子供向けハッカーイベント「DEFCON Kids」で10歳のハッカーがゲームの脆弱性を発表 | スラド セキュリティ
米ラスベガスで8月6日から7日にかけ、「DEFCON Kids」が開催された。このイベントはハッカーイベント「DEFCON」の子供版という位置付けで、今回が初の開催となる(AFPBBニュースの記事)。 DEFCON Kidsの対象年齢は8歳から16歳で、子供向けにハッキング技術を教える「Classroom」やハッキング作業を体験できる「Workstation」、そして各種コンテストが行われたとのこと。 そのなかでも注目されたのが「Apps – A Traveler of Both Time and Space」という講演。10歳のハッカーというCyFi氏が、iOS/Andoridゲームの脆弱性に関するプレゼンを行ったという。内容は「待ち時間がかかる農場系ゲーム」に対し、端末の時計を操作することでゲームの時間を進めるというものだそうだ。 CyFi氏はDEFCON Kidsの共同創設者でもあり
Android 端末では電子メールのパスワードが平文で保存されている。 | スラド セキュリティ
Android 端末ではパスワードが平文保存されているそうだ (The Hacker News の記事、本家 /. 記事より) 。 元記事によると、Android 端末では電子メールアカウントのパスワードは SQLite データベースに保存されることとなっており、最終的には端末のファイルシステムにテキストデータとしてこの情報が保存されているという。記事ではせめて SHA や MD5 でエンクリプトした状態で保存する方が良いとしているが、Android のサポートフォーラムでは「サポートされている POP3 や IMAP、SMTP、そして Exchange Active Sync などのより古いプロトコルは接続時に毎回クライアントからのパスワード提示を求めるものである。これらのプロトコルは端末でそのアカウントを利用する限り端末でパスワードを保持し続ける」として、パスワードを 1 回だけ使いト
GPU で ZIP パスワードを高速解析 | スラド セキュリティ
高速電算研究所の WEB サイトによれば、ZIP ファイルにかけたパスワードを忘れてしまった人のために GPGPU で高速に解析するサービスを開始したそうだ。 YouTube に実際のパスワード解析を行う動画がアップロードされているが、680 億個のパスワード空間を探索するのに要した時間は 108 秒。動画では大文字、小文字、記号を組み合わせた 6 桁のパスワードがあっさりと割り出されている。ZIP パスワード解析といえば PIKAZIP 等のフリーソフトが有名だが、高速電算研究所によれば Intel Corei7 で PIKAZIP を動作させた場合と比較して約 100 倍のパフォーマンスを実現したとのこと。 ZIP 暗号には互換性を重視した「Traditional PKWARE Encryption」が多く使われており、最大鍵長はわずか 96 bit (12桁) 。より強度の高い AE
TSA全身透視スキャナーの新ソフトウェア、裸体画像映写の心配無用 | スラド セキュリティ
昨年米国で空港の保安検査場に全身スキャナーが導入されたが、裸体に近い映像が表示されることによるプライバシー侵害が懸念されていた。これを解消するため、米運輸保安局(TSA)は新しいソフトウェアを導入する(The Washington Postの記事、 本家/.)。 新しいソフトウェアはTSAが3か所の空港で6ヶ月間の試験運用を行ってきたもので、検査対象者の直接的な全身映像に代わり、抽象的な人型の輪郭のみが表示される。危険物の可能性がある所持品が検出されない場合は「OK」の表示とともにモニター画面が緑色に変わるが、検出された場合は警告表示とともに該当箇所が赤い枠で囲んで示される。警告の表示された乗客と、全身スキャナーによる検査を拒否した乗客が不快な触診検査を受けることには変わりないようだ。 なお、全身スキャナーにはミリ波を使用するものと後方散乱X線を使用するものが使われているが、今回の新しいソ
終わらないAnonymousのサイバー攻撃、今度はNATOのサーバーに侵入 | スラド セキュリティ
ハッキング活動家グループAnonymousがNATOのサーバーに侵入し、1GBのデータを盗み出したことをTwitterで発表した( The Washington Post、本家/. )。 同グループのアカウントの1つとみられる「AnonymousIRC」が21日に投稿したツイートでは、いつもの単純なインジェクション攻撃でNATOのサーバーから機密情報を入手したなどと述べられており、これと前後して「NATO RESTRICTED」と表記された2種類のPDFファイルへのリンクが数回投稿されている。アップロード先の一部ではPDFファイルが削除されているところもあるが、現在でも複数のリンクから入手可能な状態となっている。また、さらなる機密情報の公開を示唆するツイートも投稿されている。 NATOのスポークスマンはWashington PostのEllen Nakashima氏に対し、「ハッカーグルー
ウイルス罪で初の逮捕者 | スラド セキュリティ
警視庁サイバー犯罪対策課は21日岐阜県大垣市の男性を不正指令電磁的記録(ウイルス)保管容疑で現行犯逮捕したと発表したそうだ(毎日.jp)。容疑者はファイル交換ソフト利用者に感染させる目的で自作ウイルスを自宅のパソコンに保管していたという。ウイルスの作成は、改正刑法の施行前であり、作成罪は適用されなかった。 先月、刑法の改正によって成立したいわゆるウイルス罪であるが、NHKニュースによれば、早くも警視庁が初の立件を行ったようだ。 摘発者は、感染すると画像ファイルなどを勝手に開き続けるコンピューターウイルスをShareを介してネット上に流していたということで、2000人に感染させたと見られるらしい。 法務省が異例の解説(PDF)を行うほど愛昧な改正だったわけだが、随分と早く実績を作ったように思う。それよりもNHKが、「ウイルスを作成したり保存したりしただけで罪に問われる」と報道しているのは何か
LulzSec、もう復活か。The Sunのトップページを虚偽の記事に差し替え | スラド セキュリティ
6月末に活動休止宣言を出したばかりのハッカー集団「LulzSec」だが、わずか3週間あまりで活動を再開したようだ。攻撃を受けたのは英タブロイド紙「The Sun」ほか、News International傘下の複数のWebサイトだ(CBS Newsの記事、 MSNBCの記事、 LulzSecのツイート、 本家/.)。 この攻撃により、一時The SunのトップページはNews Internationalの所有する別のWebサイトにリダイレクトされるようになっていたとのこと。リダイレクト先のWebサイトも攻撃を受けており、「メディア王、遺体で発見」という見出しで、ルパート・マードック氏の死亡を伝える虚偽の記事が掲載されていた。その後、リダイレクト先サイトがダウンしたため、LulzSecのTwitterページにリダイレクト先を変更したようだ。ただし、現在のところThe SunのWebサイトは復
Hotmailに「ハッキング通報機能」が追加される | スラド セキュリティ
Microsoftの無料メールサービスHotmailに新機能「友だちがハッキングされています」が追加された模様。この機能は受信メールに対する操作として選択できるもので、友人から突如不審なメールが届いた場合など、「ハッキングされたのではないか」と思われる際に利用するそうだ。 engadgetによると、 方法は spam や フィッシング通報とおなじく、怪しいメールにフラグを立てるだけ。アカウントが乗っ取られて spam や詐欺の踏み台として使われる場合は利用者当人よりも連絡先に入っている友人のほうが先に異変に気付くことが多く、この通報を手がかりにマイクロソフトからアカウントの復活手続きが本来の利用者に案内される仕組みです。
vsftpdにバックドアが仕込まれる | スラド セキュリティ
多くのLinuxディストリビューションでも採用されているFTPサーバーvsftpdにバックドアが見つかった。The Hによると、公開されているvsftpd 2.3.4のソースコードにバックドアを実装するコードが発見されたそうだ。このバックドアはユーザー名「:)」、ポート番号6200で任意のユーザーの接続を許すというもので、またシェルを実行することもできるという。 このコードは2~3.5日前(記事公開が7月4日なので7月2日前後?)に混入した模様。安全なソースコードはGoogle AppEngine上のvsftpdサイトで公開されている。 最近ではソースからビルドしてインストールしている人は多くないと思うが、思い当たる節のある方はご確認を。また、ソースコードをダウンロードした際はGPG署名を確認するようにとも述べられている。
電話によるインターネット詐欺が英語圏で多発 | スラド セキュリティ
電話をかけて被害者をだまし、パソコンを操作させて金銭を奪うという手口の詐欺事件が英語圏で発生しているとして、調査を行った Microsoft が注意を呼び掛けている (Microsoft のプレスリリース、ITmedia の記事より) 。 詐欺の犯人はコンピューターセキュリティ専門家を装って被害者に電話をかけ、パソコンがセキュリティ上の危険にさらされているなどとして、無償のセキュリティーチェックを行うことを勧める。これを被害者が信用すると、Web サイトにアクセスさせてクレジットカード情報や銀行口座情報などを取得したり、不正なプログラムをインストールさせたりするのだという。 Microsoft が英国、アイルランド、米国、カナダの 4 か国で 7,000 人にコンピューターユーザーを対象に調査したところ、こういった電話を受けたことがあると答えたユーザーは全体の 15 % にのぼった。電話を
Androidのマルウェア、着々と進化中 | スラド セキュリティ
やや旧聞となるが、公式のAndroidマーケットでマルウェアに感染したアプリが見つかり、Googleは6月5日までにアプリ10種の削除および作成者のアカウント停止などの処置を行ったとのこと(Xuxian Jiang助教授によるセキュリティ情報、 threatpostの記事、 ITmediaの記事、 本家/.)。 新たに発見されたマルウェア「Plankton」は、OSの脆弱性を利用してルートアクセス権を取得するのではなく、ネイティブクラスの読み込み機能を利用することにより、自身を隠しながら動的に機能を拡張する。Planktonを発見したノースカロライナ州立大学のXuxian Jiang助教授によれば、このような機能を使用するマルウェアとしては初のものだという。Planktonはアプリの起動時にサービスとして実行されるが、アプリ本体の動作にはまったく必要のないものだ。サービスの動作は過去に発見
米シティグループ顧客情報流出、その手口は単純だった | スラド セキュリティ
米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件(/.J過去記事)の手口は驚くほど単純なものだったそうだ(Mail Online、本家/.)。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。
LulzSec、今度は米上院を攻撃 | スラド セキュリティ
サイバー犯罪集団 LulzSec が今度は米上院のサーバに不正侵入したそうだ (本家 /. 記事より) 。 LulzSec はある意味自分たちの好みで標的を定め、セキュリティを意識させるべく攻撃を加えていた。今回は目標を大きく設定したのか、米上院の内部サーバに侵入して手に入れたデータを公表した (lulzsecurity.com で公開された senate.gov.txt) 。公開されたのは OS 情報、df -h、last、ls -lR の結果、Apache の設定ファイル。 ついこの間までは Anonymous ほどの知名度は全くなかった彼らだが、政府機関への侵入で注目度が上がったのではないだろうか。一種の愉快犯とはいえ、今回はいままでよりも厳しい追求が待っているかもしれない。
スペイン警察、Anonymousメンバー3人を逮捕 | スラド セキュリティ
http://www.vg247.com/2011/06/10/spanish-national-police-arrest-three-a... [vg247.com] 攻撃してたサイト ・Sony Playstation Store ・BBVA(スペイン銀行) ・Bankia(スペイン銀行) ・ENEL(イタリア電力大手) ・エジプト、アルジェリア、リビア、イラン、チリ、コロンビア、ニュージーランド政府 どう見ても逮捕の原因は銀行と政府です。 ソニーに対してはアノニマスの言い分通り、DoS(DDoS?)攻撃はやっていたが個人情報流出には関与していないようです。 http://mainichi.jp/select/today/news/20110611k0000e020067000c.html [mainichi.jp] http://mainichi.jp/select/biz/new
ドイツ警察、ハゲワシを捜査官として訓練中 | スラド セキュリティ
ドイツ警察は、ハゲワシを捜査官として活用すべく訓練中とのことだ(BBC Newsの記事、 dBuneNewsの記事、本家/.)。 鋭い嗅覚と群を抜いた視力を持つハゲワシは、隠された遺体を捜し出す任務においては警察犬よりも優れているとのことで、「シャーロック」、「ミス・マープル」、「コロンボ」の3羽が訓練を受けている。雛の時から訓練を受けていたシャーロックが空を飛ぶよりも地上を歩くことを好む点が心配されており、 群れで飛び回る習性に期待してミス・マープルとコロンボの2羽が先週から訓練に参加したとのこと。 ただし、ハゲワシによる捜索は誰もが受け入れられることではなく、遺体を損壊するのではないかという心配もある。そのため、このような形で利用するべきではないとの声も少なくない。
KDDI au、EZ 番号は詐称可能なため、複数手段の認証を推奨 | スラド セキュリティ
こちらのつぶやきで知ったが、KDDI の技術情報によれば、au 携帯における「EZ 番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ 番号と併せて EZ サーバの IP アドレス等、複数手段で確認してください」という文章が追加されたようだ。詐称可能と公表するなら、ユーザー認証には使わないことを推奨した方がいいかと思うのだが、如何なものだろうか。
RSA の技術情報漏洩、SecurID 交換へ | スラド セキュリティ
今年 3 月に RSA はクラッキングを受けてシステムに侵入されたのだが (本家 /. 記事) 、この際に盗まれた技術情報が実際に使用されたことが判明したため、世界で累計 4000 万台出荷されている SecurID ハードウェア・トークン交換という事態になるようだ (THE WALL STREET JOURNAL の記事、日本経済新聞の記事、Help Net Security の記事、本家 /. 記事より) 。 実際に使用された事例というのが先日 /.J の記事にもなったロッキード・マーティン社への攻撃。本家 /. 記事では攻撃直後に既に RSA への侵入との関連が報じられていた。業界的には PSN の一件以上のショッキングな事件ではないだろうか ? 日本でも金融、証券関係などのシステムにも用いられていたはずなので、どこまで影響が及ぶのか気になるところである。 RSA はこの件に関して原
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Anonymous と LulzSec のスポークスマン、Topiary 逮捕される | スラド セキュリティ
米シティ、不正アクセスでクレジットカード顧客情報約21万件流出 | スラド セキュリティ
中国軍、「サイバー部隊」の存在を認める | スラド セキュリティ