BackTrack 4 R2

BackTrack 4 R2が出ていますね。まだ全然試せていないので、あとで触るためのメモ。変更点は以下のとおり。

  • Kernel 2.6.35.8 – *Much* improved mac80211 stack.
  • USB 3.0 support.
  • New wireless cards supported.
  • All wireless Injection patches applied, maximum support for wireless attacks.
  • Even *faster* desktop environment.
  • Revamped Fluxbox environment for the KDE challenged.
  • Metasploit rebuilt from scratch, MySQL db_drivers working out of the box.
  • Updated old packages, added new ones, and removed obsolete ones.
  • New BackTrack Wiki with better documentation and support.
  • Our most professional, tested and streamlined release ever.

AVTOKYO meets HackerJapan

AVTokyo 2010開催日の午後にAVTokyoとHacker Japanの共同開催のイベントが予定されています。セッションはCTF関連のものが多く、実際に体験できるコーナーUNLOCKER Village、CTF Villageも併設されます。

開催概要は以下の通り。

日程: 2010年 11月 6日(土)
    Open 12:30 Start 13:00 End 17:00
場所: 株式会社 白夜書房 B1 BSホール
参加費: 無料

  時間     セッション           スピーカー
12:30 - 13:00 会場、受付
13:00 - 13:10 オープニング
13:10 - 13:30 JailbreakMeの悪用事例      六屋敬
13:30 - 14:00 mR-pBxとユカイなガジェットたち  mR-pBx
14:00 - 14:20 休憩1
14:20 - 15:40 世界のCTF(仮)          tessy?
14:40 - 15:00 DEFCON CTF 参戦記        福森 大喜
15:00 - 15:20 ekoparty と CTF 参戦記(仮)    勇士Q
15:20 - 15:40 休憩2
15:40 - 16:40 CODEGATE CTF 参戦記       Murachue
16:00 - 16:20 HITB CTF 参戦記         愛甲 健二
16:20 - 16:40 キャンパーズCTF(仮)       sonodam
16:40 - 17:00 クロージング + 表彰式(CTF village)

AVTokyo2010

今年も11月にAV2010が開催されます。今年の会場は、新宿のLOFT PLUS ONEです。
現在、Call For Paperを行っていてスピーカーを募集中です。

日程: 2010年 11月 6日(土)
    Open 18:00 Start 19:00 End 22:30 (予定)
場所: LOFT /PLUS ONE @新宿
参加費: 2000円(予定)

screenshot

PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS

この秋に出る予定とされているPCIDSS 2.0とPA-DSS 2.0の変更点のサマリが出ています。
ざっと読んだ限りでは、仮想化について追記されたり、運用やビジネス要件によってセキュリティ要件に柔軟性を持たせたり、重複している所を整理したりという変更が提案されているようです。*1

*1:まだ最終版ではないので

OWASP Application Security Verification Standard

OWASPからASVS(Application Security Verification Standard)と呼ばれる文書がでていたのを知ったのでメモしておきます。
OWASP ASVSは検査と報告の要件を設定し、4階層にレベル分けしています。ASVSでは以下の項目に対する検査に関する詳細要件を定義しています。

V1. セキュリティ設計 Security Architecture
V2. 認証 Authentication
V3. セッション管理 Session Management
V4. アクセス制御 Access Control
V5. 入力のバリデーション Input Validation
V6. 出力のエンコーディング/エスケープ Output Encoding/Escaping
V7. 暗号化 Cryptography
V8. エラー処理及びログ記録 Error Handling and Logging
V9. データ保護 Data Protection
V10. 通信のセキュリティ Communication Security
V11. HTTPのセキュリティ HTTP Security
V12. セキュリティ関連の設定 Security Configuration
V13. 悪意のあるコードの検出 Malicious Code Search
V14. 内部のセキュリティ Internal Security

各レベルの検査要件は以下の通り。

Level 1: 自動検査
  Level 1A - 動的スキャン (部分的な自動化検査)
  Level 1B - ソースコードスキャン (部分的な自動検査)

Level 2: 手動検査
  Level 2A - セキュリティテスト (部分的な手動検査)
  Level 2B - コードレビュー (部分的な手動検査)

Level 3: 企画設計の検査

Level 4: 内部の検査

例を挙げると「V5. 入力のバリデーションの検査要件」は次のようになっています。