マイクロソフトの電子署名を持つルートキットが発見される
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Bitdefenderのセキュリティ研究者は、「FiveSys」と呼ばれるルートキットについて詳しく説明するホワイトペーパーを発表した。このルートキットは、何らかの手段でMicrosoftのドライバー認定プロセスを通過し、Microsoftのデジタル署名を受けていた。 ルートキットは、サイバー犯罪者が感染したコンピューターにアクセスし、コントロールするための悪質なソフトウェアだが、ルートキットが有効な署名を持っている場合、正規のソフトウェアのように見えるため、OSの制約を迂回して「事実上無制限の特権」を得ることができるという。 これまでもサイバー犯罪者がデジタル証明書を盗んで悪用する例は見られたが、今回の場合は有効な証明書を入手すること
9月末でLet's Encryptルート証明書が期限切れ、古い製品は要注意
人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。 IdentTrust DST Root CA X3 セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるか
「全世界に存在する3分の1のAndroidデバイスで一部ウェブサイトが閲覧できなくなる」とLet’s Encryptが警告
無料でウェブサーバー向けのSSL/TLS証明書を発行している認証局Let's Encryptが、「全世界に存在するAndroidデバイスの3分の1で、Let's Encryptの証明書が使えなくなる」と警告しました。 Standing on Our Own Two Feet - Let's Encrypt - Free SSL/TLS Certificates https://letsencrypt.org/2020/11/06/own-two-feet.html Let's Encrypt warns about a third of Android devices will from next year stumble over sites that use its certs • The Register https://www.theregister.com/2020/11/06/
電子証明書の発行や管理もアジャイル指向?--デジサートの新プラットフォーム
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 2018年12月に発生したソフトバンクの大規模通信障害が最たる例だが、電子証明書の有効期限切れに起因するトラブルは珍しくない。ある日、ウェブサーバーにアクセスしてみたらエラーが表示され、大慌てで調べてみたら証明書の期限が切れていた――。そんな“ヒヤリ”経験を身近なところで聞いたことがあるのではないだろうか。ブラウザ側の対応もあって、ウェブのHTTPS化が進展してきたのは良いことだが、それに伴ってサーバー管理者が気にしなければいけない事柄がまた1つ増えている。 こうした状況も視野に入れ、電子証明書発行大手の米DigiCertは、2020年1月に開催した年次カンファレンスにおいて、証明書の発行や更新といった一連の処理の「自動化」「簡素化」を
EV証明書を使用して既知の企業になりすませる可能性が指摘される | スラド セキュリティ
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、 Ars Technicaの記事)。 EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を
メモ:EV証明書でブラウザのURLバーを緑色にするのもうやめない?という話 - Technically, technophobic.
またSleeviさんがなんかぶっこんでいるのでメモ。 https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ 「EV証明書でもフィッシングサイトつくれるよ」という報告 2017年9月の記事。 EV証明書を取得するには実在の団体の登記が必要だけど、そんなものDark Webで買えるよね、と*1。 So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director
SSL証明書の有効期限確認に便利なツール「cert」 | DevelopersIO
こんにちは、コカコーラ大好きカジです。 「SSL証明書(サーバ証明書)の有効期限確認や証明書の種類を確認するのは面倒ですよね。」 OpensslのコマンドをGoogle検索して・・・というか、自分もそんな感じです。 同じな悩みを持った人いそうだなぁ・・・と思って調べたら解決していた人がいました。感謝です。 certとは SSL証明書(サーバ証明書)の情報取得ツールです。(MITライセンスです。) genkiroid/cert Cert is the Go tool to get SSL certificate information. 前提条件 MacOSXでの利用法を記載します。他のOSの場合は、Goが動作すれば動くようですので、上記URLのReadmeをご参照ください。 certのセットアップ brewを利用すれば簡単にインストールできます。 % brew tap genkiroid/
House Of Keys: 9 Months Later… 40% Worse
House Of Keys: 9 Months Later… 40% Worse 06.09.2016 research vulnerability In November 2015 SEC Consult released the results of our study on hardcoded cryptographic secrets in embedded systems. It’s time to summarize what has happened since. To accomplish the mammoth task of informing about 50 different vendors and various ISPs we teamed up with CERT/CC (VU#566724). We would really like to report
JVNDB-2015-006907 - JVN iPedia - 脆弱性対策情報データベース
多くの組込み機器が、固有でない X.509 証明書と SSH ホスト鍵を使用しているため、なりすましや中間者 (man-in-the-middle) 攻撃、通信内容の解読などの攻撃を受ける可能性があります。 暗号鍵がハードコードされている問題 (CWE-321) SEC Consult の Stefan Viehböck の調査によると、多くの組込み機器が、固有でない X.509 証明書と SSH ホスト鍵を使用して、インターネットからアクセス可能な状態にあるとのことです。ファームウェアイメージに、ハードコードされた鍵や、インターネットをスキャンして蓄積されたレポジトリである scans.io (特に SSH の結果と、SSL 証明書) のデータとフィンガープリントが一致する証明書を使用している機器は脆弱だと判断できます。影響を受ける機器は家庭用ルータや IP カメラから VoIP 製品に
多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ
影響を受ける製品はルータやIPカメラ、VOIP電話など多岐にわたる。SEC Consultの調査では、約50社の900製品以上に脆弱性が見つかったという。CERT/CCによれば、Cisco、General Electric(GE)、Huawei Technologiesといった大手の製品でこの脆弱性が確認されたほか、未確認のメーカーも多数ある。 同一の証明書や鍵の使い回しは、ほとんどは同じ製品ラインやメーカー内にとどまっているものの、中には複数のベンダー間で同一の証明書と鍵が使われているケースもあった。これは共通のSDKで開発されたファームウェアや、ISP提供のファームウェアを使ったOEMデバイスに起因するという。 例えば、BroadcomのSDKに見つかった証明書は、Linksysなど複数のメーカー製のデバイス48万台あまりのファームウェアに使われていたとSEC Consultは報告して
グーグルが無効化を発表、シマンテックのサーバー証明書にダメ出し?
米グーグルは2017年9月、同社が提供するWebブラウザーChromeのバージョン70以降では、米シマンテックが発行したサーバー証明書を「信頼できない」として受け入れないことを発表した。 国内外の多数の企業が利用しているシマンテックのサーバー証明書。一体どうなってしまうのだろうか。 サーバー証明書は信頼の証し サーバー証明書とは、Webサイトの認証や通信の暗号化に使用する電子データのこと。TLS(SSL)と呼ばれる安全性の高い通信を実現するために必要となる。 Webサイトを運営する企業・組織が、認証局(CA:Certificate Authority)と呼ぶベンダーに申請して発行してもらう。シマンテックは認証局の一つ。 信頼できる認証局が発行したサーバー証明書を持つWebサイトにアクセスすると、Webブラウザーには錠マークなどが表示され、HTTPS(HTTP over TLS/SSL)とい
グーグル、シマンテック証明書への信頼を無効化する計画発表--「Chrome 66」より
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Chrome 66」より、Symantecが発行する証明書のうち2016年6月1日以前に発行したものは有効かつ信頼性のあるものとはみなされなくなる。Chromeの現在のバージョンは61.0.3163で、66はベータ版が2018年3月15日、正式版は4月17日に公開を予定している。 Symantecは2017年12月1日までに、証明書の発行に関してDigiCertのインフラに移管する計画で、それ以降、古いインフラをベースに発行された証明書についてもChromeでは信頼されないものとなる。 Googleは7月、Symantecの証明書を将来的に信頼しない意向を明らかにしていた。今回の具体的な計画が発表されたことにより、Symantecの証
シマンテック、ウェブサイトのセキュリティとPKIソリューションの事業を売却へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Symantecによるウェブサイトのセキュリティ事業は物議を醸してきているが、DigiCertへの売却が決定した結果、2018会計年度第3四半期中に新たな企業のもとで運営されることになった。 Symantecは現金で9億5000万ドルを受け取るとともに、手続き完了時にDigiCertの株式の30%を取得する。 Symantecはここ数カ月、同社のTransport Layer Security(TLS)証明書の信頼度を弱める手続きを開始しようとするGoogleとMozillaとの間で議論を続けてきている。Googleは先週、「Google Chrome 66」を2018年4月にリリースする際には、2016年6月1日よりも前に発行されたS
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行:セキュリティクラスタ まとめのまとめ 2017年3月版(1/4 ページ) 2017年3月、セキュリティクラスタが注目したのは簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性。Symantecの発行する電子証明書にも話題が集まりました。 2017年3月のセキュリティクラスタは大騒ぎ。誰でも簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性が公表されたことが原因です。案の定、この脆弱性を使用している多数のWebサイトが攻撃を受けてしまいました。1月に話題となった「東京都税 クレジットカードお支払サイト」と2度目の被害となった「JINS」の被害が特に大きく、たくさんの人が興味を持ち、ツイートしていました。 Symantecの発行するSSL証明書をGoog
Symantecが再びGoogleの信頼を失った件についてのメモ - Technically, technophobic.
(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください) 何が起こるのか Ryan Sleeviさん(Googleの人)がBlink-devのメーリングリストに投稿したこれにまとまっています:https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence and security of our users, we propose the following steps: A reduction in the accepted
グーグルの開発チーム、シマンテック発行の証明書に激しい不信感
(出所:米グーグル、https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs) 開発チームが同社のオンラインフォーラムに投稿した内容によると、同チームは1月19日以降、シマンテックが発行した証明書の問題点について調査してきたという。 その調査中、同チームがシマンテックに問い合わせるたびに、不適切に発行された証明書の件数が増えていったとする。当初は127件だったのが、3万件以上にまで増加。しかも、これらの証明書は数年間にわたって発行されていたという。 グーグルは、2015年10月にもシマンテックの証明書発行の問題について対応を要求している。シマンテック傘下の認証局が、グーグルの許可なしに「google.com」などの証明書を発行していたという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CA/ B フォーラム 2020年10月のアップデート
Chrome58になると自己署名の証明書がエラーになるので、OpenSSLに詳しくなった話 | Tech Blog | CRESCO Tech Blog
Weiterleiten …
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案 
