暗号を鍵無しで解読するパディングオラクル攻撃 | スラド セキュリティ
暗号を鍵を知らない状態で解読できるようになるというパディングオラクル攻撃が可能な脆弱性がASP.NET、Ruby on Rails、JSFなどのフレームワークで見つかっているとのこと(InfoQの記事、WatchGuardの記事)。検証ツールのPOET (Padding Oracle Exploitation Tool)も公開されている。 パディングオラクル攻撃はブロック暗号の解読エラーを利用するものである。適当な文字列を暗号文として送りつけ、パディングが不正な場合に起きる特殊なエラーもしくは処理されないという事実を利用して、その文字列が暗号文として適切かどうかを調べる。それを繰り返すことで、暗号化されたデータを鍵無しで解読できるようになるらしい。 ASP.NETではセッションクッキーの暗号化にこの脆弱性があったために、数百万のウェブアプリケーションに問題があったとのこと(threatpo
ADサーバー掲出タグによるセキュリティアラートと対処について | スラド セキュリティ
今回は大変ご迷惑をおかけしまして申し訳ありませんでした。 OSDNのサイトでは、広告バナーの配信のためのADサーバーとして、MicroAD社のVASCOを使っておりましたが、 本来掲出されるはずの広告タグの前に不明なiframeタグ差し込まれるという事態が発生し、その中身によって不明なサイトに誘導されるということが起きてしまいました。 原因がVASCO ADサーバーによるものだと特定でき、OSDN管理のADサーバーに切り替えたのは24日23:30です。その後、キャッシュなどに残っていないか確認作業を進め、25日0:29にOSDN全サイトで問題ないことを確認いたしました。 具体的な現象としては、vsc.send.microad.jpのJavaScriptから掲出されるタグにおいて、 <iframe width="1" height="1" src="http://xxxx.ipq.co/st
Windows の全バージョンに危険な脆弱性が見つかる | スラド セキュリティ
USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568、RBB TODAY の記事、エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。 この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名さ
Thawteのデジタル証明書無料発行サービスが終了 | スラド セキュリティ
S/MIMEで利用できるデジタル証明書を無償で発行してくれるThawteのサービス「Personal E-mail Certificates」がまもなく終了するそうです。 S/MIMEは個人利用に限らず普及しているという感じが乏しいように思えるのですが、いかがなものでしょう。いずれにしても、このサービスの停止は残念です。
200 台の PS3 で 112 ビット楕円曲線暗号の解読に成功 | スラド セキュリティ
ストーリー by reo 2009年07月16日 12時30分 「暗号解読」を読み終えたら次は何がおすすめでしょう 部門より 暗号学者ヨッパ・W・ボス (Joppe W. Bos)、マルセロ・E・カイハラ (Marcelo E. Kaihara)、トルステン・クラインユング (Thorsten Kleinjung)、アリエン・K・レンストラ(Arjen K. Lenstra)、ピーター・L・モンゴメリ (Peter L. Montgomery) の発表によると、112 ビットの楕円曲線上の離散対数問題の解を求めることに成功、新記録を出したという (スイス連邦工科大学、暗号アルゴリズム研究室の発表記事、本家 /. 記事より) 。 前回の記録は 109 ビット暗号の解読で 2002 年 10 月にさかのぼる。今回のプロジェクトはスイス連邦工科大学ローザンヌ校 (EPFL) にある200 台を越
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
全日空のシステム障害は「有効期限切れ」が原因 | スラド セキュリティ
朝日新聞の記事によると、14日に全日空の全国各地の空港カウンターにある端末が一斉ダウンし、多くの欠航や遅れが生じた問題で、原因はシステムの一部機能の「有効期限切れ」と分かったそうだ。欠航で宿泊を余儀なくされた客らへの費用負担は、約2億円になるとのこと。同社は社長ら役員10人の1カ月の報酬を、10~50%減額する処分とした。 ANAによると、問題があったのは同社の「データセンター」(東京都)にある「端末認証管理サーバー」で、全国51空港にある1556台の端末などを管理しているが、このサーバーのデータを暗号化する機能の有効期限が、市販時の初期設定のまま「3年」(2008年9月14日午前1時44分まで有効)と設定されていたため、14日未明からシステムが動かなくなったのだそうだ。サーバーの導入は2005年で、当時の搭乗システムではデータを暗号化する機能を使っていなかったため、有効期限の設定は市販時
2008年度「陰険なCコードコンテスト」開始 | スラド セキュリティ
本家/.の記事より。毎年開催されている「陰険なCコード」(Underhanded C Contest)だが、今年も募集が始まった。締切は9月30日。このコンテストでは、応募者は一見単純かつ無害で、可読性の高いCプログラムに、ちょっとソースを読んだくらいではなかなか分からない予想外の有害なふるまいを実装することが要求される。今年のテーマは「PPM形式の画像を与えると、その画像の一部が消える(ただし後で復旧可能)」というもの。ちなみに去年のテーマは「0.01%から1%の確率で暗号化が脆弱になってしまう単純な暗号化ユーティリティを書け(ただし暗号化に失敗したことを簡単に見破られてはいけないし、復号もできなければならない)」というものだったが、昨年の優秀者とその作品も発表されている。
MS: VistaのUACはユーザをいらいらさせるために作った | スラド セキュリティ
CNET Japanの記事によると、Windows Vistaのユーザアカウント制御機能(UAC)は、故意にユーザをいらいらさせ、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために搭載したものらしい。Windows VistaのUACの設計担当責任者だったDavid Cross氏が、サンフランシスコで開催されたRSA Conference 2008においてそう述べたそうだ。氏によれば、 (Vistaに)UACを搭載したのはユーザーをいらいらさせるためだ。これは真面目な話だ。これまでのWindowsシステムでは、大部分のアプリケーションをインストールしたり実行したりするのに管理者権限が必要だったが、ユーザーの多くが管理者権限を持っていた。(中略)UACはISVのエコシステムを変えつつあり、アプリケーションのセキュリティは高まっている。エコシス
「解読不能が数学的に証明された画期的な新暗号方式」が登場 | スラド セキュリティ
@ITの記事「「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは」によりますと、「暗号技術利用の常識を打ち破る、まったく新しい暗号方式が現れた」のだそうです。記事によれば、このたび東京理科大学理工学部長兼量子生命情報研究センター長の大矢雅則博士が考案したという新暗号方式「CAB(Crypto Alarm Basic)」は、他の公開鍵暗号方式がCAB方式の特殊形と位置づけられることが数学的に証明されているのだそうで、大矢教授曰く「盗聴者が探索しなければならない鍵空間は無限大ですから、鍵を推定できる確率はゼロ」なのだそうです。このCAB方式は、量子コンピュータを使っても解くことができないそうで、コンピュータの計算能力が爆発的に上がっても、量子コンピュータが実現されても「解読不能」と言い切れるのだとか。 なんともはやすごい技術が登場したものだと驚きですが、学会発表や特許申請を一切行わず
日本PKIフォーラムでCNが間違っている証明書を使用中 | スラド セキュリティ
日本PKIフォーラムという「アジア共通のPKI基盤を作る」ことを目的とした団体があるそうです。この団体のセミナー申込画面の下の方に目を疑う記述が……。 ●お申込の際のセキュリティの警告について 申込画面では、下記警告画面が表示されます。これは、当サイトが「共有サーバ」を利用し、SSL認証は当サイトが利用している レンタルサーバーサービスが取得したものを使用していますが,独自のドメイン(japanpkiforum.jp)を使用しているために表示されるものです。 証明書はこのドメイン(レンタルサーバ)に対して発行されているため、「サイト名と一致しません」という警告が表示されてしまいます。 証明書の内容に問題はございませんので、「はい(Y)」をクリックして先に進んで下さい。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA 職員の私物 PC から Winny による個人情報流出 | スラド セキュリティ
名古屋市のサイト、証明書期限切れ | スラド セキュリティ