GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
「よく使われる危険なパスワードTop500」にご注意を | スラド セキュリティ
サーバをインストールして、先方に渡し、 DCに設置してもらってネットにつながってから色々作業しようと思ってました。 で、rootのパスワードに「123456」を設定してました。 メールで「ネットにつなぎましたよー」と連絡もらって、 さあ作業しようと思ったらログインできません。ぎゃふん。 東京から横浜まで行ってもらい、パスワードを再設定してもらいましたが、 同じく「123456」だったので、その方がDCを出る頃にはまたワームに犯されてました。 ワームに犯された上、ルートキットを孕ませられてしまったので、 passwdでパスワードを変更してもshadowファイルを書き換えられてしまいます。 のでしょうがないので、cronで1分おきにshadowファイルを上書きするようにして、 泣きべそ書きながらrsyncでルートキットを駆除しました。
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック | スラド セキュリティ
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。 HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。 現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」というこ
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
パソコン泥棒、リモートログオンで特定され御用 | スラド セキュリティ
cnn.co.jpの記事によると、先月ノートPCを盗まれた米NY州のJose Caceres氏は盗難届けを出すとともに、リモートログオンで毎日自分のPCを監視していたそうだ。本家/.でも記事になっている。 Caceres氏曰く、「(容疑者は)ほとんどポルノ閲覧にしかノートPCを使っておらず、個人を特定する手がかりがなくてイライラした」とのことだが、とうとう先週あるウェブサイトに容疑者が自分の住所と名前を入力し登録を行ったのをキャッチしたそうだ。この情報が決定打となり、容疑者は警察に御用となった。警察関係者によると、このような形でPC盗難の被害者から情報が提供されるケースは増えているそうで、ノートPCを盗まれた被害者がPCのカメラを遠隔操作して容疑者を撮影したケースもあったとのこと。
企業のメール、「180日以上前のメールは削除」だったらどうする? | スラド セキュリティ
ストーリー by hayakawa 2008年07月29日 12時49分 届いたメールをWordファイルに変換するマクロを作らねば…… 部門より 本家/.の記事(Are There Any Smart E-mail Retention Policies?)によると、訴訟や訴訟時の証拠開示に関する企業の法的リスクを下げる試みとして、メールの強制破棄という方針を打ち出す企業が出てきているようだ。 本家タレコミ人の勤める大企業でも、180日以上前のメールは破棄するとの方針を決定したとのこと。ハードディスクなどにアーカイブして削除を免れたいところだが、Exchangeサーバのコンフィグで.PSTファイルへのオフラインコピーが出来ないよう設定されている。なお、会社のポリシーでは重要なメールはWordドキュメントとして保存することを推奨しているという。このようなポリシーを本当に実施している企業などある
B-CASのWebサイト、なぜかSSL証明書は「NTTデータ」名義 | スラド セキュリティ
「高木浩光@自宅の日記 — B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA」によると、B-CAS社のWebサイトで使われているSSL証明書の「組織」がNTTデータになっているそうだ。 しかも、b-cas.co.jpというサイトを見ていたはずなのにいつのまにかb-cas.jpという別サイトに飛ばされている始末。これでは、もしかしてWebサイトがNTTデータに乗っ取られていたとも考えられてしまう(もちろんそんなことはないだろうが)。 自分たちのためのセキュリティは強固に作るくせに、利用者のセキュリティについては何も考えていないんですかね……。 もちろん、このこと自体が直接何らかの脆弱性や被害につながるものではないが、このようにある企業のWebサイトで使われるSSL証明書が、ほかの組織名義になっていることというのは多く見られるのだろうか? 詳しい方のご意見を求む。
「T線」を利用して中身を確認するセキュリティカメラ | スラド セキュリティ
ITmediaの記事によれば、英国のThruVisionが「T線」(テラヘルツ波)を利用したセキュリティカメラ「T5000」を開発した。最大25m離れても、服の下に隠された武器やドラッグ、爆発物を見つけ出せる。爆発物と粘土、コカインと小麦粉の区別もできる。テラヘルツ波は1THz前後(概ね100GHz~10THz)を指し、光と電波の境界領域にあたる。X線より安全で、服や鞄くらいなら透過する。テラヘルツ波で様々な物質が固有の吸収スペクトル(指紋スペクトル)を示す性質を利用する(参考:テラヘルツ光が開く新しい画像世界←特許元なのかな)。ただ、水は通らないのが欠点かもしれない。 関連:テラヘルツ波で古典絵画の顔料を識別
「詐欺的DNSサーバ」が増加中 | スラド セキュリティ
本家/.の記事より。悪意あるクラッカーにより設置され、問い合わせ に対し正当なIPアドレスを返さない「詐欺的DNSサーバ」 (Rogue DNS Servers)が増加しているそうだ(AP 通信の記事)。ジョージア工科大学とGoogleが共同で行った調査によ ると、インターネット上には約68,000もの詐欺的DNSサーバが存在する。 マルウェア等によりエンドユーザのコンピュータの設定が汚染されたDNS サーバを参照するように改変されてしまった場合、クラッカーはいかなる 偽サイトにもユーザを誘導することができる。実際に誘導される先はいか にもインチキくさいものからほぼ完璧なコピーサイトまで様々のようだが、 深刻な脅威であることに違いはない。アンチウイルスソフトでは手の施し ようがない場合が多いのが、この手法の普及に一役買っているようだ。
攻撃を浴びるWikiLeaks | スラド セキュリティ
本家/.の記事より。政府や企業の不正を匿名で内部告発できるWikiと して知られるWikiLeaks.org が、このところ様々な攻撃に曝されているそうだ。現在メインのドメイン 名wikileaks.orgではDNSでIPアドレスが引けなくなっているのだが、これ はケイマン諸島におけるオフショア・トラストの構造に関してWikiLeaks に漏洩した一連の記事や文書に関し、カリフォルニア北部地裁がドメイン レジストラに下した一時差止命令のためだと言う(Spy Blogの記事)。こ れらの漏洩文書は、スイスの銀行Bank Julius Baerが、世界中の富裕な顧客が脱税やマネーロンダリングを行うのを 手伝っていることを示唆する内容で、漏洩させた内部告発者はBank Julius Baerケイマン諸島支店の前副支店長だと言われている。また WikiLeaksサーバそのものには先週土曜までは別名
CAPTCHA破りサービス登場? | スラド セキュリティ
ストーリー by nabeshin 2008年02月08日 16時11分 毛をちらばせるだけでなく、もっとぐにょぐにょに 部門より ITmediaの記事によると、「Live Mailのキャプチャを破るボットが登場、不正アカウントを大量取得」とのこと。「スパマーが開発したボットがCAPTCHAを解読している」と書かれているが、読み進むと「(ボットは)CAPTCHAの変形文字を入力するところまで来ると、CAPTCHA破りサービスに画像を送って読み取らせ、テキストを受け取る仕組みになっている。」とあるので、ボットが直接解読しているわけではないようだ。 タレコミ人としては、この「CAPTCHA破りサービス」がどのようなものか気になるが、OCRソフトのような物でノイズを消去しているのだろうか。3回に1回程度の成功率ということである。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
