2011/12/03 MD5パスワードをクラックするBozoCrack 単純なMD5ハッシュを解読するRubyで書かれたツール「BozoCrack」があるとの事[networkworld]。レインボーテーブル、辞書、ブルートフォースの代わりにGoogle検索を使って解読するため、CPUの負荷はほとんど掛けずに解読できる。要はインターネット上にはレインボーテーブルが溢れており、それを一挙にGoogle検索で探した方がよっぽど速くて確実というわけだ。ちなみに、"password"のMD5ハッシュ値は"5f4dcc3b5aa765d61d8327deb882cf99"だが、検索すると一瞬で見付かる。 メールで送信BlogThis!Twitter で共有するFacebook で共有する 投稿者 zubora 投稿時間 04:42 ラベル: Google, Security 0 コメント: コメント

2011/11/30 OpenSSLの裏技 SSL/TLSを実装したツール「OpenSSL」そのものを普段使うことはないが、OpenSSLをファイルの暗号化などにも使えるよという指摘[wazi]。例えば、256ビット鍵のAESでファイルを暗号化・復号化する場合、opensslを次のように使う。 $ openssl aes-256-cbc -salt -in file-test -out file-test.aes enter aes-256-cbc encryption password: Verifying - enter aes-256-cbc encryption password: $ openssl aes-256-cbc -d -in file-test.aes -out file-test-dec enter aes-256-cbc decryption password:

2011/11/22 OpenPGPをJavaScriptで実装 ドイツのセキュリティ会社Recurity Labsが、ウェブメールでメッセージをPGP暗号/復号が可能となるよう、OpenPGP (RFC 4880)をJavaScriptで実装したとの事だ[networkworld]。「GPG4Browsers」と呼ばれ、Google Chromeの拡張として機能し、Gmailで利用できるそうだ。Googleにとって暗号化機能は嬉しくない機能なんだろうなぁ。 メールで送信BlogThis!Twitter で共有するFacebook で共有する 投稿者 zubora 投稿時間 15:39 ラベル: Browser, Security, Software 0 コメント: コメントを投稿

2011/10/24 リーナス、Linuxカーネル3.1をリリースを発表 リーナスはプラハで開催れる「Linux Kernel Summit」で予定通りLinuxカーネル3.1をリリースした。Xenのメモリ管理の改善、プロセストレースの拡張、動的writebackスロットル、VFSのスケーラビリティの改善、新しいiSCSIの実装、lseek()の拡張、OpenRISCアーキテクチャのサポート、WOWL(Wake On Wireless LAN)のサポート、NFCチップのサポート、Wiiコントローラのサポートなど。 メールで送信BlogThis!Twitter で共有するFacebook で共有する 投稿者 zubora 投稿時間 22:12 0 コメント: コメントを投稿

2011/09/20 TLS 1.0に深刻な弱点が見付かる セキュリティ研究者のThai Duong氏とJuliano Rizzo氏は、TLS 1.0/SSL 3.0を使っているウェブサイトで、攻撃者にエンドユーザとウェブサイト間に流れるデータを気付かれずに復号化できるという深刻な弱点を発表するそうだ。今のところ、TLS 1.1や1.2は影響はないとのこと。今週、ブエノスアイレスで開催されるekopartyセキュリティ会議で、両氏はBEAST (Browser Exploit Against SSL/TLS)と呼ばれるコードでそのデモを行うそうだ(デモは23日)。Duong氏は、デモではPayPalアカウントにアクセスするために使われる認証用のcookieを復号化すると語っている。このBEASTは、標的となるブラウザにBEASTのクライアント側のJavaScriptコードを埋め込み、中間(

2011/09/15 BIOSを狙うウィルスが再登場 これまでBIOSに感染するウィルスが出現したことはあまり例がないが、1999年に出現したCIHは当時膨大な数のコンピュータに被害をもたらした事で知られている。最近、シマンテックがTrojan.Mebromiと呼ばれるウィルス(rootkit)を発見した[slashdot]。これは、Award BIOSに侵入し、MBRよりも前にシステムを乗っ取る機能を持っているそうだ。Webroot | Mebromi: the first BIOS root kit in the wild メールで送信 BlogThis! Twitter で共有する Facebook で共有する 投稿者 zubora 投稿時間 04:21 ラベル: Computer, Microsoft, Security 0 コメント: コメントを投稿

2011/05/22 IOS-XRでシェルを動かす IOS-XRには "run" という隠しコマンドがあるそうで、kshモードに入る事ができるそうだ[tassos]。当然、サポートされない機能かつローレベルでのアクセスが可能になるので自己責任で行うこと。コマンドは/pkg/binにあるが、emacs、grep、perl、tarなどもある。 RP/0/RP0/CPU0:crs1#run # uname -a QNX node0_RP0_CPU0 6.4.0 2010/01/07-06:39:45PST hfr-rp ppcbe # echo $KSH_VERSION @(#)PD KSH v5.2.14 99/07/13.2 # perl -v This is perl, v5.6.0 built for 4k- Copyright 1987-2000, Larry Wall Perl ma

2011/04/22 IPv4アドレスの取引きサイトが出現 IPv4アドレスはいずれ売買の取引き対象になると思われていたが、「Tradeipv4.com」というサイトが出現した[register]。現在のところ、ARINの空間は1アドレス3ドル、APNICの空間は1アドレス4ドルで競売に掛けられているようだ。違法、合法に関係なく、取引きは始まっている。 投稿者 zubora 投稿時間 05:52 ラベル: Internet, Politics 0 コメント: コメントを投稿

2011/04/19 原発事故は回避できた可能性がある 朝日新聞によれば、国際的な原子力安全の専門家16人が福島第一原発の事故を巡り、IAEAに再発防止にM儒毛手声明文を提出した。その中で、「比較的コストのかからない改善をしていれば、完全に回避できた可能性がある」と指摘されているとのこと。声明の翻訳[PDF]が日本原子力産業協会のウェブに掲載されているとの事。 投稿者 zubora 投稿時間 21:34 ラベル: Disaster, News 0 コメント: コメントを投稿

2011/04/11 6to4を歴史的ステータスに変更する提案 IETFのv6tops WGで、6to4には運用上の問題が多過ぎる上に将来性が無いという事で、6to4に関するRFC文書、RFC 3056とRFC 3068を歴史的ステータス(役割を終えた仕様)に変更しようという提案(draft-troan-v6ops 6to4-to-historic)が行われた。そのため、6to4の問題点を改善するための提案も破棄する事になる。新たな実装は行わず、6to4の実装をサポートし続ける場合は、6to4の機能をデフォルトで有効にしない事と、RFC 3484の送信元アドレス選択アルゴリズムの実装が求められる。IANAは「2002::/16」と「2.0.0.2.ip6.arpa」を廃止(deprecated)する。これが承認されるなら、6to4リレールータを運用しているオペレータは停止し、2002::/

2011/02/15 AirMac Extremeで、IPv6を使ってみよう IANAのIPv4アドレスが事実上枯渇したが、ISPがIPv6接続サービスの開始は遅れている。しかし、IPv6のコネクティビティを得たい場合は、フリーのトンネルブローカーあるいは6to4などを使う方法がある。ということで、積極的にIPv6サービスを行っている米ISP、Hurricane Electric (HE)の無料で利用できるトンネルブローカーをApple AirMac Extreme (AEBS) で利用してみた。固定のグローバルアドレスを持っていることが望ましいが、FAQにもあるようにダイナミックでも構わない。変更されたら自身のトンネルのアドレスを変更すればいいだけだ。まず、準備として、http://tunnelbroker.net/ からHEにトンネルブローカーの登録を行う。登録するとログインパスワード

2011/01/26 37signalsがOpenIDのサポートを辞める 37signalsがOpenIDのサポートを5月1日で辞めると公式ブログで発表した。ウェブのログインを簡単にする有望な方法として2007年にOpenIDを導入した。過去3年間で学んだ事は、実際に我々の顧客の大部分には少しも簡単にはならず、むしこ難しくなった。特に、しばしばログインできない変なOpenIDプロバイダは問題がいて、開始以来OpenIDのサポートが重荷になっていた。一つのアカウントさえ持っていれば、OpenIDに対応している全てサイトに入れるという触れ込みで登場したが、現実は顧客情報を失いたくないサービス提供側は、自分のアカウントでOpenIDのサイトに入れるがその逆はダメというパターンに陥るという事か。 投稿者 zubora 投稿時間 05:37 ラベル: Crap, Web 0 コメント: コメントを投

2011/01/23 ベテルギウスは2012年に爆発という予測 いつ爆発してもおかしくないと言われる「ベテルギウス」だが、2012年に爆発するかも知れないという予測が出ているそうだ[slashdot]。地球では太陽が2つ見えるとか、ガンマ線バーストで地球は死滅することになるという話は大袈裟だが、ベテルギウスは赤色超巨星なのでII-P型として爆発し、満月ほどは明るくないが、金星より明るく光り、それが100日程度続くとの事だ。そして、だんだんと明るさを減らし2年ほどで1等星程度に、その後は目立たない天体となる。また、地球とは600光年以上離れており、磁場が強力ば防御壁となっているため、いかなる害も及ぼさない。但し、大気圏に保護されていない人工衛星や宇宙ステーションは太陽フレアを越えるX線を浴びる事になり何らかの影響があるかも知れない。身近な超新星爆発はニュートリノや重力波の観測など、我々に非常

2011/01/17 スタクスネットはイスラエルと米国の作戦だった ニューヨークタイムズが、イランの原子力設備に損害を与えたコンピュータワーム「スタクスネット」がイスラエルの施設で、イスラエルと米国のチームによって開発されたという証拠が見付かったと報じている。イスラエルは、イランで使われているものとほぼ同じ「P1」と呼ばれる遠心分離機を手に入れ、イスラエル国内のネゲブ砂漠に建設した試験施設でテストをしていたという。また、シーメンスの産業制御システムに脆弱性があることは、米エネルギー省の研究所の一つアイダホ国立研究所で特定されたといい、シーメンスもアイダホに設備を提供して、研究に協力していたとも。この作戦はもともとブッシュ大統領が政権末期に承認したものだったが、オバマ大統領によって更に促進されたそうで、ホワイトハウスのセイモア調整官は最近、「イランの遠心分離器がうまくいっていないと聞き、喜ん

2011/01/02 Tor ルータ 多くの活動家、非営利団体、ビジネスなどで、接続経路を匿名化するために「Tor (The Onion Router)」と呼ばれる匿名システムを利用している。Torは略の通りオニオンルータで、無作為に複数のTorルータを経由させ、ルータ間を暗号化して送ることで、送信元を隠ぺいする。今、電子フロンティア財団(EFF)の支援で安価なホームルータにTorを実装しているそうだ[technology review]。TorルータのプロトタイプはOpenWrtプロジェクトの成果を元にバッファローの無線LANルータが使われているそうで、既にTorが実装されたルータをテストしているとの事だ。Torがルータに実装されることで、PC側にTorクライアントをインストールする必要がなくなるのかな。 投稿者 zubora 投稿時間 10:10 ラベル: Internet, Rout

2010/10/13 Unicode 6.0.0でケータイ絵文字が追加 Unicode 5.2.0の改定版である「Unicode 6.0.0」が公開されている。Unicode 6.0.0では2088文字が追加されたが、最大の特徴はGoogleやAppleから提案されたケータイ絵文字が1000以上追加されたことだ(関連1、関連2)。特定の企業ロゴを除き、携帯電話で利用されている絵文字が対応することになった。絵文字は1F600-1F64F (顔文字)、1F300-1F5FF、1F680–1F6FFにある。日本のキャリア間で絵文字をどうするああすると言っていた事が懐かしい :-P 。変換などという姑息な事をせずとも、Unicode 6.0に対応すれば、絵文字はPCだろうが携帯だろうが共通で利用できるようになったわけだ。 投稿者 zubora 投稿時間 18:18 ラベル: Mobile, Tec

2010/09/13 Googleは既にMapReduceを使っていない Googleの新しい検索基盤「Caffeine」では、MapReduceを使っていないそうだ[register]。新しい検索基盤はGFS (Google File System) をオーバーホールしたGFS2を活用しており、分散データベースBigTableに直接インデクシングを行うデータベース駆動の方式に変わっている。この検索基盤を「Colossus」と呼んでいるそうだ。インデックスの作成時間を短縮することで(MapReduceによる処理が不要)、検索のリアルタイム性を増すのだろう。Microsoft、Facebook、Yahoo!がまだMapReduceのオープンソース版ともいえる「Hadoop」を使っていることを考えるとGoogleは先に進んでいる。この成果が「Google Instant」に繋がっているのだろう