So we gave a talk and a live demo at ekoparty last week to show how BEAST exploits a weakness in SSL to decrypt secret cookies. Please note that BEAST does not do any harm to remote servers. In fact, no packet from BEAST has ever been sent to any servers. We chose PayPal because they do everything right when it comes to server-side SSL, and that is good to demonstrate the power of BEAST, which is
Tor and the BEAST SSL attack by nickm | September 24, 2011 Today, Juliano Rizzo and Thai Duong presented a new attack on TLS <= 1.0 at the Ekoparty security conference in Buenos Aires. Let's talk about how it works, and how it relates to the Tor protocol. Short version: Don't panic. The Tor software itself is just fine, and the free-software browser vendors look like they're responding well and qu
海外のいくつかのサイトで、SSLの脆弱性に関して取り上げられています(Hackers break SSL encryption used by millions of sites など)。SSLを基盤としたVPNであるOpenVPNに対する影響が気になるところですが、作者であるJames YonanがOpenVPN MLの中でこの件について説明していますので、その概要をご紹介しましょう。 現時点において"BEAST" exploitの詳細は不明だが、おそらくはこの脆弱性は2004年に公開されている、SSL/TLS 1.0の初期化ベクタに関連した問題ではないかと考えられる。 この脆弱性はSSLの全バージョンと、TLS 1.0に存在するもので、TLS 1.1以上についてはこの問題は存在しない(OpenVPNは現在TLS 1.0 を使用している)。 この問題の回避策の一つとして広く採用されている
米Microsoftはセキュリティアドバイザリーを公開、MozillaはFirefoxブラウザの対応についてブログで説明した。 Webトラフィックの通信暗号化に用いられるSSL/TLSプロトコル関連の脆弱性を突く攻撃方法がセキュリティカンファレンスで発表されたことを受け、米MicrosoftやMozillaなど主要Webブラウザのメーカーが対応に乗り出した。 この攻撃方法はアルゼンチンのブエノスアイレスで開かれたセキュリティカンファレンス「ekoparty」で9月23日に発表された。脆弱性はSSL 3.0とTLS 1.0が影響を受け、悪用された場合、攻撃者にSSL/TLS通信の暗号を解読され、cookieなどの重要な情報を盗まれる恐れがあるとされる。 Microsoftはこの問題について26日付でセキュリティアドバイザリーを公開した。同社の製品ではWindowsコンポーネントがこの問題の影
Thai Duong and Juliano Rizzo today demoed an attack against TLS 1.0's use of cipher block chaining (CBC) in a browser environment. The authors contacted browser vendors several months ago about this and so, in order not to preempt their demo, I haven't discussed any details until now. Contrary to several press reports, Duong and Rizzo have not found, nor do they claim, any new flaws in TLS. They h
Trend Microによると、ユーザーが大規模な中間者攻撃を受け、暗号化されたトラフィックを第三者に読み取られる状態になっていたのは間違いないという。 オランダのSSL認証局DigiNotarから不正なSSL証明書が発行されていた問題について、米Trend Microは9月5日のブログで、「攻撃側の狙いはイランのインターネットユーザーを監視することだったとの確証を得た」と報告した。 Trend Microによると、同社のサービスを通じて収集したデータを分析した結果、イランのISPや大学など40以上のネットワークのユーザーが、DigiNotar発行の不正なSSL証明書を使った攻撃に見舞われていたことが判明した。検閲や盗み見を防ぐためのソフトウェアを使っている場合でも、この攻撃を免れることはできなかったとしている。 Trend Microがこの結論を出す根拠となったのは、Diginotar発
米MicrosoftはDigiNotar関連の認証局が発行したSSL証明書をすべて失効させるアップデートを公開した。Mozillaは「Firefox 6.0.2」をリリースした。 オランダのSSL認証局DigiNotarから不正なSSL証明書が発行されていた問題で、米Microsoftは9月6日、DigiNotar関連の認証局が発行したSSL証明書をすべて失効させるアップデートをサポート対象の全Windows向けに公開した。Mozilla Foundationも同日リリースしたWebブラウザの更新版「Firefox 6.0.2」で同様の措置を講じた。 Microsoftは8月29日に出したセキュリティ情報を6日付で改訂。「証明書信頼リスト」を通じて対処していたWindows VistaとWindows 7に加え、Windows XP SP3とWindows Server 2003 SP2も
Published: 2024-04-04 Last Updated: 2024-04-04 17:53:02 UTC by John Moutos (Version: 1) [This is a guest diary by John Moutos] Intro Ever since the LockBit source code leak back in mid-June 2022 [1], it is not surprising that newer ransomware groups have chosen to adopt a large amount of the LockBit code base into their own, given the success and efficiency that LockBit is notorious for. One of th
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
不正侵入を受けて不正なSSL証明書を発行していた認証局のDigiNotarのサイトから、何年も前に改ざんされていたとみられるWebページが見つかったという。 オランダのSSL認証局DigiNotarから不正なSSL証明書が発行されていた問題に関連して、セキュリティ企業のF-Secureは、DiginotarのWebサイトが何年も前からハッキングされ、Webページが改ざんされていたのを見つけたと伝えた。 F-Secureによると、改ざんされていたのは「diginotar.nl」のドメインを使ったDigiNotarのページで、「Hacked by KiAnPhP」「Iranian Hackers」などの文字が残されていた。DigiNotarが不正証明書発行の事実を公表した8月30日の時点でまだ閲覧できる状態だったという(日本時間の9月2日現在はつながらなくなっている)。 さらに調べたところ、同
不正なSSL証明書発行事件に絡み、Firefoxブラウザを提供するMozillaはオランダのSSL認証局DigiNotarに対する認定を恒久的に取り消すと発表した。 オランダのSSL認証局(CA)DigiNotarから不正なSSL証明書が発行されていた問題で、Firefoxブラウザ提供元であるMozilla Foundationは、DigiNotarに対する信頼が失墜したと判断し、同社のCA認定を恒久的に取り消すと表明した。慎重に検討した結果、最後の手段として決めた方針だとしている。 Mozillaは9月2日のセキュリティブログで、不正に発行されたSSL証明書の中には「addons.mozilla.org」のドメイン用のものもあったことを明らかにした。それにもかかわらず、DigiNotarが6週間も前に問題に気付いて不正な証明書を失効させておきながら、Mozillaに何の連絡もなかったこと
Mozilla は、DigiNotar により発行された Google に属する Web サイトの SSL 証明書が 不正なものであることを確認しました。これは Firefox 固有の問題ではありません。多くの人々を保護するため、この証明書は発行元により破棄されました。 Mozilla は、この証明書を無効化した新しいバージョンの Firefox をリリースしました。Firefox を最新リリースに更新するには の記事の手順に従い、できるだけ速やかに Firefox を更新してください。 DigiNotar のルート証明書は、以下の手順で手動で削除することができます: 画面上部のメニューバーで をクリックし、 を選択します。メニューボタン をクリックし、 を選択します。 パネルをクリックします。 タブを選択します。 証明書を表示... ボタンをクリックします。 証明書マネージャ ウィンドウ
大手SSL認証局からGoogleなどのWebサイト用の不正なSSL証明書が発行された。Googleによると、これを使って同社のサービスとユーザーとの通信に割り込もうとする攻撃が発生しているという。 オランダの大手SSL認証局DigiNotarからGoogleなどのWebサイト用の不正なSSL証明書が発行され、これを使ってGoogleサービスとユーザーとの通信に割り込もうとする攻撃が発生している。Google、Firefox、Microsoftなどの主要Webブラウザメーカーは8月30日までに、ユーザー保護のための対策を表明した。 SSL証明書は、自分がアクセスしているWebサイトが「本物」であることをWebブラウザを通じて確認するために使われる。しかし、この証明書が不正に発行された場合、それを使った詐欺サイトではWebブラウザの警告メッセージが表示されず、ユーザーが本物のWebサイトと信じ
脆弱性を悪用されるとセキュリティ制限をかわされたり、サービス妨害(DoS)状態を誘発される恐れがあるという。 オープンソースのSSL/TLS実装ツールキット「OpenSSL」に脆弱性が見つかり、修正パッチが公開された。 OpenSSLプロジェクトやセキュリティ企業のSecuniaが3月25日付で公開したアドバイザリーによると、脆弱性は3件あり、悪用された場合、セキュリティ制限をかわされたり、サービス妨害(DoS)状態を誘発される恐れがあるという。 影響を受けるのはOpenSSL 0.9.8jまでのバージョン。リスク評価は中程度となっているが、アドバイザリーでは問題を修正したバージョン0.9.8kへのアップデートを呼びかけている。 過去のセキュリティニュース一覧はこちら
昨日Black Hatで「New Tricks For Defeating SSL in Practice」という発表がありました。海外のメディアでは、あまり適切でないタイトルで記事になっているところも見受けられます。 Website danger as hacker breaks SSL encryption(ITpro.co.uk) Black Hat : Hacking SSL with sslstrip(internetnews.com) タイトルだけ読むと、まるでSSLが解読されたかのような印象を受けるのですが、結論から言えば、実際に紹介されている手法としては中間者攻撃(man-in-the-middle attack)の応用です。プレゼンのスライドはこちら。 #さきほど、ビデオも公開されたようなので、ご興味のあるかたはどうぞ さて実は、このMoxie Marlinspikeさ
証明書サービス Windows 2000 Server のころから標準で "証明書サービス" が用意されています。 これを利用することで、Web サイトなど、SSL 対応のサービスを運用したりする時に、通信を暗号化したり、その通信が意図した相手とのものであるかを保証するために利用する、電子証明書を発行することが出来ます。 Windows Server 2003 にもこの機能が備わっていますので、今回はこれを用いて個人的な内部サイトで SSL を実装するために必要な電子証明書を発行してみようと思います。 注意点としては、証明書サービスも、Web サービスも、自分が管理しているサーバで稼動しているというところでしょうか。 今回は暗号化を行うことが目的ですのでそれは証明書さえあれば問題はないのですけど、今回の場合だと事実上、所在を証明することは出来ません。これは自分のサイトの確からしさを自分自身
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く