匿名ネットワーク「Tor Browser」に脆弱性、IPアドレス流出の恐れ
匿名性とプライベートブラウジングを求めて多くの人が利用する「Tor Browser」に、ユーザーのIPアドレス流出につながる脆弱性が新たに見つかった。 発見したセキュリティ会社We Are Segmentは、この脆弱性を「TorMoil」と呼んでいる。TorMoilは、「http://」や「https://」ではなく「file://」で始まるローカルファイルベースのアドレスをユーザーがクリックすると、それが引き金になる。特別に細工されたウェブページをクリックすると、「OSが、Tor Browserを迂回して直接リモートのホストに接続してしまう可能性がある」、と脆弱性の発見に関する短い報告には書かれている。 匿名性を重視したブラウザであるTor Browserを管理するTor Projectは、米国時間11月3日、脆弱性の影響を主に受ける「macOS」と「Linux」を対象にしたセキュリティ
やっぱりUPnPは「無効」に設定すべき?という話について調査してみた
「「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた」とう記事を書きました。ここでは、ニュースで騒がれている脆弱性は、「WAN側にUPnPのサービスを公開しなければ防げる」という話になりました。しかし、実は今回のニュース以前から、「WAN側にUPnPのサービスを公開していなくてもUPnPを悪用される危険性がある」脆弱性が指摘されていました。つまり、「WAN側のUPnPのサービスを公開しないようにする」のは今回のニュースの問題(WANからの攻撃)を防ぐためには有効であっても、そもそも別の脆弱性があるため「UPnPを無効にすべき」、なようなのです。しかし、この危険性が公開されたのは2008年1月で丸4年前(そもそも度が高すぎる)。「もしかしたら今は大丈夫かも」という可能性もあるため、追跡調査してみました。 ※謝辞:この脆弱性の存在については @hamano
OpenSSH 情報
OpenSSH 移植版付属文書の翻訳 OpenSSHのリリースノートの翻訳 SSHのRFCの翻訳 2017年現在は 春山征吾のBlog にて記述しています. tDiary+Blogkitを利用した新ページに移転しました. がさらに 春山 征吾のくけー : ssh - livedoor Blog(ブログ) で記述するようになりました. このページはもう更新しない予定です. OpenSSHに関する情報を提供するページです. 筆者の都合上, OpenBSD 以外の Unix へ移植された OpenSSH についての情報が中心となるでしょう. OpenSSH 3.9, 3.9p1がリリースされました(2004/8/18). メーリングリスト ssh@koka-in.org (旧: ssh@security.quickml.com) OpenSSH や OpenSSH に関連する最近のセキュリティホ
OpenSSH セキュリティ
OpenSSH は厳格なセキュリティプロセスで開発されており、 これはあの OpenBSD グループで有名になったものと同じやり方です。 より詳しい情報については、 OpenBSD セキュリティページ をご覧ください。 OpenSSH は、 RC4 暗号の パスワード破り (password cracking) や、 繰り返し (replay)、 変更 (modification) などの攻撃にやられません。OpenSSH が始まった当時、 すでに SSH 1 が RC4 ストリーム暗号を完全に間違って使っている ことが知られていたため、RC4 はサポートされていませんでした。 OpenSSH は、暗号化されていない接続での クライアント転送攻撃 (client forwarding attacks) にもやられません。なぜなら OpenSSH では最初から、 暗号化されていない接続はサポ
RADIUS の仕組みを調べる
はじめに このドキュメントでは、RADIUS サーバーの概要とその機能について説明します。 前提条件 要件 このドキュメントに関しては個別の前提条件はありません。 使用するコンポーネント このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 背景説明 Remote Authentication Dial-In User Service(RADIUS)プロトコルは、アクセス サーバ
Debianのiptables設定 « chibiegg日誌
Debianでiptablesの設定をしていてふと/etc/init.d/iptables saveしてみると/etc/init.d/iptablesはそんざいしないと言われてしまった。Debianからは削除されてしまったらしい。ということで友人が「stop」「save」で保存「start」「restore」で設定の読み込みをするスクリプトを作ってくれたのを頂いた。快く許可してくださり以下にiptablesの設定方法と共に記載する。まずは設定方法。 <code> $ su # iptables -P INPUT ACCEPT # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT # iptables -F# iptables -A INPUT -p icmp -j ACCEPT # iptables -A INPUT -i lo -j
無線LANを2分~5分で解読して突破、メールやツイートなどの書き込みを盗聴する「FinIntrusion Kit」
無線LANのWEP(64ビットと128ビット)のパスフレーズを2分から5分で解読し、TLS/SSLで暗号化された有線/無線LANの通信を監視してユーザー名とパスワードをゲット、GmailやYahooメールといったウェブメールのアカウントを突破するためのセットがこの「FinIntrusion Kit」です。 これは政府・警察・軍隊・情報機関向けに、いろいろな人々を監視・盗聴するシステムを販売している企業を検索できるWikileaksの新プロジェクト「The Spy Files」にて列挙されている企業の一つである「Gamma」社の製品で、実際のプレゼンテーション用のPDFファイルとムービーが公開されています。 The Spy Files - Tactical IT Intrusion Portfolio: FININTRUSION KIT http://wikileaks.org/spyfil
OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh : DSAS開発者の部屋
DSAS のメンテナンスは,基本的に ssh を使ったリモートメンテナンスで済んでしまいます.夜中や休日に非常事態が起こったとしても,ネットワーク接続さえ確保できればその場で対応できます.ただ,さすがにインターネットから DSAS に直接 ssh できる様にしておくのは一抹の不安があります.ですので,DSAS への ssh 接続は社内のサーバからのみ許すようにしておいて,外からログインする必要があるときは一旦社内のサーバを経由することにしています. このような形にしている場合,DSAS にログインしようとする際は,一旦社内のサーバに ssh 接続する必要があって,小さなことですが一手間かかってしまいます.できればワンステップで接続できる方法が無いかと思って色々検索してみた(※)ところ,このページで ProxyCommand という設定項目を見つけました(見つけたのがボスの個人サイトなのは本
445/tcpポート(Direct Hosting of SMBに対するアクセスを抑止する
質問 現在、ファイアウォールの管理を行なっています。ファイルサーバをUNIX上のSamba 2.2.3aで構築しており、137/udp、138/udp、139/tcpポートを許可することで、問題なくファイル共有などは行なえているのですが、ファイアウォールのログに445/tcpポートへのアクセスが大量に記録されているので、調べたところ、Windows 2000やWindows XPクライアントからは、139/tcpポートに接続する前に、必ず445/tcpポートへのアクセスを試行するようです。 とりあえず、実害はないので現状放置していますが、できればこの通信を抑止したいと考えています。何か方法はあるのでしょうか? また、調べたところ、445/tcpポートはWindows 2000から実装されているDirect Hosting of SMBという機能のようですが、これは139/tcpとどういった
IPsec - AH・ESP・IKE
◆ IPsecとは IPsecは、暗号化システムの技術によりネットワーク層にて、データのセキュリティを保護するのに使用 されるプロトコルです。 IPsecは、AH、ESP、IKEなどのプロトコルから構成されています。このIPsecを 使用したVPN接続により、インターネットなどの公共インフラでも安全に通信することが可能になります。 ◆ IPsecの動作するレイヤー IPsecはネットワーク層で動作するので、上位層であるトランスポート層でTCPであろうがUDPであろうが 問題なく動作するし、制限もない事から特定のアプリケーションに依存しません。ただしネットワーク層は IPである必要があります。ちなみにIPsecとは関係ありませんが、SSLはセッション層で動作します。そして ネットワーク層はIP、トランスポート層はTCPである必要があります。このためTCP/IPを利用するすべての アプリケーシ
川口洋のセキュリティ・プライベート・アイズ(22) 新春早々の「Gumblar一問一答」 − @IT
皆さん明けましておめでとうございます。川口です。2010年も引き続き「川口洋のセキュリティ・プライベート・アイズ」をよろしくお願いします。このコラムも20回を超え、初めてお会いした方が読んでくださっていたということも増えてきました。これからもJSOCという特別な場所から見える風景をお伝えしようと思っています。 前回のコラム「実はBlasterやNetsky並み? 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。 今回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイ
VLANの基本的な仕組みを攻略する
VLANの目的とは? VLANとは“Virtual LAN”の意味だが、実際には「仮想サブネット」といい換えた方がイメージしやすいかもしれない。一般にVLANという場合、スイッチの内部で複数のネットワークに分割する機能のことを指す。すでに定着した技術だが、無線LANの利用拡大やVoIPのような新しいネットワーク・アプリケーションの普及、セキュリティに対する関心の高まりなどの理由により、最近あらためて注目されている。ここでは、VLANの基本的な知識を再確認し、その実情を把握する一助としたい。 VLANの使用目的は、「ネットワークを任意に分割する」ことである。「EthernetはCSMA/CD方式のネットワークなので、ノードが増えると急速にパフォーマンスが劣化する」というのは、技術的にはいまでも同じだが、利用の現実からするともう過去の話になったといっても過言ではないだろう。シェアードハブの利用
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Taxonomy of Ciphers/MACs/Kex available in SSH?
「中国でGreatだよ」と関連ツィート - Yukarin'Note
ファイアウォールの進化形UTM(統合脅威管理)---目次
ネットワークスキャンについて
SmileBanana.com is for sale | HugeDomains