中国系ハッカー、“FBIのバックドア”から米通信大手をハッキング | p2ptk[.]org
以下の文章は、コリイ・ドクトロウの「China hacked Verizon, AT&T and Lumen using the FBI’s backdoor」という記事を翻訳したものである。 Pluralistic 中国政府と繋がりのあるハッカー集団がAT&T、Verizon、Lumenなどの大手通信会社に侵入した。彼らはこれらの企業のネットワークに潜り込み、数ヶ月にわたって米国内の通信を傍受していたのだ。対象は個人から企業、果ては政府関係者にまで及んでいた。驚くべきことに、彼らはコードの脆弱性を突く必要すらなかった。代わりに使ったのは、FBIが全ての通信事業者に設置を義務づけているバックドアだった。 https://www.wsj.com/tech/cybersecurity/u-s-wiretap-systems-targeted-in-china-linked-hack-327fc
![中国系ハッカー、“FBIのバックドア”から米通信大手をハッキング | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/44d7851311bfad4e95296b931a5ab2882dbbf1b3/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F10%2Fcalea.jpg)
サイバーレジリエンスのためのコミュニケーション ~セキュリティ担当者に必要なコミュニケーションスキル集~ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 サイバーインシデント発生時にセキュリティ担当者はその被害の封じ込め、復旧対応のために現場から経営層までさまざまな部署の担当者と円滑に連携して対応していく必要があります。このように組織一体となってサイバーインシデントに対応し、状況を回復していく力を「サイバーレジリエンス」といいますが、このサイバーレジリエンスを実現していくためには多くの企業が以下のような課題を抱えていると考えています。 1.同じ企業の中の部署であっても、それぞれの部署がもつ専門性や文化の違いからサイバーインシデント対応において必要な連携の 中でコミュニケーションエラーが発生しやすい可能性がある。 2.サイバーインシデントを体験したことがある担当者が限定的であるため、対応のために必要なコミュニケーションスキルに個人差 がある可能性がある。 そこで本プロジェクトでは、事業会社において、サイバーインシデント対応時の他部署との
ラバランプはどのようにインターネット暗号化に役立つか?
さらに詳しく知りたいとお考えですか?是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください! Cloudflare暗号化にラバランプを使用する理由 安全な暗号化にするうえでランダム性は非常に重要です。データを暗号化するのにコンピューターが使用するそれぞれの新しい鍵は、攻撃者が鍵を見つけてデータを復号化できないように真にランダムなものでなければなりません。しかし、コンピューターは、任意のインプットに基づいて、予測可能で論理的なアウトプットを提供するように設計されています。予測不可能な暗号鍵を生成するのに必要なランダムデータを生成するようには設計されていません。 強力な暗号化に必要な予測不可能で無秩序なデータを生成するには、コンピューターはランダムデータのソースが必要です。物理世界における事象は予測不可能であるた
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog
2023年8月15日、GMWは同社が運営するサービスが不正アクセスを受けたことで、「pictBLand」及び「pictSQUARE」のデータベース情報が外部へ流出した可能性があると公表しました。また当該サービスのWebサイトを閲覧した際に別のサイトへ接続する状態になっていたことも明らかにしています。ここでは関連する情報をまとめます。 累計130万人登録のSNSに不正アクセス GMWが運営するサービスが不正アクセスを受け、pictBLandのサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。サービスの累計登録者数は約130万人で、今回の不正アクセスによる影響を受けたアカウントの件数は約80万件。*1 不正アクセスとの関連があったとみられる事象が複数確認されており、それらは以下の通り。今後デジタルフォレンジックを行う企業へ調査を依頼することで影響範囲の特定を行うとしてお
Modular Crypt Format — Passlib v1.7.4 Documentation
Modular Crypt Format¶ A explanation about a standard that isn’t See also Deprecated (as of 2016) in favor of the PHC String Format In the opinion of the main Passlib author, the modular crypt format (described below) should be considered deprecated when creating new hashes. The PHC String Format is an attempt to specify a common hash string format that’s a restricted & well defined subset of the M
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料:時事ドットコム
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料 2023年08月04日08時00分配信 旧日本海軍の山本五十六連合艦隊司令長官(AFP時事) 太平洋戦争中の1943年4月18日、前線巡視に向かう山本五十六連合艦隊司令長官の搭乗機が撃墜され、長官が戦死した事件で、その2カ月前に旧日本海軍が異なる暗号書の間で乱数表の使い回しを命じていたことが分かった。機密解除された米軍史料を収集した戦史研究家の原勝洋さん(81)が、時事通信の取材に明らかにした。長官の行動予定を記した暗号電が、乱数表変更の指示に反する形で作成されたことも判明。暗号は米側に正確に解読され、撃墜を招く結果となった。 長官の死から80年、真実が今 機密情報、日米で懸け離れた認識 旧海軍の暗号を巡り、機密保全上、極めて問題のある使用法を中央が命じ、出先も不適切に運用したことが文書で裏
船舶のGPS・AISシステムへの攻撃手法~レッドチーム演習の先生をやってきた!~ - ラック・セキュリティごった煮ブログ
しゅーとです。先日、日本で初となる実運航船を用いたサイバー攻撃への船舶防御演習を実施しました。実際に動いている船に対して本気でスプーフィング攻撃を仕掛け、船員がどのように対応するかを考える非常にアツいイベントです。 演習の概要は広島商船高専様のプレスリリースをご参照ください。 www.hiroshima-cmt.ac.jp 私は演習で利用する攻撃技術の検討や攻撃ツールの開発、2日目の演習でのレッドチーム(攻撃役)を担当しました。また1日目には受講者への座学のほか、PCを用いて攻撃を行うハンズオンセミナーも行いました。 本記事では私が担当した講義や船舶防御演習の流れを通して、世界でもあまり知られていない船舶への特有の攻撃手法について解説します。 航行を支援するECDISへの攻撃 ブリッジにあるECDISの例*1 船舶には、航行に欠かせない動力や舵のほか、航行を支援する様々な電子機器が存在しま
ファイルをお手軽に暗号化したい! – openssl cms のススメ | IIJ Engineers Blog
はじめに 今回は、IIJ Engineers Blog編集部より、IIJ社内の雰囲気が少し垣間見えるような記事をお送りします。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 そんな書き込みを眺めては、 「社内だけに留めておくのはもったいない。きっとこういった情報を欲している人もいるはず!」 と思い、編集部が社内掲示板からチョイスしたものを記事にしてみました。 今回紹介するのは「手軽にファイルを暗号化 - openssl cms」 手軽にファイルを暗号化する手法のひとつとして openssl cms を紹介します。 どうぞご覧ください! みなさん、機密情報を USB メモリを介して受け渡したり、ネットワークを介してコピーしたいとき、どうやって暗号化していますか? “gpg” を思い付いたあなた。エントロピーが
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
1Password で SSH の鍵生成・管理、また Git のコミット署名を行うのが便利そう。今後はこれを使っていきたい - ドキュメントを見たほうが早い
developer.1password.com パスワード管理ソフトで有名な 1Password に SSH の鍵管理の機能が追加されていた。 新たにセットアップする機会がなかったのでスルーしていたが、セットアップ機会が訪れたので試してみたところ、思った以上に体験が良かった。 また GitHub に SSH 鍵でコミットの署名・検証を行える機能が追加された。 これらが組み合さって、これまでの鍵管理やコミット署名と比べて手間無くセキュアに出来ることに気づいてきたので紹介してみる。 1Password での SSH 鍵生成/管理 まず、1Password 8 から SSH の鍵を生成 / 管理できるようになった。 blog.1password.com 詳しいやり方は上記のブログやドキュメントを見てもらう方がわかりやすい。 この機能を使った GitHub への鍵の登録イメージはブログにもあるこの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
