参照
https://www.first.org/cvss/v4-0/
https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm
https://sec.okta.com/harfiles
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal
# ジングル: @hajipion -
仙台のmini hardeningやOktaの話
(収録日: 2023/10/30)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
仙台で MINI Hardening した話
Oktaのインシデントの話(10/30までの時点の情報です)
# 参照
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion -
脆弱性管理・パッチ管理など
(収録日: 2023/10/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
雑な談
新しいスマホ
ノートアプリ
気になるニュースあったっけ? -> 全銀のはレポート待ち。ほかはない(とかいいながら、その数日後にNTT西日本とOktaのやつがくる)
雑な談 part2
NTLM廃止の話 -> Microsoftプロトコル・ライフサイクルの温故知新、ライセンス
curlの脆弱性の話
脆弱性管理とパッチ管理の話
ルート証明書の更新
ArcとWarpの宣伝
# 参照
SOCKS5 heap buffer overflow - CVE-2023-38545
cookie injection with none file - CVE-2023-38546
How I made a heap overflow in curl
https://www.meta.com/jp/quest/quest-3/
https://twitter.com/zakosirasu/status/1711536931509776637
https://twitter.com/ROYCE62294821/status/1712104171795886326
https://twitter.com/enigma63/status/1713530528698368435
Pixelのアップデート
Google Pixel にソフトウェア アップデートが提供されるタイミング
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848
https://devicepartner.microsoft.com/en-us/communications/comm-windows-ends-installation-path-for-free-windows-7-8-upgrade
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion -
久しぶりのエピソードの言い訳とか流行りのネタ
(収録日: 2023/10/02)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
言い訳
passkeyのニーズの話
Colab
最近気になったインシデントとオフボーディング
# 参照
前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion -
データ・スペシャル - AIセキュリティ専門家とAIの話
(収録日: 2023/09/05)
今回は @bbr_bbq さんをゲストにお呼びしています
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
自己紹介
出会い
AISEC
Adversarial Example/Evasion Techniqueについて
AIに対する攻撃手法と論文の傾向について
実際の攻撃について
どうLLMを使っているか
学生向けのAIセキュリティ講座の内容
# 参加者:@bbr_bbq 、ken5scal
# ジングル: @hajipion