2015年6月9日 LAC - 日本年金機構の情報漏えい事件から、我々が得られる教訓情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ 最高峰のセキュリティサービスと、ITトータルソリューションを提供します。 もっと知る
SSL(TLS)のDHとDHEの違い
702NK (1) 705NK (1) Activity (1) Adapter (2) add-on (1) AES (1) agile (3) amazon (2) Android (19) Android Studio (1) arm (2) assembler (1) bash (2) Bluetooth (2) book (3) bridge (1) C (13) cache (2) canna (1) catch.com (1) codereview (4) CPU (3) cruisecontrol (1) current (1) cygwin (1) debian (2) debug (2) dictionary (1) disklabel (2) distcc (2) DMA (2) Dropbox (1) embedded (2) encfs (1) english (
第5回 脆弱性・不具合とシステムアップデート | gihyo.jp
脆弱性・不具合とシステムアップデート FreeBSDプロジェクトは、システムに不具合が発見された場合やセキュリティ脆弱性が見つかった場合などに、次の2つの報告を行います。 セキュリティアドバイザリ(Security Advisory、SA)[RSS] エラッタ報告(Errata Notice, EN)[RSS] セキュリティ脆弱性が発見された場合にはセキュリティアドバイザリが、不具合が見つかった場合にはエラッタ報告が発表されます。発表と同時に修正パッチやアップデートバイナリの提供が開始されることがほとんどです。FreeBSDシステムの管理者はこの報告を受けたらシステムのアップデートの実施を検討します。 システムアップデートの作業はFreeBSD 10.0-RELEASE以降、とても簡単なものになりました。もう9以前に行っていたアップデート作業の手順を忘れてしまった方も少なくないでしょう
政府が2015年度内に疑似サイバー攻撃テスト実施、省庁ごとに最低1システムが対象
内閣サイバーセキュリティセンター(NISC)が、2015年度内に全省庁のシステムを対象とした大規模な疑似攻撃テスト(ペネトレーションテスト)を実施することが2015年5月27日、明らかになった(図)。5月25日に開かれたサイバーセキュリティ戦略本部第2回会合で方針が示された(関連記事:政府が新たな「サイバーセキュリティ戦略」案を公表、6月下旬決定へ)。 政府が全省庁を対象にペネトレーションテストを実施するのは今回が初めて。脆弱性を早期に発見し、情報漏えいやシステム障害などの発生を未然に防ぐ狙いがある。 NISCによれば、ペネトレーションテストは全省庁の情報システムを対象に2015年度内に順次実施する。結果は2016年度にサイバーセキュリティ戦略本部に報告する。1省庁につき最低1システムを原則として、省庁側と調整しながら選定する。Webサイトのような一般向けのシステムになることもあれば、省庁
Logjam: the latest TLS vulnerability explained
Image: "Logjam" as interpreted by @0xabad1dea Yesterday, a group from INRIA, Microsoft Research, Johns Hopkins, the University of Michigan, and the University of Pennsylvania published a deep analysis of the Diffie-Hellman algorithm as used in TLS and other protocols. This analysis included a novel downgrade attack against the TLS protocol itself called Logjam, which exploits EXPORT cryptography (
DH鍵交換に存在する脆弱性「Logjam」、HTTPSなどのプロトコルに影響 | トレンドマイクロ セキュリティブログ
インターネットを保護する基礎的な暗号の仕組みに、またもう 1つの脆弱性が確認されました。この脆弱性は、複数の大学や企業のセキュリテイリサーチャーによって確認され、「Logjam」と名付けられています。この脆弱性を利用する攻撃者は、「Man-In-The-Middle(MitM、中間者)攻撃」を実行し、HTTPS や SSH、VPN といった安全な接続で利用される暗号強度を弱めることができます。理論上は、十分な計算能力があれば、暗号を解読して「安全」とされるトラフィックを読み出すことが可能です。 この脆弱性は、いくつかの点で 2015年3月に確認された脆弱性「FREAK」と類似しています。どちらも、「輸出グレード」の暗号水準をサポートするサーバを攻撃することが可能です。米国は 1990年代まで暗号を「軍需品」と見なしており、国外に輸出する製品がサポートする暗号の強さを規制していました。そして
THE ZERO/ONE
中国でライドシェア殺人事件が発生 May 22, 2018 08:00 by 牧野武文 5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して… PoSマルウェア「TreasureHunter」のソースコードがオンラインに流出 May 18, 2018 11:00 by 『Security Affairs』 PoSマルウェア「TreasureHunter」のソースコードが3月からオンラインで入手可能になっていたことを、Flashpointのセキュリティ専門家たちが確認した。… アリペイの盲点を突いた男に懲役5年 May 15, 2018 08:00
VENOM Vulnerability
VENOM Virtualized Environment Neglected Operations Manipulation Discovered by Jason Geffner, CrowdStrike Senior Security Researcher _____________________ Vendor advisories, patches, and notifications available below in Q&A section. VENOM, CVE-2015-3456, is a security vulnerability in the virtual floppy drive code used by many computer virtualization platforms. This vulnerability may allow an attac
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
セキュリティベンダー2社のリポートに見る「攻撃の高度化」のいま
4月15日に公開された、トレンドマイクロによる「国内標的型サイバー攻撃分析レポート2015年版」も興味深い考察が掲載されている。トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏による解説の中から、エンジニアが知っておくべきポイントをいくつか紹介しよう。 まずは「C&Cサーバー」、遠隔操作のためのサーバーの動向だ。これまでの知識では、おそらく「C&Cサーバーは海外に設置される」というものがほとんどだった。しかし、2014年においてはこの傾向は完全に変わり、今ではその44%が「日本」に設置されているという事実が分かった。これは、C&Cサーバーが日本国内にある正規のWebサイト(犯罪者が用意したものではないサーバー)を改ざんし、不正に利用していることが原因として挙げられる。
mitmproxy 0.11.3 - Introduction
Introduction Installation How mitmproxy works Modes of Operation Tools mitmproxy mitmdump configuration Features Anticache Filter expressions Replacements Client-side replay Server-side replay Set Headers Ignore Domains Proxy Authentication Reverse proxy mode Response Streaming SOCKS Mode Sticky cookies and auth TCP Proxy Upstream proxy mode Upstream Certs Installing Certificates Overview Using th
Threat Spotlight: PoSeidon, A Deep Dive Into Point of Sale Malware
Security Threat Spotlight: PoSeidon, A Deep Dive Into Point of Sale Malware6 min read Talos Group This post was authored by Andrea Allievi, Ben Baker, Nick Biasini, JJ Cummings, Douglas Goddard, William Largent, Angel Villegas, and Alain Zidouemba Cisco’s Security Solutions (CSS) consists of information security experts with a unique blend of law enforcement, enterprise security and technology sec
侵入|スパコン - サイバー中国
スーパーコンピュータのトップ・ランキングは長らく欧米・日本に占められてましたが、数年前より中国のシステムが上位に並ぶようになりました(スパコンランキングサイト:top500.orgより)。 特に2010年と2014年は世界首位を獲得しております: ・2010年:天河一号(Tianhe-1A, 2.57 petaflops/s) ・2014年:天河二号(Tianhe-2/MilkyWay-2, 33.86 petaflop/s) ※日本は、2002年の「地球シミュレータ」(35.86 teraflops/s)と2011年の理研「京」(10.51 petaflops/s)が首位をとっております。 この天河一号(Tianhe-1A)が首位を獲得したのは既に4年前になりますが、そのスペックを今見てもかなりインパクトがあります。 【天河一號A】2.57 petaflops/s -飛騰FT-1000
講演フォロー/PKIDay2015 - kurushima @ 自堕落な技術者のヰキ(公開版)
[[JNSA PKI Day 2015>http://www.jnsa.org/seminar/pki-day/2015/]]の講演「SSL/TLS生誕20年、脆弱性と対策を振返る」とパネル「SSL/TLSの実装が進むべき道を語ろう」の補足情報を、講演後にこのページで公開します。 *講演スライドの差し替え(2015年4月10日(金) 15:48) 講演「SSL/TLS生誕20年、脆弱性と対策を振返る」につきまして、[[JNSAサイト>http://www.jnsa.org/seminar/pki-day/2015/]]で公開しているものから、スライドを6枚追加させて頂きました。最新版がJNSAサイトでダウンロードできますのでご利用ください。 - [[JNSAサイト最新マージ版PDF(1.8MB)>http://www.jnsa.org/seminar/pki-day/2015/data/2
[PDF]SSL/TLS生誕20年、脆弱性と対策を振返る | PKI Day 2015
© 2015 Fuji Xerox Co., Ltd. All rights reserved. JNSA PKI相互運用WG・電子署名WG共催セミナー PKI Day 2015 サイバーセキュリティの要となるPKIを見直す SSL/TLS生誕20年、脆弱性と対策を振返る 2015年4月10日(金) 13:40-14:15 於:ヒューリックカンファレンス秋葉原ROOM1 漆嶌 賢二, CISSP © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 ・経歴 ・富士ゼロックス(2010~) ・エントラストジャパン(2005~2010) ・セコム(1988~2005) ・興味: PKI, TLS, 電子署名, SSO, 認証, 暗号, CSIRT, 脆弱性検査, フォレンジック, スマホ, プログラミング, ビットコ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プリエンプティブル VM 登場: 標準価格の 3 割で使える、まったく新しい VM
CVE-2015-3456 ‘VENOM’ – And it was all going so well… | OxCERT's blog
ssl3.0 | ほっともっと
PCI DSS 3.1 to Address SSL Security Holes
IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(実践編)」 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構