by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
2019年3月4日、兵庫県警察はインターネット掲示板に不正プログラムのURLを書き込んだとして未成年者を含む3名を不正指令電磁的記録供用未遂の疑いで児童相談所への通告や書類送検を行う方針と報じられました。ここでは関連する情報をまとめます。 不正プログラムはfor文無限ループか NHK報道から、張り付けられたURLで動作する「不正プログラム」はfor文無限ループとみられる。*1 JavaScriptを見る限り、特殊な実装や脆弱性を用いたものではなく、for文の条件式などを記述せずに無限ループさせたもの。顔文字やメッセージはalertダイアログを使って表示させている。 当該URLを開いたタブを閉じるなどの操作が必要な場合もあるが、最新のブラウザ(Chrome、Firefoxなど)では開いただけで落ちることはない。 URL投稿で摘発された3人 次の3人が問題となったURLを書き込んだとして児童相
ロック解除や決済時に必要なパスワード入力は、現在、ほとんど使われなくなり、指紋認証や顔認証になっている。しかし、いずれの方法も一長一短があり、決定版とも言えない。その状況の中で、ファーウェイは骨伝導声紋認証という新しい方式をMate 20 Proに搭載したと鵬鵬領創が報じた。 決して万能ではない顔認証 スマートフォンをロック解除するときに、以前は指紋認証だったがものが、現在は顔認証が主流になろうとしている。しかし、顔認証にはなかなか使いづらい場面もあり、評判は今ひとつよくないようだ。 例えば、寝そべっているときに顔認証でロック解除しようとするとうまくいかないことがある。寝た状態で上を向いていると、顔の肉が重力によって下り、容貌が変化するため、顔認証にはじかれてしまうことがある。また、寝そべっている状態というのは寝室など、照度が足らない状況であることが多く、これも顔認証のじゃまとなる。 また
はじめに 既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。 ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。 閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。 その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。 このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。 不審な JavaScript 先日、不審な挙動を示す以下のJavaScriptを目にしました。 Cookieを含むいくつかの情報を king[.]connect
人間の指の腹に刻まれる指紋は人によってその模様が異なるため、PCやスマートフォンにも搭載可能な個人認証システムによく用いられています。しかし、ニューヨーク大学とミシガン大学の研究者が、機械学習によって生成したマスター指紋「DeepMasterPrints」によって、比較的容易に突破が可能であるという驚きの実験結果を報告しています。 [1705.07386] DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution https://arxiv.org/abs/1705.07386 Fake fingerprints can imitate real ones in biometric systems – research | Technology | The G
ITU-Tが定めたFAX通信規格「T.30」に存在する脆弱性を利用すれば、ターゲットのFAX番号を知っているだけでバッファオーバーフローを引き起こし、デジタル複合機(MFP)を乗っ取ることができる。さらにランサムウェア「WannaCry」でも使われた脆弱性攻撃ツールなどを組み合わせれば、複合機を踏み台にしてオフィスネットワーク内のPCやサーバーにも侵入を拡大し、機密データを盗み出すことなども可能になる――。 2018年8月12日、米国ラスベガスで開催されたハッカーイベント「DEF CON 26」では、こうした攻撃手法を紹介する講演「What the Fax!?」が行われた(講演タイトルはネットスラング「WTF=What the Fuck」のもじりだ)。講演を行ったCheck Point Software Technologiesのセキュリティリサーチャー、ヤニフ・バルマス氏とエイヤル・イト
How to watch Polaris Dawn astronauts attempt the first commercial spacewalk
個人でEV SSL証明書が欲しい話 - Speaker Deckを読んで驚いたんだけど、いつの間にかFirefoxにはEVSSL証明書のルート認証局がハードコーディングされて、それを書き換えるにはブラウザをビルドし直す必要があるらしい。(というかリビルドしても追加した証明書でアドレスバーが緑色にならなかったみたい。何が足りないのかな?)ルート証明書そのものは後から足せるのだが敢えてハードコードした理由は想像できる。ルート証明書なんて後から侵入者なりマルウェアが簡単に足すことができるし、現にそういった攻撃はこれまで行われてきたからだ。 ついでにFirefoxが近々DHCPで降ってくるDNSを信用するのを止めて、DNS over HTTPSでCloudflareに問い合わせるという。これもまたDNS履歴を監視する国だとか、日本も含めてWeb検閲のためにDNSをいじってる国があって、そういった影
(ニュースリリース) 2018年7月18日 ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見 ~Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善~ 日本電信電話株式会社(東京都千代田区、代表取締役社長:澤田純、以下「NTT」)は、ソーシャルウェブサービス(※1、以下「SWS」)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見し、そのリスクを評価する手法を開発しました。新たに発見したプライバシー脅威は、SWSのユーザが悪意のある第三者のウェブサイトに訪問した際に、当該ユーザが所有するSWSのアカウント名が第三者のウェブサイトから特定されうるものであり、プライバシー情報の濫用やオンライン詐欺などのさまざまなサイバー攻撃に悪用される可能性があります。脅威「Silhou
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ
セキュリティ対策の世界も重視するポイントが変わりつつある。一昔前の「シグネチャベースのウイルス検出で感染前に確実に防衛する」というスタイルは過去のものとなりつつあり、むしろ「検出しにくいものをいかに見つけ出し、多重の防御壁を敷くかとともに、もし感染した場合には被害拡散を最小限に食い止める」という、いわゆる「Post-Breach(突破後)」対策に重きが置かれつつあるのだ。 検出されるウイルスなども単純な広域拡散型ではなく、企業など特定のターゲットを狙い撃ちし、意図的に拡散を広げていくものが多くなりつつある。ゼロデイ攻撃と呼ばれる対策前の脆弱(ぜいじゃく)性を狙う攻撃の他、シグネチャ検出を困難にするバリアントと呼ばれる亜種が短期で再生産される仕組みなど、従来の感覚では理解を超えた世界がそこにはある。 今回はWindows 10標準のWindows Defenderにスポットを当て、最新のセキ
Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29 Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
本書は、複雑な電子機器とコンピュータシステムを備えた現代の自動車が、どのような仕組みで動作しているかを、より深く知りたい読者(ハッカー)のための書籍です。自動車の脅威モデルの紹介にはじまり、CANバスをはじめとしたさまざまなバスネットワークを解説、さらにCANバスのリバースエンジニアリングを行います。そしてECUをハッキングするための基礎的な知識と具体的なハッキングの手法も紹介。車載インフォテイメントシステムや車車間通信についても解説した上で、そこまでに紹介した方法を用いて発見した脆弱性を攻撃するツールを実際に作成。攻撃のリスクや問題点に対する充分な知識を得た上で、読者がそれらに対応することを可能にします。 本書の出版に寄せて 謝辞 はじめに なぜ、自動車ハッキングはすべての人々にとって良いのか 本書の内容 1章 脅威モデルの理解 アタックサーフェースの探索 脅威モデル レベル 0: 概観
DITのP2P監視サービスの責任者のFさん、逮捕されとるがな。 なんじゃそりゃ。 ポイントは ・「写真集」「殺人」などのキ◯タマウイルス1800をShareネットワークに保持。(つまりキャッシュフォルダに保持?) ・Share利用者がダウンロード可能であった(つまりUP0にしていなかった、というかShareでUP0は普通じゃ出来ないから、そこまでプロトコル的に作り込んでなかった。というか、Shareをそのまま使っていた?) ・監視業務で請け負ってた企業、それ以外のデータ(個人情報や企業の顧客情報、業務メール)を保持したままにしていた おそらく、WinnyのUP0のような仕組みを導入せずにオープンリレーのような状態で業務を行っていた点をウイルス保持罪適用で問答無用で逮捕ということでしょうか。 実は、WinnyとShareの監視は過去にほげほげしていたことがあるのですが、未成年者の画像のキャッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く