パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 | スラド セキュリティ
デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという(デジタルアーツ、PC Watch、週刊アスキー)。 サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
店頭に展示されているPCで客がMSアカウントでログイン後放置するケースは少なくない | スラド セキュリティ
店頭に展示されているデモ用のPCでネットサービスにログインし、そのままログアウトせずに放置されるケースがあるようだ(セキュリティホールmemo、ツクモ名古屋1号店のTwitter)。 ツクモ名古屋1号店のTwitterではMicrosoftアカウントでのログインにより客のメールが読めてしまう状態になっていたことがあったと報告されている。なお、Windows 10ではPCのアカウントとMicrosoftアカウントを連携させる機能があるため、Microsoftアカウントでログインしてしまうと展示機を初期化せざるを得ないという。また、学生がLINEにログインしようとするケースも多いという。 他人の端末にうかつにログインする方もアレだけど、一度ログインしたらデータが残って他人に再利用されてしまう仕様になっているアプリやシステムも相変わらず御盛況でなにより。このままだと、レベッカさんも浮かばれそうに
連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
米国家安全保障局、Cisco製品にバックドアを仕込んでいた? | スラド セキュリティ
ストーリー by hylom 2014年05月16日 19時55分 日本国内にもバックドア入り機器があるかも? 部門より 数年前から中国製通信機器にバックドアが組み込まれているのではないかという疑惑が上がっているが(過去記事)、米国家安全保障局(NSA)がCisco Systemsのルータなどに対し、輸出時にこっそりとバックドアを埋め込んでいたという話が出ている(ITmedia、朝日新聞)。 Cisco側はこれについて自社の関与を否定している。記事によると、NSAは輸出予定の機器を発送前もしくは発送中に何らかの手段で受け取ったり取り押さえたりして入手し、バックドアを組み込んだ上で再梱包して元々の届け先に発送していたという。
GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 | スラド セキュリティ
以前、GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明という話題があったが、誤ってGitHub上で公開状態にされているAmazon Web Services(AWS)の秘密鍵を使って、不正に仮想サーバーのインスタンスを立ち上げて大量の請求を行わせたり、またユーザーの環境を操作・破壊するという攻撃が発生していることが報告されている(ITnews、slashdot)。 AWSはAPIを使って外部プログラムやスクリプトから操作が可能だが、この際に秘密鍵を使った認証を行う。逆にいうと、この秘密鍵情報が分かればユーザー名やパスワードが分からなくてもAWS上のリソースの操作が可能になってしまう。 Amazon側はこれに対し、セキュリティガイドラインに従って認証情報は注意して管理してほしいと述べている。
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる | スラド セキュリティ
NSAが作成したバックドアのある乱数生成アルゴリズムの採用について、RSAが1千万ドルを受け取っていたとReutersが報じている(Reutersの記事、 SlashGearの記事、 本家/.)。 乱数生成アルゴリズム「Dual_EC_DRBG」の脆弱性は9月にエドワード・スノーデン氏のリークで明らかとなり(/.J記事)、RSAでもユーザーに対して同アルゴリズムを使用しないように呼びかけている。しかし、NSAがRSAに対し、同アルゴリズムを暗号ツールBsafeでデフォルトまたは優先のアルゴリズムとして採用するように働きかけ、その対価として1千万ドルを支払っていたという。RSAと親会社のEMCはこの件に関するコメントを避けているが、RSAは常に顧客の利益を優先しており、故意にバックドアを設けることはないなどとする声明を出しているとのことだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
復号された警察無線とみられる音声がネットで公開されているのが見つかる | スラド セキュリティ
「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ
RC4暗号化、来年ついに終焉へ | スラド セキュリティ