SkypeのメッセージをMicrosoftが盗み見て検閲していることがほぼ確定
By @Doug88888 ドイツのニュースサイトハイス・セキュリティによって明かされたMicrosoftがSkypeのIMを閲覧していたという一件に失望した1人のネットユーザーアダムさんが、ハイス・セキュリティが使用した方法とは違い、より確実に判別できるやり方で、SkypeのIMがMicrosoftによって検閲されていることを確認しました。 [cryptography] skype backdoor confirmation http://lists.randombit.net/pipermail/cryptography/2013-May/004224.html アダムさんが行ったテストは、まず初めにファイル名をサーチエンジンで検索しても絶対に検索結果として表示されないようにランダム生成された長いファイル名のPHPをセットアップ。このPHPに、自動的に特定のページにジャンプさせるMet
なぜGoogleはJSONの先頭に while(1); をつけるのか - Qiita
Stack Overflowに面白い質問があったので紹介する javascript - Why does Google prepend while(1); to their JSON responses? - Stack Overflow 質問 Googleのサービス内で使われるJSONの先頭に while(1); てついているのは何故? 例えばGoogle Calendarではカレンダーを切り替えるときに以下のような内容のデータがサーバから返される。 while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],['hideInvitations_remindOnRespondedEventsOnly','false_true'],['C
Android:セキュリティの確保と耐タンパー性
Androidのセキュリティは話題に事欠きません。 Android端末は基本的にユーザ権限で動作するように作られています(最小権限の原理です) しかし、Androidの脆弱性をついてroot権限を奪取する攻撃が存在します。 既に発売されている端末でもこれは同様で、今現在のAndroidはroot権限の奪取を防ぐこと ができていません。 このことから、アプリ開発においては「root権限が奪取された環境で動作する」あるいは、 「アプリは解析される」という前提で、アプリの耐タンパー性を考える必要があります。 下記はデータをAESの方式で暗号化する簡単なサンプルです。 private static final String SECRET_KEY_SRC = "ABCDEFGHIJKLMNOP"; private static final String SECRET_IV_SRC = "QRSTUV
掲示板のスレッド経由の遠隔操作で犯罪予告を行う「iesys.exe」の正体まとめ
By iKorp 「飛行機に爆発物を仕掛けた」としてオウム真理教の松本智津夫死刑囚の釈放を求める内容のメールが日本航空の顧客対応窓口に届いて米国行きの便が引き返す事件が発生したり、大阪市の市政への意見募集欄に「(大阪・日本橋の)オタロードで歩行者天国にトラックで突っ込み、無差別にひきまくります」と書き込んだ件で誤認逮捕されてしまった北村真咲さんのパソコンから発見された遠隔操作を行うウイルス(バックドア、要するに裏口を作る不正プログラム)は「iesys.exe」というファイル名であったことがわかったわけですが、一体コレはどういうものなのかというのをウィルスバスターで有名なトレンドマイクロが解説しています。 注意喚起:不正プログラムを使用した遠隔操作によるなりすまし犯行予告事件に関する注意喚起 http://www.trendmicro.co.jp/support/news.asp?id=18
Androidセキュリティ勉強会「WebViewの脆弱性」
資料 本日はありがとうございました。発表可能な資料は後日 http://securedroid.org/ で公開します。 #securedroid / Androidセキュリティ勉強会 http://goo.gl/oMKuc #zusaar ENDO Yasuyuki on Twitter: "本日はありがとうございました。発表可能な資料は後日 http://t.co/9B6CHCJd で公開します。 #securedroid / Androidセキュリティ勉強会 http://t.co/VS6pk18Y #zusaar" とのこと。 twitterまとめ 2012.10.07追記 なんか資料あがってた http://ierae.co.jp/uploads/webview.pdf http://www.ustream.tv/recorded/25950587 2012.10.08追記 なん
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
いちばん簡単なアカウントの乗っ取り方 - ぼくはまちちゃん!
こんにちはこんにちは!! 最近また、アカウントを乗っ取られただとか、ハッキングされたとか、 そういう話をちょくちょく聞くようになってきて物騒な世の中ですね>< そこで、ぼくの考える「いちばん簡単なアカウントの乗っ取り方」について ちょっと書いておきたいと思います! 1. 「パスワードを忘れた」をクリック 2. 「秘密の質問に答える」をクリック 3. ペットの名前や、好きな映画を聞かれるので、対象者のSNSやブログを調べる・または直接聞く 4. アカウントゲット さすがに最近は「秘密の質問」を使っているWebサービスは減ってきたけど、まだまだ結構あるんですよね。 これって人によっては、ものすごく脆弱な仕組みだと思うので、こんなもの早く絶滅すればいいのになーと思ってます。 日記になんでもかんでも書いちゃうような、いわゆる情弱さんなんかは、これで高い確率で乗っ取れるし、 ネットに慣れた人でも、過
SQLインジェクションについてのスライドを作成した - Kentaro Kuribayashi's blog
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。 社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。 僕らの職務のひとつに「セキュリティ関連」というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す - やまもといちろうBLOG(ブログ)
我らが池田信夫せんせが、またやらかしました。 どうも池田信夫のgmailアカウントがパスワードハックされて乗っ取られたようで、恐らく愉快犯と思われるクラッカーさんが池田信夫を騙ってほうぼうに「金送ってくれ」のクソメールを配信している模様です。さすがは池田信夫、時代の最先端すぎます。もはやソーシャルオレオレ詐欺みたいな状態で、なぜこうも池田信夫はいちいち面白いのでしょう。 <起> googleからいきなりアカウントを停止され怒り狂う池田信夫 googleから信夫gmailアカウントを停止されたと勘違いした池田信夫、怒りの矛先を素直な心で真正面からgoogleに向けて怒りゲージMAX状態で真っ赤となっております。 「これじゃ危なくてgmailは使えない」とか言ってますけど、危ないのはお前のパスワードだ池田信夫。 <承> 池田信夫、対処方法が分からず途方に暮れる どうやらgmailを主力で使って
仰天の続編付き!! ピンチにさらに油を注いで大炎上の実例をAUからお届け
わたしはサラリーマンには向いていませんでしたが、新卒で入ったリクルートでひとつだけ座右の銘となる言葉をゲットしました。どの上司が言ったのかまでは覚えてません。すいません。 「ピンチの時こそチャンス」 深い。深すぎる。これが発展して「崖っぷち愛好会会長」となったわけでありますが、一般のサラリーマンの場合、ピンチはミスのことを指す場合が多い。このミスをいかに誠意を持って切り抜け、逆に信頼を得ることがプロの仕事。それほどミスは出したことは無いが、昔々、リクルート時代に正規輸入ディーラーの仕事を受注して数千万いただいたけど、車が全く売れなかった時があった。死ぬ気でリクルートで社内営業して15台くらい売って担当者のクビをつなぎました。Facebookで先日、このときに車を買ってくれた同僚から友達申請が来たときに思い出しました。汗かきました。 が。しかし・・・ このピンチの時の初動を誤ると顧客の激怒を
輝ける高木浩光氏とスーパー武雄市長・樋渡啓祐氏の戦い - やまもといちろうBLOG(ブログ)
武雄市長の樋渡せんせのFACEBOOKが大炎上していたというので見物に逝ったわけですが、FACEBOOKのコメントとしては結構画期的な数の罵倒&応援コメントが交錯しており、興味深いのです。 樋渡 啓祐 https://www.facebook.com/keisuke.hiwatashi.9/posts/482159161803955 元はと言えば、樋渡せんせと高木せんせのネットセキュリティを巡る論争からスタートしていたはずが、途中で樋渡せんせが個人の住所録をヤフーブリーフケースで公開してたり、支援者の方々の顔写真を含む個人的な画像群を写真共有サービスでこれまた公開してたり、微笑ましい失敗をしていたことで延焼したあたりがネットユーザーの心を鷲掴みにしたんですよねえ。 あらすじを知りたい方は、こちらの戦場跡をご覧いただきたいところですが、関心深めるべきはこの抗争、まだ現在進行形で戦火が広がり続
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
「Tポイントツールバー」公開中止 Web閲覧履歴を平文で収集
ユーザーのWeb閲覧履歴を平文で収集する問題が指摘されていた「Tポイントツールバー」の提供が中止。8月下旬に再開するという。 オプトとカルチュア・コンビニエンス・クラブ(CCC)は、Internet Explorer用ツールバー「Tポイントツールバー」のダウンロード提供をこのほど中止した。「皆様によりよいサービスをご提供するため」としている。同ツールバーは、ユーザーのWeb閲覧履歴を平文で収集していると指摘され、批判が相次いでいた。 Tポイントツールバーは、Internet Explorer 7/8/9向けのツールバー。検索窓から検索すると「検索スタンプ」を1日1個取得でき、検索スタンプ2個で「Tポイント」を1ポイント付与する仕組みだ。 同ツールバーをめぐっては、SSL通信を含むユーザーのWeb閲覧履歴を平文で取得していることなどがセキュリティ専門家に指摘されていた。 両社は8月15日、ツ
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
ファーストサーバ事件で情報漏洩の2次被害、2300社に影響か
ヤフー子会社でレンタルサーバー事業を展開するファーストサーバは2012年6月29日、6月20日に発生した大規模障害(関連記事)の復旧作業において、情報漏洩が起きていた可能性があると発表した。 発表文によると「対象サーバー数103台、最大2308者(法人や非法人)分の復元データの一部が、同じく障害の影響を受けた145者のデータ領域に混在した可能性がある」という。 ファーストサーバのサービスでは、1台の物理サーバーにつき最大で60契約を収容している。平常時はある顧客は他の顧客のファイルにアクセスできないように制御されているため、情報漏洩は発生しない。 ところが6月20日の大規模障害でファイルが消失したため、可能な範囲でファイルの復元を試み、復元できたものを顧客に提供していた。この時に、ある顧客に提供したファイルに別の顧客のファイルが混入したまま提供してしまった可能性があるという。 発表文では、
SSH力をつけよう
5. RFC RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints RFC 4256 Generic Message Exchange Authent
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
