Windows 10 Insider Preview、DNS over HTTPSがテスト可能に | スラド セキュリティ
Microsoftが13日に提供開始したWindows 10 Insider Preview ビルド19628(アクティブな開発ビルド)では、DNS over HTTPS(DoH)の初期的なサポートが追加されている(Microsoft Tech Community - Networking Blogの記事、 BetaNewsの記事、 Softpediaの記事、 The Registerの記事)。 MicrosoftではDNSクエリを暗号化するDoHのサポート計画を昨年11月に発表していた。本ビルドのDoHサポートはデフォルトで無効になっており、テストするにはレジストリの「HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters」にDWORD値「EnableAutoDoh」を作成して値のデータに「2」をセットする必要がある。これでD
Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? | スラド セキュリティ
Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事、 Ars Technicaの記事、 The Registerの記事、 Softpediaの記事)。 これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。 たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソ
「最強のパスワード復元ソフト」がオープンソースに | スラド セキュリティ
DefConのコンペで何回も優勝を果たしたパスワード復元ソフト「Hashcat」とそのGPU版である「oclHashcat」が、このたびオープンソースソフトウェアとなった(Phoronix)。ライセンスはMITライセンス。 oclHashcatには150を越えるハッシュアルゴリズムが実装されており、多種多様な認証やパスワード付きファイルに対応している。攻撃方法としては総当たり攻撃や辞書攻撃だけでなくさまざまな方法を使うことが可能。また、128個のGPUまで同時に利用できるため、その高速さが話題となっていた。 タレコミ主としてはこの手のツールがもっと広まって、パスワードやハッシュ化の強度が見直されれば良いなぁと思います。
統計によるパスワードクラック | スラド セキュリティ
システムに侵入した攻撃者がデータベースダンプからパスワードを取得するには、パスワードハッシュをクラックする必要がある。パスワード解析には長い時間を要することもあるが、統計的な分析を取り入れることで効率を上げる手法があるそうだ(Praetorian Security Blogの記事、 本家/.)。 現在ではユーザーに複雑なパスワードの作成が要求されるようになっており、システム側もより高度なハッシュアルゴリズムを使用するようになってきていることから、効率の良いパスワードクラック手法が必要となる。通常は短時間で完了する辞書の総当たりから始め、単語と数字や記号を組み合わせたハイブリッド方式、マルコフ連鎖によるパスワード生成など、より時間のかかるものを順に試していくことになる。しかし、大文字や数字、記号の位置、同じ文字種の連続といったパスワードの構造について、どれから試していくのかによって所要時間が
「企業内のプライベートネットワークは安全である」という神話 | スラド セキュリティ
Googleが「企業ネットワーク」という考え方を終わらせようとしている、という話が本家slashdotで取り上げられている(Google's Plan To Kill the Corporate Network、元ネタのSCMagazine記事)。 タイトルだけ見るとなにやらよく分からないが、話としては「企業内ネットワークは安全」という考え方はやめよう、ということのようだ。Googleが考えているのは、従来の企業ネットワークの概念を廃止し、暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行すること。ゼロトラストモデルについてはdarkreading、マイナビニュースの記事が詳しい。 Googleでこのプロジェクトに関わるHarald Wagener氏は、「現在、多くの人が当てにしている、ファイアウォールやゲートキーパーは役に立ちません。こうした周辺機器
自転車の安全性はどの程度? | スラド セキュリティ
自転車を共用するバイクシェアは、5月にニューヨークで開始されるなど全米に広がっており、日本でも超党派の国会議員が法整備などを検討しているそうだ。多くの人に自転車を利用してもらうため、ヘルメットの着用を強制すべきではないという意見もある。しかし、自転車は本当に安全なのだろうか(The New York Timesの記事、 本家/.)。 カリフォルニア大学サンフランシスコ校の外傷外科医 Rochelle Dicker氏は、重傷患者の自転車事故による治療に当たることもあって、同僚とともに事故の内容について調査することにしたという。調査の対象はサンフランシスコ総合病院で治療を受けた自転車利用者2,504名。その結果、半分近くは自動車の関係しない自転車事故で負傷しており、重傷者も4倍以上多かったそうだ。Dicker氏自身は自転車に乗らないが、傷を見た後で自転車に乗りたくないと考える同僚も多いとのこと
「パスワードの定期的変更」は基本的には無意味 | スラド セキュリティ
あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。 パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い
NSA、システム管理者を90%削減する計画 | スラド セキュリティ
米国家安全保障局(NSA)では、内部告発による機密情報の漏えいを避けるため、システム管理者の90%を削減する計画があるとのこと(Reutersの記事、 RTの記事、 GlobalResearchの記事、 本家/.)。 NSA長官のキース・アレクサンダー氏によれば、機密情報の漏えいを防ぐには、情報に触れられる人の数を減らすことが効果的との結論に達したとのこと。これまでも業務の自動化によるセキュリティの向上が進められていたが、エドワード・スノーデン氏による内部告発以降、この動きは加速しているという。アレクサンダー氏は自身の発言が報道により著しく誤解されているとしてNSAの活動を擁護し、あえて法を破ったり市民の自由やプライバシーを侵害してはおらず、そういった過ちは全くないと述べたとのことだ。
Androidのroot権限はもう要らない? | スラド セキュリティ
Android 4.3ではユーザーの権限に対するより強力な制限機構が追加されているそうで、root権限でのプログラム実行や、プロセスが実行できる操作がより強く制限されているそうだ。これを受け、Androidのカスタムファームウェア「CyanogenMod」の開発者Steve Kondik氏が、「root権限の死」というエントリをGoogle+で公開した。 このような制限下では、root権限を取得したとしても実行できる処理は限られるという。さらに、バックアップやリストアツール、ファイアウォール/DNS解決者管理、カーネル・チューニングといった必要とされる多くの機能はroot権限なしでも実現できるそうだ。このためリスクの大きなrootの開示は必要ないのではないかと氏は考えているようだ。そのため、今後はAPIや拡張機能を提供することによって必要な機能を追加していくほうがよいのではと考えているとい
Struts 2の脆弱性を狙った攻撃が増えている | スラド セキュリティ
JPCERTが、Apache Struts の脆弱性 (S2-016) に関する注意喚起を行っている。脆弱性があるサイトに対し、細工した HTTPリクエストを送るだけで任意のOSコマンドが実行されるという、かなり危険な脆弱性だそうで、影響を受ける対象もApache Struts 2.0.0から2.3.15と広い。Apache Struts 2.3.15.1では修正されているとのことなので、利用者は確認のうえアップデートをおすすめする。 なお、Strutsの公式Webサイトには脆弱性の例としてHTTP経由で任意のコマンドを実行させる方法が掲載されているため、簡単に試すことができてしまう(wakatonoの戯れメモ)。注意されたし。
「サイバー攻撃を受けたらやり返す」ことの是非 | スラド セキュリティ
本家Slashdotにて、サイバー攻撃を受けた際に「やり返す」べきかそうでないのか、という議論が提起されている(本家/.、Help Net Securityの記事)。 サイバースペースを自分や自分の所属する団体の資産と考えれば、資産を守るためにサイバー攻撃からの防御対策を立てるのは当然だ。防御のための機構を整え、攻撃に対応できるよう従業員を教育する。そして、そのような攻撃者を追跡して訴えることのできるものの1つに政府がある。しかし、政府にそれができない場合、自分でその攻撃者に対し攻撃を行いたくなるかもしれない。 しかし、「ハックされたらハック仕返す」という対策を立てることは現行の法制度では叶わない。だが、自分のサイバースペースに侵入したサイバー犯罪者の取締まりを政府に任せておけるだろうか。自らサイバー犯罪者を追跡した方がよいのはなかろうか。それとも、国境を越えて横行するサイバー攻撃を取り締
Windows 8、インストールするアプリの情報をデフォルトでMicrosoftに送信 | スラド セキュリティ
Windows 8ではダウンロードしてインストールするすべてのアプリに関する情報をMicrosoftに送信するとして、本家/.で話題になっている(Within Windowsの記事、 Nadim Kobeissi氏のブログ記事、 本家/.)。 。 Windows 8のデフォルトでは、インターネットからダウンロードしたアプリケーションを実行する際にMicrosoftのサーバーに問い合わせて安全性を確認するWindows SmartScreenが有効になっている。SmartScreenが送信する情報の中には、実行ファイルのハッシュのほか、Base64エンコードされたファイル名も含まれるとのこと。なお、SmartScreenはWindows 8をマルウェアから保護する機能の一つなので無効化は推奨されないが、コントロールパネルの「アクションセンター」から無効化することが可能だ。また、ダウンロードし
ソニーの暗号技術「CLEFIA」が国際標準規格に採択 | スラド セキュリティ
5 年ほど前の /.J 記事で紹介されたソニーの共通鍵ブロック暗号「CLEFIA」だが、ISO/IEC での最終承認を経て軽量暗号 (Lightweight Cryptography) の国際標準規格 ISO/IEC 29192 の一つとして採択された (ソニーのニュースリリースより) 。 CLEFIA は、米国政府標準暗号 AES と同じインタフェースに対応し、ブロック長が 128 ビット、鍵長は 128 ビット、192 ビット、256 ビットから選択可能なブロック暗号。CLEFIA は最新の暗号設計理論をベースとして高い安全性を保ちつつ、コンパクトな実装に適した一般化 Feistel 構造を採用し、演算量を低く抑えつつ安全性を確保できる「拡散行列切り替え法」や、データ処理部と鍵スケジュール部の部品の共通化などを行っている。従来は両立が困難であったハードウェアとソフトウェアでの効率的な実
パスワードがなくなる日、当分の間はやって来ない | スラッシュドット・ジャパン セキュリティ
IBM は昨年末、恒例の未来予測で「パスワード不要化」を挙げていたが (/.J 記事) 、カナダのカールトン大とマイクロソフトの研究者によれば、音声や顔認識、指紋、網膜認証といったものがパスワードに取って代わることは当分の間はないだろうとのこと (IEEE Security&Privacy Magazine の予稿[PDF]、本家 /. 記事より) 。 これまでパスワードはいずれなくなるものと考えられていたため、パスワードそのものにはこの 20 年間、何も進歩がみられなかった。一方、生体認証や PKI などパスワードに取って代わろうとした他の認証方法は、費用対効果、即時性、利便性といった点でパスワードには勝てなかったとしている。また、多くのシチュエーションにおいてパスワードの利用がふさわしいということを踏まえ、代わりとなる他認証方法を求めてさらに 20 年を無駄にすることはやめ、セキュリテ
無線LANの接続設定規格「WPS」に脆弱性 | スラド セキュリティ
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
安全にパスワードを共有するには? | スラド セキュリティ
ITに精通した父が急逝した。父は請求書の支払や銀行取引、eBayなどのオークションサイトでの売買、PayPal、投資などすべてをオンラインで行っていた。 亡くなったときにも出品中のオークションがあり、返品された品物に対する返金処理が残っていた。医療保険も自動引き落としになっていたが、これらのシステムにログインできないため、キャンセルすることもできなかった。不幸中の幸いはGmailがログイン状態だったことで、父あてのメールを自分のアカウントに転送するように設定することができたことぐらいだろうか。最終的には各機関に電話で問い合わせたのだが、すぐに対応してくれるところがある一方、死亡証明書や遺言執行者であることの証明が必要なところもあった。その間にもオークションでは品物が売れていき、必要のない請求も発生していった。 自分にもしものことがあった場合に身内が同じような目にあわないよう、ログイン情報を
何でも隠蔽するだけのセキュリティーじゃだめ ? | スラド セキュリティ
なんでもかんでも情報を隠蔽するアプローチでセキュリティを確保しようとするのはもう時代遅れなのかもしれない (I PROGRAMMER の記事、本家 /. 記事、arXiv:1109.5542v1 より) 。 セキュリティの確保について 2 つの原理があり、1 つはケルクホフスの原理で、情報を隠蔽してもセキュアにはならない (秘密鍵以外の全てが公知になったとして、なお安全であるべき) というもの。もう 1 つは Fortification Principle と呼ばれるもので、防御者はあらゆる攻撃手法をガードしなければならないというものである。しかし攻撃者は無制限のコンピュータリソースを手にした全知全能の神などではないわけだから、攻撃者の行動パターンやアルゴリズムを調査して攻撃者のタイプを特定したうえでシステムを適切に隠蔽することで防御の効果が高くなるのだという。つまり、考えられる限りのあら
Amazon EC2 の新メニュー「クラスタ GPU インスタンス」でパスワードクラック | スラド セキュリティ
Amazon が提供しているクラウド型の計算リソース提供サービス Amazon EC2 のメニューに、新しく「クラスタ GPU インスタンス」が追加となった。この強力な計算リソースを、早速パスワードクラックに使ってみた人が出たようだ (stacksmashing.net の記事、本家 /. 記事より) 。 Amazon EC2 の新メニュー「クラスタ GPU インスタンス」では、1 インスタンスあたり CPU: Xeon X5570 x2、メモリ: 22 GB、ストレージ: 1.69 TB に加え、NVIDIA Tesla M2050 x2 が割り当てられ、1 時間 2 ドル 10 セント (EC2 とのデータ転送料金等は別途) で利用することができる (Internet Watch の記事) 。この計算リソースを利用して今回試みられたのは、14 個の SHA1 ハッシュの値 (リスト)
RFID付き米国旅券の情報を遠隔地から収集する試み | スラド セキュリティ
米国のパスポートにはRFIDチップが埋め込まれており、非接触で個人情報を読み取る機能が備わっているが、この情報を「ウォードライビング」で収集する試みが行われた。 iTnewsの記事によると、250ドルのMotorola製RFIDリーダーとアンテナを自動車のサイドウィンドウに取り付け、サンフランシスコ周辺を20分ほどドライブするだけで、簡単にパスポート情報が収集できたそうだ。この模様を撮影した動画もYouTubeで公開されている(Engadget Japaneseの記事)。 なお、本家/.によると、今回の試みではRFID情報を収集しただけで、パスポートの偽造/クローンについては行っていないとのこと。 2006年、米国政府がRFIDを内蔵した新パスポートを発行し始めた当初から、セキュリティ専門家が、情報を読み取られる恐れがあることを指摘していました(Computerworldの記事)。その懸念
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
QRコードを使ったワンタイムパスワード認証システムが提案される | スラド セキュリティ