お隣の仮想マシンの暗号鍵を盗むサイドチャネル攻撃手法 | スラド セキュリティ
ノースカロライナ大学、ウィスコンシン大学、RSA Security からなる研究グループはサイドチャネル攻撃を使って仮想マシンから暗号鍵を盗む手段を発見した模様 (threatpost の記事、本家 /. 記事、doi: 10.1145/2382196.2382230、論文 PDF より) 。 今までのサイドチャネル攻撃は、暗号機能付きの IC カードのようなハードウェアの消費電力を観測することでハッキングを行うもので、仮想マシンのようなものは対象外だった。ハッカーは攻撃の対象となる仮想マシンと同じ物理 PC にハッキング用の仮想マシンを置く。二つの仮想マシンはお互いを認識していないが、物理ホスト上のハードウェアリソースを共有している。この共有リソースを観察することにより、暗号鍵を入手することができる、とのことだ。
VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる | スラド セキュリティ
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
WikiLeaks、25万件の米外交公電を無修正のまま公開 | スラド セキュリティ
25万件の米外交公電の全てを無修正のまま閲覧できるパスワードがWikiLeaksから流出したということだ。Wikileaks側によれば、全公電の閲覧が可能になるパスワードを、WikiLeaksと提携していた英ガーディアンの記者が出版した本に記載したということらしい(共同通信の記事)。 共同通信の記事ではアクセス用のパスワードのようにも読めるが、TwitLongerでのWikiLeaksのポストによれば、暗号化に使用したパスワードのようだ。その後、同パスワードを使用して復号したとみられる米外交公電が流出したことを受け、WikiLeaksは情報提供者を特定可能出来ないようにするなどの処理をせず、すべての米外交公電を無修正のまま公開したとのこと(Guardianの記事、 共同通信の記事2、 YOMIURI ONLINEの記事)。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
