1万台ものルーターを何者かが勝手にハックしてセキュリティを高めていたことが発覚
by Peter Dahlgren ユーザーのネットワークに侵入したマルウェアは、侵入した後にさらなる攻撃を仕掛けるためにユーザーのルーターを利用することが多々あります。しかし、Symantecが発見したLinux.Wifatchというマルウェアは、Linuxを搭載する1万台ものルーターに感染しておきながら、悪用ではなくむしろ「デバイスのセキュリティを高める動き」をしていたことがわかりました。 Is there an Internet-of-Things vigilante out there? | Communauté Symantec Connect http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there Someone Has Hacked 10,000 Home Routers
秘文叩きが流行っているらしい
どうやら秘文叩きが流行っているらしい。 https://twitter.com/HiromitsuTakagi/status/607043553319976960 こんな会社はお願いですから事業を畳んでください。http://t.co/IWLLMFhMI3 pic.twitter.com/02QFhVrAgq — Hiromitsu Takagi (@HiromitsuTakagi) June 6, 2015 こんな会社はお願いですから事業を畳んでください。 http://www.skygroup.jp/decode/exe.html pic.twitter.com/02QFhVrAgq 高木無双でした。 フィクションじゃなくて、現に起きていることは皆さんかなり経験されていることかと。http://t.co/o83ky1gOof 「フィクションだ。決して実際に起こったことではないので、信じ
就職面接でプログラムの解読を求められた! | POSTD
長文ですが、よかったら読んでください。 就職面接でプログラムの解読を求められました。そして、就職が決まりました。 皆さん、こんにちは。新しいブログを開設したので、私は今とても張り切っています。週に何度か記事を投稿するつもりです。 タイトルを見れば大体の話の内容は分かると思いますが、これから書くのは、トルコのアンカラで受けた就職面接の話です。 私が応募した職は「ソフトウェアセキュリティエンジニア」でした。面接中、面接官たちは非常に専門性が低い質問をしてきましたが、分かることもあれば分からないこともありました。 その後、その企業からメールが届き、保護および暗号化されたバイナリファイルが添付されていました(「解読してみろ」ということでしょう)。 帰宅後にファイルをダウンロードすると、ファイルを開くために聞かれたのはパスワードだけでした。面接官が私に課した課題は、そのパスワードを探すことでした。
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
インターネット史上最悪のOpenSSLの脆弱性
【インターネット史上最悪のOpenSSLの脆弱性】 ネットの世界のおよそ3分の2で使われているというオ-プンソースの暗号化通信の仕組み 「オープンSSL(セキュア・ソケット・レイヤー)」を舞台にしたバグ騒動。 SSLは、そもそも今はなきネットスケープが1994年に発表した技術。 オープンSSLは、そのオープンソース版にあたる。 【どのくらいやばいのか】 壊滅的(カタストロフィック)というのは適切な表現だ。10段階で表現すれば、これは11だ。 自らのブログでそう述べたのは、著名なネットセキュリティの専門家、ブルース・シュナイアーさんだ。 で、このバグ騒動はハートブリード(心臓出血)と呼ばれている。 【ハートブリード(英語: Heartbleed)とは】 ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号化ライブラリ「OpenSSL」のソフトウェア・
コンピュータに詳しくない人へ。インターネット史上最悪のOpenSSLの脆弱性のニュースをわかりやすく書いてみました。ほとんどすべての人に影響します。 - 非天マザー by B-CHAN
インターネットで使われる鍵(カギ) みなさん、こんにちは! こんなニュースが発表され、世界に衝撃を与えています。 ↓ Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp コンピュータ関係者は大騒ぎですが、ボクたち一般人はどうすればいいのでしょうか? コンピュータに詳しくない人に、なるべくわかりやすく書いてみます。 まず、インターネットのいろんなサービスを利用するにはIDとパスワードが必要ですよね。 例えば、Amazonや楽天市場で買物をするには、Amazonや楽天市場のIDとパスワードを入力する必要があります。 どちらかが欠けても買い物はできません。 あなた以外の第三者があなたのIDを知ったとしてもパスワードがわからなければ、あなたの名前で勝手に買い物をすることはできないわけです。 これによって安全が守られているわけで
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
大手サイトのrobots.txtでわかる「検索でヒットされたくないページ」の特徴
robots.txtとは robots.txtは、検索エンジンのクローラー(bot)に、クロールされたいページや、クロールされたくないページを教えるテキストファイルのことです。多くの検索エンジンのクローラーは、そのドメインの最上位ディレクトリに設置されたrobotst.txtを最初に読み込んで、クロールするべきページとクロールするべきでないページを取得し、それに基づいて巡回します。ただ、一部のクローラーには、このrobots.txtを無視するものもあります。 robots.txtの書き方はおよそ以下の通りです。 User-agent:(ここにbotのユーザーエージェントを記述。ワイルドカード指定も可能) Crawl-Delay:(クロールの時間間隔を指定) Disallow:(クロールされたくないページやディレクトリを指定) Allow:(Disallowで指定されたディレクトリの小階層で
IE10 の自動アップデート
Name : Hitoshi Arimura HN :アリソン、arisonjp 大都会岡山の南部にある玉野市生まれ。 大都会岡山のIT会社(目標は大都会No.1) でコンピュータとお客を相手に日夜格闘中。 岡山滞在中は家族ブログ。 出張中はグルメブログ。 基本的に遊び人のおっさん。 ライフハックとガンダム好き。 ギガフロート玉野を浸透中。 Ingressでは青色好きなENL。 質問は 質問箱からどうぞ あなたの「いいね」が欲しいです。 最近の投稿 チャットGPT が語る ギガフロート玉野 2023-12-09 AIが描くギガフロート玉野 2022-12-10 ブログ再開します 2022-01-07 ギガフロート玉野とメタバースについて 2021-12-10 ギガフロート玉野の公式グッズ 2020-12-16 ギガフロート玉野「宇高航路フォーエバー」 2019-12-17 ギガフロート玉野
「モザイクで隠された読めない文字」を復元・解読する方法!? | 雑学界の権威・平林純の考える科学
右の運転免許証の写真のように、一部の文字を読むことができないように(判別できないように)モザイク処理をして、(公開できない情報が一部含まれている)機密文章や個人情報が含まれた写真などを公開することがあります。今回はそんな「モザイクで隠された読めない文字」を復元し、解読する方法について考えてみることにします。 モザイク処理にも色々ありますが、今回対象にするのは「文字サイズより大きいモザイク」です。たとえば、実例を作ってみたのが、たとえば下のような画像です。こんな秘密メッセージ、モザイクが掛かっていて肝心な部分を読み取れない秘密文章の内容を、解き明かすことができるでしょうか? まず、一見して、このモザイク部分には全部で5文字が隠されているということが明らかです。そして、その前に書かれた「一番最初は」という部分を見ると、ヒラギノ ゴシックの(画面解像度上で)18ポイントの大きさで書かれている、と
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
各種ブラウザーで Java (applet) を無効にする方法
こちら(米国)では、見つかった Java のセキュリティホール(+それを利用した実際のアタック)が大問題になり、米国政府が「ただちに Java を無効にするように」と声明を出し(参照)、全国ニュースでも大きく取り上げられている。 実質的な危険があるのは Java applet なのだが、Java と Java applet の違いの分からない報道機関は、大々的に「Java が危険」と報道しており、Sun Microsystems を買収して Java を入手した Oracle にとっては大きなブランドイメージの損失だ。Oracle は火曜日には56カ所のセキュリティホールを塞いだパッチを提供するそうだが、そんなパッチでは、今回作られてしまった「Java は危ない」というイメージは拭えない。 どのみち、Java applet にはほとんど価値がないので、これを機会に無効にする人も多いようだ(
WebブラウザでJava7を無効にする方法
Java7 u11でも、引き続きブラウザ上のJavaプラグインは無効化しましょう WebブラウザでJava7を無効にする方法 #java / “WebブラウザでJavaを無効にするにはどうすればよいですか。” htn.to/iTmGMU 対象 •プラットフォーム:Windows 8, Windows 7, Vista, Windows XP, Macintosh OS X •ブラウザ:Internet Explorer, Firefox, Chrome •Java バージョン:7.0 Java バージョン7の人は このリンク先みて無効にしてください。 http://java.com/ja/download/help/disable_browser.xml Java バージョン6だとJavaコントロール・パネル画面が違います。 JVNDB-2013-001027 – JVN iPedia –
岡山県玉野市の全市民分個人記録入りPC紛失 : 社会 : YOMIURI ONLINE(読売新聞)
岡山県玉野市は6日、業務委託した水道コンサルタント業者が全市民約6万4800人分の個人情報を記録したノートパソコンを紛失した、と発表した。 パソコンはパスワードでロックがかかっており、これまでに流出や不正使用は報告されていない。市は契約解除や損害賠償を検討している。 市によると、「オリジナル設計」(東京都渋谷区)の30歳代の男性社員が11月28日、同市役所での打ち合わせのため、3月末現在の全市民の氏名、住所、生年月日、性別、全世帯の水道使用の有無などのデータを社有のノートパソコンに無断で複写。協議を終えて東京に戻ったが直接帰宅し、翌日、出勤途中に都内の地下鉄車内でかばんごと網棚に置き忘れて紛失したという。 市は昨年末、同社に、市内の下水道普及率や使用率などを管理する情報システムの構築を委託。個人情報を含む必要なデータを提供したが、社外への持ち出しは禁じていたという。
Internet Explorer のオートコンプリートの動作について
Name : Hitoshi Arimura HN :アリソン、arisonjp 大都会岡山の南部にある玉野市生まれ。 大都会岡山のIT会社(目標は大都会No.1) でコンピュータとお客を相手に日夜格闘中。 岡山滞在中は家族ブログ。 出張中はグルメブログ。 基本的に遊び人のおっさん。 ライフハックとガンダム好き。 ギガフロート玉野を浸透中。 Ingressでは青色好きなENL。 質問は 質問箱からどうぞ あなたの「いいね」が欲しいです。 最近の投稿 チャットGPT が語る ギガフロート玉野 2023-12-09 AIが描くギガフロート玉野 2022-12-10 ブログ再開します 2022-01-07 ギガフロート玉野とメタバースについて 2021-12-10 ギガフロート玉野の公式グッズ 2020-12-16 ギガフロート玉野「宇高航路フォーエバー」 2019-12-17 ギガフロート玉野
パスワードがわからなくてもWindowsにログインする方法(と対策) | ライフハッカー・ジャパン
パスワードを知らなくてもWindowsマシンにログインできるのをご存じですか? ログインする方法はいくつかあり、それぞれ強みと弱みがあります。ここでは3つの代表的な方法とその対策をご紹介します(ちなみに、Macでも方法はあります)。■ 「Linux Live CD」を使う OS自体にはアクセスせずに、ハードディスクドライブからファイルを移すだけなら極めて簡単です。「Linux Live CD」を使ってマシンを起動、お目当てのファイルをUSBフラッシュドライブへドラッグ&ドロップするだけです。 方法:どのバージョンでもいいので「Linux Live CD」のISOファイルをダウンロードしてCDに焼きます(Ubuntuが人気ですね)。ログインしたいWindowsマシンにCDを挿入、そこから起動します。最初のメニューで「Try Ubuntu」を選択。デスクトップ環境が表示されたら、メニューバーの
違法ダウンロード刑事罰化に関するまとめ(その1) | 栗原潔のIT弁理士日記
10/1から施行される著作権法改正については本ブログでも書いてきました。繰り返しになる部分もありますが、施行直前ということでもう一度まとめておこうと思います。 まずは、ネット上でよくみられる誤解についてまとめておきます。 誤解1:今回の改正によりDVDのリップ行為に刑事罰が課されるようになった。 今回の改正で今まで合法だったDVDのリップ行為(CSSを解除してのコピー)が違法になりましたが、刑事罰はありません。(ブログ等で「手持ちDVDを全部iPadにリップして便利便利」なんて書くといろいろ言われるかもしれませんが)。なお、改正前に既にリップしていたファイルに対して遡って責任を追及されることはありません。 また、DVDリッピング・ソフトの販売やネット上での提供は著作権法ではなく不正競争防止法により前から刑事罰の対象になっています(既に逮捕者も出ています)。 誤解2: 今回の改正によりYou
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Windows XPはインターネットから切断して」継続利用者にMSがお願い 
BLOGOS サービス終了のお知らせ
