強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 本日、JPRS がようやく重い腰をあげて注意喚起を発してくれましたが、その内容は危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません。 一方で注意深い攻撃者が探せば、ネット上にはすでに深刻な攻撃を行うのに必要な情報は十分に流れています。特に、JPRS が3月に慌てて co.jp などにこっそり入れた署名付き TXT レコードは大きなヒントに見えます。 DNS に詳しい攻撃者であれば、攻撃手法に辿りつくのは時間の問題でしょう。(すでに攻撃は行われているかも知れません) 長く秘密にしておくことは得策ではないと判断し、防御する側の心構えと手助けにし
キャッシュポイズニングの開いたパンドラの箱 -2-
キャッシュポイズニングの開いたパンドラの箱 -2- Opened Pandora's box of Cache Poisoning -2- 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) 移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥 今回、委任インジェクション攻撃に加え、さらに RFC2181 の欠陥を突いた攻撃が可能であることを確認した。 委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。 これにより、現状では別途示した 1, 2, 3 の条件に関係なく容易に毒入れすることが可能である。 攻撃者は以下のようにターゲットのゾーンの NS を偽権威に向けることができる。
キャッシュポイズニングの開いたパンドラの箱
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
IME のオンライン機能利用における注意について – IIJ Security Diary
日本語などのマルチバイト文字を扱う環境において、IME (Input Method Editor) は切っても切り離せない機能です。最近は、この IME に常時インターネット接続を必要とする、クラウド関連の機能が実装されることが増えてきました。うまく使えば有益な機能ですが、利用における注意点などについて説明します。 クラウド機能の定義は IME 毎に異なりますが、概ね以下の様な機能を指しています。 ユーザ辞書の外部サーバへの保存(辞書同期)外部サーバからの変換候補の取得(クラウド変換) これらの機能は文字入力精度や効率の面から見ると非常に魅力的です。ですが、セキュリティの面から見た場合には注意する点があります。 ユーザ辞書の外部サーバへの保存(辞書同期) 殆どの IME はユーザの入力データを元に自動学習しており、効率的な変換が可能です。これらには自動的に学習した単語や、ユーザが自ら登録し
エフセキュアブログ : EMCおよびRSAのトップ達への公開書簡
EMCおよびRSAのトップ達への公開書簡 2013年12月24日06:46 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 2013年12月23日 以下への公開書簡: Joseph M. Tucci氏:EMC社 会長兼最高経営責任者 Art Coviello氏:RSA会長 Tucci様およびCoviello様 私のことはご存じないと思います。 私は1991年以降、コンピュータセキュリティに携わっています。この話題について、昨今かなりの数の講演をこなしております。実際に、RSA Conference USA、RSA Conference Europe、RSA Conference Japanにて計8回の講演を行ってきました。御社ではカンファレンスのウォールの「industry experts」の中に私の写真を登場させてさえいました。 12月20日にロイターが
市民団体へ行われたDoS攻撃についてまとめてみた。 - piyolog
複数の脱原発等を行う市民団体へサイバー攻撃が行われたと朝日新聞が報じました。最近よく見られるパスワードの使いまわしを狙ったリスト型攻撃やHPの改ざんとは異なる攻撃であったため、報道情報を元にまとめてみたいと思います。 1.DoS攻撃の特徴 今回行われたDoS攻撃をまとめると次の様な特徴があります。 ※自動送信プログラムの使用は推測。 (1) メールボムによるDoS攻撃 DoS攻撃には「メールボム」が使われたことが報じられています。これは攻撃対象のメールアドレスに対して一斉にメールを送ることで、攻撃対象の処理能力を溢れさせる・低下させることを通じ攻撃対象のサービスや業務停止を目的とするものです。メールサーバーを個人規模のシステムで運用している場合、今回の様なDoS攻撃を受けた時に性能頼りで捌くことも難しく、影響を受けることも考えらえます。 (2) メール送信にメルマガ登録や問合せフォームを悪
本の虫: リチャード・ストールマンは常に正しかった
Richard Stallman Was Right All Along 去年の年末頃、オバマ大統領はテロリストの容疑者を裁判や令状なしに拘束できる法に署名した。世界中で起こっている平和的なオキュパイ運動家は、権力者からテロリストだとレッテル貼りをされている。通信を監視するSOPAを成立させるような圧力もある。30年前、リチャード・ストールマンがGNUプロジェクトを立ち上げてからこのかた30年間、彼の極端な物の見方は、馬鹿げていてパラノイアじみていると嘲笑されたものだ。しかし、この2012年において、パラノイアだと思われていた予測が、現実のものになろうとしている。 ごく最近まで、リチャード・ストールマンを世間離れしたパラノイアの狂人だと一笑に付すことは簡単であった。まあ、いってみれば、奴は古臭いコンピューターヒッピーだ。地下室に引きこもって自分の世界に浸っているパソコンオタクだ。あのヒゲ、
問題点の概要 - 「PHPで作成する携帯会員サイトの基本」の諸問題(1) - 徳丸浩の日記
_問題点の概要 CodeZineから発表されている「PHPで作成する携帯会員サイトの基本」という記事はツッコミどころ満載で、既にいくつかの問題が修正されているのだが、まだ残っている問題があることや、修正内容にも疑問があるので、いくつか指摘してみたい。ざっと書いたところ、ものすごく長くなりそうだったので、小出しで「連載」の形で書く。忙しいので途中でやめるかもしれない。今回は、問題点の概要を報告する。 くだんの記事をざっと見たところ、以下の問題を見つけた。 IPアドレス制限のない「かんたんログイン」 Net_UserAgent_Mobileを用いて携帯電話の端末IDを取り出し、かんたんログインを実装しているが、ゲートウェイのIPアドレス経由であることを確認していない。以下のリストは、端末IDを取り出しているところ(4ページ目)。 $agent = Net_UserAgent_Mobile::s
PC通販「Faith」サイトからクレジットカード情報7万4000人分流出
MCJは9月27日、子会社ユニットコムが運営するPC通販サイト「Faith」から顧客のクレジットカード番号が最大7万4048人分流出したと発表した。同じサーバから「TWOTOP」サイトの会員ユーザーIDとパスワード18万74人分も流出した。 MCJによると、流出したのは、Faithサイトで2008年6月26日から今年8月17日までの間にクレジットカードで買い物をしたユーザー最大7万4048人分のクレジットカード番号とそのカード有効期限。氏名、住所などその他の個人情報は含まれていないという。以前にTWOTOPが同じサーバを使っており、TWOTOPサイトで1999年6月29日から08年9月10日までの間に会員登録した最大18万74人分の会員ユーザーIDとログインパスワードも流出した。 9月13日夜、クレジットカード会社から情報流出の可能性について調査依頼があり、ユニットコムが調べたところ、同月
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
RapidSSL正規販売パートナー Rapid-SSL.jp
SSL サーバ証明書 格安・快速発行 Rapid-SSL.jp サーバメンテナンスを行います。 お知らせをご覧下さい。。SSLサーバ証明書 を取得するならRapid-SSL.jp。 Rapid-SSL.jpは、Digicert社が保有・運営する低価格ソリューションブランド"RapidSSL.com"のサービスを取り扱う日本における正規販売パートナーです。 低価格とはいえ高い信頼性・2048bitRSAルート証明書対応・Certificate Transparency対応・世界標準の256bit鍵長SSL暗号と全く遜色の無いもので、まさにSSL普及の為のサービスと言えるでしょう。 法的な書類確認が不可欠なサービスをあえて扱わず、オンライン本人確認システムを採用、全ての手続きのオンライン化・徹底したコスト削減によりお求めやすく・快速発行(最短数分)*1を実現しました。現在、RapidSSLの証
ウェブ健康診断 - 財団法人 地方自治情報センター(LASDEC)
地方公共団体が運営するホームぺージの改ざん防止等を図り、安定的な電子行政に資するため、ウェブアプリケーションの脆弱性の有無を診断し、その対処方法をお知らせします。ハッカーからの攻撃等による個人情報漏えいの危険性がある脆弱性についても診断できます。 ※診断実施希望団体(平成20年度)の募集は終了しました。 ウェブ健康診断とは? 「ウェブ健康診断」とは、地方公共団体が運営するWebアプリケーションについて、インターネットを介して脆弱性の有無を診断するものです。地方公共団体であれば、無償で診断を受けることができます。本事業は、人間に例えるなら、その名のとおり 「健康診断」にあたるような位置づけの診断です。人間ドックに比べたら精密ではありませんが、昨年度事業での診断結果傾向等を考慮しながら重要な診断項目を網羅してあります。基本的な対策が出来ているかどうかを診断するものとお捉えください。 We
発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ
Webシステム/Webアプリケーションセキュリティ要件書 セキュリティ要件書 トライコーダでは、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書『発注者のためのWebシステム/アプリケーションセキュリティ要件書』を公開していました。 2013年11月1日からは、OWASP の 『セキュリティ要件定義書ワーキンググループ』に『Webシステム/アプリケーションセキュリティ要件書』としてドキュメントを引き継いでいます。 Webアプリケーションのセキュリティ要件は明確 セキュリティ対策に終わりはないと言われていますが、Webアプリケーションにおいては、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、Webアプリケーションを安全に構築するためのセキュリティ要件は明確になっているのです。 今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大
対顔認識アクセサリー – 簡単な図形で、カメラに自動で捕捉されるのを防ぐ – 秋元
Adam HarveyさんがOpenCVの顔認識機能を使って試した、人間の顔として認識されないようにするための、いわばプライバシー防御パッチがこれ 白黒のマークが描かれたピースを頬の上に二つ並べるだけで、上段の2つの写真は顔だと認識されなくなります。 Facebook上で顔を認識してタグをつけるアプリに、この変装をした写真をアップロードした様子を撮った動画。最後のほう、一枚も顔が認識されていないのがわかります。 CV Dazzle vs PhotoTagger from Adam Harv on Vimeo. アップロードされた写真から個人を特定して分類したり、監視カメラの映像から映っている人物の年齢や性別を、そして近いうちにおそらく個人を判定するようなソフトウェアは、いろいろなところですでに配備され、認識率もどんどん上がっていくだろうと思います。 近未来の社会では、街中を歩くときにこのよ
新入社員等研修向け情報セキュリティマニュアル - JPCERT コーディネーションセンター
新入社員等研修向け情報セキュリティマニュアル 企業や組織の教育担当者や情報セキュリティ担当者に向けて、新入社員等に情報セキュリティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報やトピックをまとめたものです。 教育担当者や情報セキュリティ担当者向けのメッセージをコラム形式(「教育担当者・システム管理者の方へ」という囲み記事)で記載することで、新入社員向けのコンテンツとして直接利用できる部分と、そうでない部分を区別できるようにしています。 また、本編の補助教材として、初心者にセキュリティ意識を高めてもらうために、簡単なクイズ形式により、考え方やアプローチを身につけることを意識するように工夫してあります。 本編と併せて、セキュリティ対策やインシデント対応に関する社内ルールの教育、研修等にご活用ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性
文字コードに起因する脆弱性とその対策
Microsoft、無償ウイルス対策ソフトを中小企業でも利用可能に
「注意喚起」の記事 | セキュリティ対策のラック
