タグ

Securityに関するmessiquoのブックマーク (42)

  • 暗号化Excelファイルのパスワードを「Amagasaki2022」とした場合の解析(crack)実験

    「もしも〜だったら」を確認するパスワード保護Excelファイル (俗に言う暗号化Excelファイル) のパスワードをcrackする難易度ってどれくらいだろうか? と、ある事案 (参考リンク1) からの連想で急に確認したくなった。もちろん、事案のプレスリリースで述べられている「暗号化処理」が、Excelの機能を使ってExcelファイルをファイルレベルで保護する手法 (参考リンク2) なのか、それ以外の別の手法なのかは現時点で明らかになっていないので、これは「もしも前者だったら」の一種の私的な実証実験である。 実験の際には自分に条件を課し、手元のUbuntu環境にはもちろん純正のMicrosoft Excelは無いので、一連の内容をコマンドライン (CLI) のみでやってみようと考えた。 1. Secure Spreadsheetでパスワード保護Excelファイルを作成参考リンク3によると、次

    暗号化Excelファイルのパスワードを「Amagasaki2022」とした場合の解析(crack)実験
    messiquo
    messiquo 2022/06/28
    「パスワードに繋がる情報を持つ文字列を素のファイル名に含めてはならない」
  • Light Commands

    Light Commands は,MEMS マイクが光に感度を持つ脆弱性を利用して,Google アシスタント, Amazon Alexa, Facebook Portal および Apple Siri などの音声アシスタントに対し,遠隔から無音かつ不可視でコマンドを挿入する攻撃です. 私達の論文では,スマートスピーカー,タブレット,スマートフォンなどの様々な音声コントロール機器に対し,遠隔から,窓ガラスなどを貫通して悪意あるコマンドを挿入できることを実証しました. 不正なコマンドを挿入する攻撃の深刻さは,実行されるコマンドの種類によります.論文では,その一例として,光を用いて音声コマンドを挿入することで,スマートロックで保護されたドアを解錠したり,車の現在位置の特定・解錠・始動などが行えることを示しました. USENIX Security Symposium 2020 に採録されました.

    messiquo
    messiquo 2020/01/08
    Google Home等のホームアシスタントを遠隔からレーザーを用いて攻撃する。と言っても物理的に焼却するのでは無く、レーザーを照射してMEMSマイクロフォンに音声と誤認させる。なんと110m先からの成功事例あり。
  • - このブログは非公開に設定されています。

  • Report: Diebold Voting System Has 'Delete' Button for Erasing Audit Logs

    messiquo
    messiquo 2009/03/13
    Risks Digest 25-60から。アメリカである企業のソフトでの電子投票で200件の投票が消えた件に関する調査において、電子投票ソフトに「ログ消去」というボタンがあっちゃってた、という話。陰謀を感じるなあ…。
  • エンドユーザーが感じる「セキュリティ,ここが不満」 第1回:「なぜUSBメモリーが使用禁止?」に,システム管理者はどう答えるべきか:ITpro

    パソコン誌「日経PC21」の編集部には,様々な読者から「自分の会社のセキュリティ対策は,ここが不満だ」という投書が寄せられている。これらエンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティコンサルタントの濱常義氏と共に,その答えを考えてみよう。 エンドユーザーの不満 私の会社では,USBメモリーの使用が禁止されています。というのも以前,業務データをUSBメモリーに入れて持ち出した人が,それを紛失してしまう騒ぎがあったからです。とても便利なツールなのに,会社で使えないのは不満が募ります。おかげで自宅作業ができず。残業時間が増える羽目になりました。情報システム部門はなぜ,このようなことをするのでしょうか? 今回,このお題を取り上げさせていただきましたのには,理由があります。実はこのお題には,企業が直面しているセキュリティ対策の問題点が,すべて詰まっている

    エンドユーザーが感じる「セキュリティ,ここが不満」 第1回:「なぜUSBメモリーが使用禁止?」に,システム管理者はどう答えるべきか:ITpro
  • ハードディスク消去ツール「wipe-out」

    Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / ハードディスク消去ツール / ダウンロード / Q&A (最終更新: 2023-09-10) ご利用マニュアル / マニュアル 2004年版 / 2011年版 / 2016年版 #はじめに | #こんなことできます | #カンタン操作 | #ダウンロード | #おことわり | #関連リンク 初版: 2002-03-13 改訂その2: 2004-06-23 最終更新日: 2021-08-08 ChatGPTによる紹介 | Q&A | バグ情報 | ダウンロード | New! ★名前入れサービス★ CD-ROMやUSBメモリ、ネットワークやフロッピーからブートすれば、 カンタン操作できれいにデータを消去。 ハードディスク消去ツール「wipe-out」 − 超消わいぷたん →ダウンロー

  • 高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない

    ■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ

  • 安心して無線LANを利用するために

    無線LANは、ブロードバンド・アクセスの手段として大きく期待され、その利便性から急速に普及しています。 無線LANは無線を利用することから、適切なセキュリティ設定を行わないままで使用すると、盗聴、情報の改ざん、漏洩及び破壊などの重大な被害を受けかねません。しかしながら、このような危険性に対するユーザの認識は低く、セキュリティ対策が十分に行われていないのが現状です。 総務省では、こうした状況を踏まえ、無線LANの健全な利用を促進するため、平成15年9月から社団法人電波産業会への委託により、「無線LANセキュリティ調査研究会」(座長:吉田 進 京都大学教授)を開催し、無線LANの技術動向、課題、セキュリティ対策等について調査研究を行ってきました。 「安心して無線LANを利用するために」(別添1(PDF 1.8M))は、この調査研究の検討結果を受けて、様々なユーザを対象とした無線LANのセキュリ

  • “簡易な”IPv6対応のせいでセキュリティが劣化している - ワークスタイル - nikkei BPnet

    “簡易な”IPv6対応のせいでセキュリティが劣化している 2008年4月7日 この記事を携帯に転送する (須藤 慎一=ライター) IPv6は「まだ関係ない」とか「知らない」という人が多いだろう。しかし家庭や小企業では、使用中のネットワーク機器が、気が付かないうちにIPv6につながっているかもしれない。 無視できない問題も抱えている。既存のIPv4に比べてセキュリティが劣る状態になっている可能性が高いのだ。家庭やSOHO向けルーターは、IPv6に“簡易な”対応のものがほとんど。パソコンのセキュリティソフトの多くがIPv6に未対応である。 セキュリティ対策は後回しという現状を放置すれば、不正アクセスなどの被害に遭う危険性が増える。IPv6機器やパソコンのどこが危ないのかを検討してみよう。 パソコンOSと、家庭やSOHO向けネットワーク機器がIPv6に対応 IPv6(アイピー・ブイ・シックス)と

  • Expired

    Expired:掲載期限切れです この記事は,ダウ・ジョーンズ・ジャパンとの契約の掲載期限(90日間)を過ぎましたのでサーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。

    messiquo
    messiquo 2008/02/27
    ルータの設定をミスったらしい。
  • 「パスワードは90日ごとの変更」が義務づけられる!?

    個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある

    「パスワードは90日ごとの変更」が義務づけられる!?
  • IT news, careers, business technology, reviews

    Elon Musk’s suit against OpenAI — right idea, wrong messenger

    IT news, careers, business technology, reviews
  • Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か

    Macでポルノビデオを見るためと称して配布されているトロイの木馬は、ユーザーを悪質なDNSサーバにリダイレクトするという。 Mac向けのセキュリティソフトを手掛けるIntegoが、Macユーザーを標的としたトロイの木馬が見つかったと発表した。Macに対する格的な攻撃が発覚したのは初めてとみられる。 Integoによると、このトロイの木馬「OSX.RSPlug.A」は、複数のポルノサイトで、Macでポルノビデオを無料で見るために必要なビデオコーデックと称して配布されていた。 Mac関連のフォーラムには、ユーザーをこのサイトに誘導することを狙ったスパムが大量に投稿されているという。 問題のサイトにはポルノビデオの静止画が掲載されており、ユーザーがビデオを見るつもりでこの画像をクリックすると、英語で「QuickTime Playerが映画ファイルを再生できません。ここをクリックして新しいバージ

    Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か
  • 禁じ手1 ウイルス対策ソフトを過信すべからず:パターン・ファイルで検出できないウイルスが増加

    セキュリティ対策としてパソコンにウイルス対策ソフトをインストールするのは,今となっては当たり前だ。しかし,入っているだけで安心してはいけない。最近は,対策ソフトをすり抜けるウイルスが出てきているためだ。 愉快犯から営利目的に こうした状況の背景には,ウイルスを作るユーザーの動機の変化がある(図1-1)。「以前はただの功名心や愉快犯的な気持ちからウイルスを作っていたが,最近は金儲けのために作るようになってきた」と,セキュリティ研究者の多くは口をそろえるところだ。ユーザーの個人情報を盗むタイプのウイルスはその典型といえる。こうしたウイルスの作者の目的は,集めた個人情報を転売したり,それを使って金融機関などへアクセスしたりして利益を得ること。そのためには,対策ソフトに検出されることなく,感染した事実をユーザーに悟られたくないというわけである。 図1-1●数年前と現在ではウイルスの傾向が大きく異な

    禁じ手1 ウイルス対策ソフトを過信すべからず:パターン・ファイルで検出できないウイルスが増加
  • DNSサーバーは絶対に信頼できるのか

    Webサイトを閲覧する時,通常はブラウザでWebサイトのURLを入力するか,「お気に入り/ブックマーク」で該当する項目をクリックする。いずれの操作でも,Webサイトのドメイン名(例えば「www.symantec.com」)がユーザーの指定したDNSサーバーに送られる。DNSサーバーはこのドメイン名を受け取り,対応するWebサイトが置かれているサーバーのIPアドレスを送り返す。この仕組みでは,いくつかの興味深い点が出てくる。 まず,自分が利用しているDNSサーバーを把握しているユーザーはどのくらいいるのだろうか。また,使用するDNSサーバーを知っている場合,このDNSサーバーを管理する人物や会社はどの程度信用できるのだろうか。クライアント・パソコンのネットワーク設定の大部分は,DHCPというプロトコルを使って設定される。DHCPは,コンピュータがローカル・ネットワークに対して設定要求(IPア

    DNSサーバーは絶対に信頼できるのか
  • はてなのCAPTCHAは簡単に破れる

    CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ

    messiquo
    messiquo 2007/10/30
    1.5時間程度の制作時間で破れてしまったらしい
  • 一太郎の脆弱性、リンクのクリックだけで悪用される可能性も - @IT

    2007/10/26 ジャストシステムは10月25日、ワープロソフト「一太郎」シリーズに脆弱性が存在することを明らかにし、修正用のモジュールを公開した。 影響を受けるのは「一太郎2007/2006/2005/2004/13/12/11」のほか、「一太郎ガバメント2007/2006/2005」「一太郎2007体験版」「一太郎 文藝」「一太郎Lite2」など。「一太郎ビューア」とLinux版の「一太郎 for Linux」にも脆弱性が存在する。 脆弱性は全部で3種類ある。「JSTARO4.OCX」に2種類、「TJSVDA.DLL」に1種類のバッファオーバーフローの脆弱性が存在し、細工を施したリッチテキストファイルを開くと、攻撃者が仕込んだ任意のコードが実行される恐れがある。この結果、ウイルスやボットに感染したり、システムを破壊される可能性もある。 セキュリティ企業のフォティーンフォティ技術研究

  • News | The Taub Faculty of Computer Science, Technion

    messiquo
    messiquo 2007/10/20
    Risks 24.86 から。車の鍵に使う暗号が1時間で解ける、という話。なお、途中disactivateという単語はdeactivate が正しいらしい。
  • 脆弱性検証用画像を作成 (Kanasansoft Web Lab.)

    この画像は、Microsoft Internet Explorerの画像ファイルに対する脆弱性を、検証するためのものです。 ユーザが画像を投稿でき、投稿された画像をブラウザ上で表示するようなWebアプリケーションの場合、この脆弱性が発生する可能性があります。 実際に投稿を行い、検証してみて下さい。自分の管理下ではないサイトで行った場合、不正アクセス等の犯罪行為に問われる可能性がありますので取り扱いにはご注意下さい。 「XSS:Cross Site Scripting」とalertが表示、「Phishing」と画面に表示、別ウィンドウ(または別タブ)が開き「Session Hijacking」がGoogleにて検索等の動作が確認された場合、そのWebアプリケーションはセキュリティ上の問題があります。 Cross Site Scriptingをはじめ、Session Hijacking等、Ja

  • 高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記

    ■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている