NASAに執拗なサイバー攻撃、情報流出やネットワークの乗っ取り被害も
NASAで2011年度中に起きた「APT」と呼ばれる執拗かつ継続的なサイバー攻撃は47件に上り、うち13件でコンピュータに侵入されたという。 米航空宇宙局(NASA)の監査官が2月29日に米下院小委員会に提出した報告書で、2010年から2011年にかけて何度も執拗なサイバー攻撃に見舞われ、深刻な被害が出ていたことを明らかにした。 報告書によると、NASAでは宇宙船のコントロールや科学データの処理、世界各国の施設とのコラボレーションなどに使われる550以上のシステムを運用しており、IT関連予算は年間15億ドルに上る。このうちITセキュリティには約5800万ドルを費やしているが、ネットワークの規模の大きさと扱う情報の性質上、常にサイバー攻撃の標的にされているという。 悪質なソフトウェアに感染したりシステムに不正アクセスされたりしたコンピュータセキュリティ問題は、2010年から2011年にかけて
RSA会長、自社が受けたサイバー攻撃の体験を語る
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます EMCのセキュリティ部門であるRSAがAPT攻撃に見舞われたのは2011年3月のことだ。 現在米国サンフランシスコにて開催中のセキュリティカンファレンス「RSA Conference 2012」でも、EMC エグゼクティブバイスプレジデント 兼 RSA エグゼクティブチェアマンのArt Coviello氏が自らこの攻撃について触れ、「地獄」と表現したほど同社にとって大きな出来事だった。 サンフランシスコのホテルの一室で行われたインタビューで、Coviello氏はこの攻撃で学んだことや、基調講演で強調したインテリジェンスベースのセキュリティの重要性について語った。 --あの事件のあと、すでに顧客からの信頼は回復したとのことだが、信頼回復に
インテル、Force.com上に認証サービスを構築して提供 - @IT
2012/02/28 米インテルは2月27日、RSA Conference 2012併催の「Cloud Security Alliance(CSA)Summit 2012」において、クラウドサービス向けのシングルサインオンサービス「Intel Cloud SSO」を発表した。当初はβサービスとして提供され、4月以降、本格サービスに移行する予定だ。 Intel Cloud SSOは、複数のクラウドサービスに対する認証とアクセス制御、プロビジョニングといった機能を提供するサービスだ。ユーザーは、ポータルサイトを介して、salesforce.comのほか、複数のアプリケーションにシングルサインオンでアクセスできる。Intel Cloud SSOはそのバックエンドで、クラウドとユーザーの間を仲介する「ブローカー」として動作し、ユーザーの操作と運用管理作業を簡素化するという。 「Intel Clou
なぜセキュアOSが必要なのだろうか - @IT
第1回 なぜセキュアOSが必要なのだろうか 面 和毅 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ シニアマネージャ 2005/11/3 セキュアOSの誕生 これまでのOSが抱えている弱点を挙げてみます。 任意アクセス制御(DAC)と呼ばれる、ファイルの所有者がアクセス権を勝手に変更できる仕組みがある rootアカウントは、アクセス制御を無視してすべてのファイルにアクセスできる プロセスに特権を与える際に余計な特権までも与えてしまう。プロセスが乗っ取られた場合、システムに大きな被害を及ぼす セキュアOSでは、上記問題を解決するために「強制アクセス制御(MAC:Mandatory Access Control)」と呼ばれるアクセス機構を備えています。これはファイルの所有者が勝手にアクセス権を変更できないようにし、シ
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
[デブサミ2012]趣味と実益の脆弱性発見
1. Finding Vulnerabilities For Fun And Profit 趣味と実益の脆弱性発見 Feb 16 2012 Yosuke HASEGAWA 2. 自己紹介 はせがわようすけ ネットエージェント株式会社 研究開発部 株式会社セキュアスカイ・テクノロジー 技術顧問 Microsoft MVP for Consumer Security Oct 2005 - http://utf-8.jp/ 難読化JavaScript書いてます Developers Summit 2012 NetAgent http://www.netagent.co.jp/ 4. 記号JavaScript JS without alnum $=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:+ +$,$_$$:
![[デブサミ2012]趣味と実益の脆弱性発見](https://cdn-ak-scissors.b.st-hatena.com/image/square/015ac7c0c6da545a8500c8b3b7ff71205daa1e44/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fdevsumi-hasegawa-120216203637-phpapp01-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
SQL Injection Cheat Sheet
例; (MS):MySQLとSQL Serevr (M*S):MySQLの特定バージョンや、関連する注意事項に記載されている特定条件に関するもの、およびSQLServerを示す。 目次 SQL Injection Cheat Sheatについて 文法のリファレンス、攻撃のサンプル、狡猾なSQLインジェクション小技 1行コメント SQLインジェクション攻撃のサンプル インラインコメント 典型的なインラインコメントSQLインジェクション攻撃のサンプル MySQLバージョン検出攻撃のサンプル 複文 複文をサポートする言語とデータベースの一覧 MySQLとPHPについて 複文によるSQLインジェクション攻撃のサンプル If命令文 MySQLのIf命令文 SQL ServerのIf命令文 If命令文を利用したSQLインジェクション攻撃のサンプル 数値の利用 文字列操作 文字列連結
エフセキュアブログ : 2010年にドイツで容疑者追跡のために用いられた440,783の「サイレントSMS」
2010年にドイツで容疑者追跡のために用いられた440,783の「サイレントSMS」 2011年12月30日03:47 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 現在第28回Chaos Communication Congress(28C3)がベルリンで行われているが、火曜日には研究者のKarsten Nohlが「モバイルフォンの防御」というプレゼンテーションを行った。1時間の余裕があるなら、見る価値がある。 ハッカーは潜在的に、都合の良いポイントから多数の電話のIDとネットワーク認証を傍受することができ、ネットワーク認証はしばしばリフレッシュされないため(通信事業者次第で)、攻撃者は高額な有料課金型の電話をかけ、料金を他の人々に支払わせることができる、というNohlの暴露に、当初報道は集中した。GSMネットワーク仕様では、あらゆるネットワーク活動の再
2011年を振り返る – 3)脆弱性の悪用 |
「TrendLabs(トレンドラボ)」では、ここ数年、クライアント側のソフトウェアが脆弱性を利用する攻撃者の「格好の的」となっており悪用されていることを確認しています。そして2011年、脆弱性を悪用した攻撃による脅威はさらに複雑かつ巧妙になりました。 トレンドラボでは、ゼロデイ脆弱性が悪用されている事例がますます増えていることも確認しました。そして、そのうちのいくつかは、とりわけ深刻なものでした。具体的には以下のような脆弱性が世界的に悪用されていたことを確認しています。 脆弱性「CVE-2011-3402」:「Duqu」に利用された脆弱性。Duquとは、産業用施設を狙う攻撃に利用された「STUXNET(スタクスネット)」のコードを一部流用したと想定される 脆弱性「CVE-2011-3544」:Java に存在 Adobe製品に存在した未修正の脆弱性 2011年に確認した脆弱性を利用した攻撃
How-to: John the Ripper on a Ubuntu 10.04 MPI Cluster | Petur.eu
In this post I show step-by-step how you can setup your own “Super computer cluster” using Ubuntu MPI Cluster from multiple machines with the goal of bruteforcing strong encrypted passwords with John the Ripper for academic purposes. Owners of quad core machines will also benefit from this setup as the “john” binaries found in the Ubuntu Repositories are compiled to run on only one core. I managed
BeEF - The Browser Exploitation Framework Project
What is BeEF? BeEF is short for The Browser Exploitation Framework. It is a penetration testing tool that focuses on the web browser. Amid growing concerns about web-borne attacks against clients, including mobile clients, BeEF allows the professional penetration tester to assess the actual security posture of a target environment by using client-side attack vectors. Unlike other security framewor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米Microsoft、金融業界と協力し、「Zeus」ボットネット撲滅作戦に成功 
FreeBSD/ipfilter - BugbearR's Wiki
彩福堂(中国)集团有限公司- 官网
Contributed patches for John the Ripper [Openwall Community Wiki]
magnumripper/magnum-jumbo - GitHub
http://www.bastard.net/~kos/medussa/
http://www.backtrack-linux.org/forums/showthread.php?t=68
BindShell.Net: Dnetj
Street Fighter: The Movie (game)