なんでもセキュリティ Advent Calendar 2016 15日目の記事です。 RSA鍵を作るにあたっては鍵長を十分に長くする必要があります。（この「十分に」というのは時代とともに（マシンスペックが上がるにつれ）変わっていくでしょう） 最近だと 2048ビット = 256バイトの鍵を作るのが一般的でしょうか。 この長さが短いと割と簡単に公開鍵から秘密鍵が割り出せてしまいます。 今回やること 今回は長さが十分で無いRSA公開鍵から秘密鍵を割り出す実験をしてみます。 準備 秘密鍵の準備 64ビット = 8バイトという極めて短い長さの鍵を作ります。 $ openssl genrsa -out private.pem 64 Generating RSA private key, 64 bit long modulus .+++++++++++++++++++++++++++ .+++++++

Google、脆弱性検出のためのファジング（Fuzzing）を機械的に実行する「OSS-Fuzz」、ベータ公開 ファジング（Fuzzing）とは、「検査対象のソフトウェアに『ファズ（英名：fuzz）』と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法」であると、IPA（独立行政法人 情報処理推進機構）が発行する「ファジング活用の手引き」で説明されています。 Googleは、このファジングを機械的に実行するためのソフトウェア「OSS-Fuzz」をベータ公開したことを発表しました。 OSS-Fuzzの開発はGoogleと、OpenSSLやOpenSSH、NTPdなどインターネットの基盤に欠かせないソフトウェア開発を支援する「Core Infrastructure Initiative」が共同で行っています。 OSS-Fuzzはすでにフ

How to watch NASA's first Boeing Starliner crewed flight launch today (scrubbed)

米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。 米モバイルセキュリティ企業のKryptowireは11月15日、米国で販売されていた複数のAndroid端末のファームウェアに、ユーザーの個人情報を収集して許可なく中国のサーバに送信する機能が組み込まれていたことが分かったと発表した。 Kryptowireは米軍や捜査当局向けのモバイルセキュリティツールを手掛ける企業。同社によると、米国のAmazonなどのネット通販で販売されていたAndroid端末のファームウェアのコードやネットワークを分析した結果、BLU Products製の端末などでユーザーが送受信したSMSの本文や連絡先、通話履歴と電話番号、端末の識別番号などの情報が収集されていたことが分かった。こうした情報は

United States Computer Emergency Readiness Team (US-CERT)は11月10日(米国時間)、「OpenSSL Releases Security Update｜US-CERT」において、OpenSSLに複数の脆弱性が存在すると伝えた。それらの1つはDoS攻撃を引き起こすことが可能なものとされており注意が必要。すでに脆弱性が修正された次のバージョンが公開されている。 OpenSSL 1.1.0c United States Computer Emergency Readiness Teamではユーザーや管理者に対して「OpenSSL Security Advisory ［10 Nov 2016］」の内容をチェックするとともに、必要に応じてアップデートを実施することを推奨している。今回修正される脆弱性はOpenSSL 1.1.0系のみが影響を受

2024-07-02 OpenShift Virtualization – OpenShift でのVM管理についてご紹介

Linuxカーネルに11年以上前から存在するバグが修正された。このバグは以前から知られていたものだが、最近になって特権昇格の脆弱性(CVE-2016-5195)であることが判明し、エクスプロイトの存在も確認されて「Dirty COW」と名付けられていた(メーリングリストでのアナウンス、 V3の記事、 The Registerの記事、 Ars Technicaの記事)。 Dirty COWはLinuxカーネルのサブシステムがcopy-on-write(COW)を処理する際に競合を起こし、プライベートな読み取り専用メモリーマッピングへの書き込みが可能になるというもの。このバグを特権のないローカルユーザーが利用することで、特権の昇格が可能になる。Linus Torvalds氏は11年前にバグの修正を試みているが、s390アーキテクチャーで問題が発生して取り消されていたとのこと。 RedHatでは

PCの作業中に一時的にその場を離れる場合に、電源を落とすことなく画面をロックした状態にすることがあります。しかし、このようなPCにログインした状態で画面ロックをしたPCを、Linuxベースのスティック型PCを使ってわずか数十秒でロック解除できるとセキュリティ研究者でハッカーのロブ・フラー氏が明らかにしています。 Snagging creds from locked machines · Room362 https://room362.com/post/2016/snagging-creds-from-locked-machines/ How spoofing an Ethernet adaptor lets you sniff PC credentials | ZDNet http://www.zdnet.com/article/how-spoofing-an-ethernet-adapt

2011年にLinuxカーネルのソースコード管理サイト「kernel.org」などが不正アクセスされた事件で、プログラマーの男が米フロリダ州で逮捕された。 2011年に相次いで発生したLinux関連サイトのハッキング事件に関連して、フロリダ州在住のコンピュータプログラマーの男がこのほど同州内で逮捕された。 米司法省の発表によると、逮捕されたのはプログラマーのドナルド・ライアン・オースティン容疑者（27）。Linux Kernel Organizationが運営するLinuxカーネルのソースコード管理サイト「kernel.org」や、Linux Foundationが運営する関連サイトをハッキングした疑いで、8月28日に逮捕された。 米連邦捜査局（FBI）などの調べによると、オースティン容疑者はLinux Kernel Organization関係者のログイン情報を使って、ベイエリアにあるサ

＜米国家安全保障局（NSA）のエリート部隊で構成されると思われている天才ハッカー集団Equation Groupが先週末、ハッカー被害に遭った。攻撃した「シャドーブローカーズ」は盗んだハッキングツールを公開し、価値のあるものはオークションにかけると言っている。盗まれたツールのなかには米国内外の多くの企業や個人を危険に晒すものもあり、NSAのやり方にも改めて批判が集まっている＞ まるでハリウッド映画に登場しそうな現存のハッカー集団といえば「EquationGroup（イクエージョングループ）」だ。世界で最も複雑で巧妙な技術を駆使し、世界中の政府や企業に次々とサイバー攻撃を仕掛けることで知られる。昨年ロシアの情報セキュリティー大手カスペルスキー研究所が初めて存在を突き止めるまで14年間、その存在さえ知られていなかった謎の天才ハッカー集団だ。その正体は米国家安全保障局（NSA）だというのがもっぱ

カリフォルニア大学らの研究者らが公開したホワイトペーパー「Off-Path TCP Exploits: Global Rate Limit Considered Dangerous (PDF)」が、Linuxカーネルバージョン3.6以降にはネットワークスタックに重大な脆弱性があり、遠隔から攻撃者によってTCP通信の内容を推測される危険性があると指摘していることを複数のメディアが伝えた。Linuxカーネル3.6は2012年に公開されており、影響範囲が広範囲に及ぶ可能性が高く注意が必要。 研究者らが指摘した脆弱性はパス外TCP攻撃(Off-Path TCP Exploits)を許してしまうというもの。1分間ほどの攻撃で90%程度の確率で通信に割り込むパケットを生成することが可能になるとされている。この攻撃は受けていることがわかりにくく、しかも広範囲に影響が及ぶ可能性が高い。Linux以外のオペ

バルスというツールをご存知だろうか？ 日本ではとあるアニメの崩壊の呪文として扱われることの多いこのフレーズがいま、サーバー管理者のシステム崩壊を防ぐためのツールとして注目されている。OSSの脆弱性検知ツールであるVuls（バルス）について、開発元であるフューチャーアーキテクトの神戸 康多氏と林 優二郎氏に詳しく話を聞いた。 まずはVulsについて簡単に教えてください 神戸氏：VulsはVULnerability Scannerの略で、Linux/FreeBSD向けの脆弱性スキャンツールです。OSのみならずプログラミング言語やライブラリに至るまで多くの環境に対応し、レポートや通知を行います。ソフトウェアには数多くのバグが含まれ日々脆弱性に関するレポートが報告されています。サーバー管理者は脆弱性に関する情報を随時チェックし、その脆弱性が自身が管理するサーバーにどれくらい含まれているのか影響範囲

KDDI研究所は7月19日、世界でいまだ誰にも解読されておらず、スーパーコンピューターでも1万年かかるという暗号の解読に成功したと発表した。 KDDI研究所と九州大学によるもので、ドイツのダルムシュタッド工科大学で開催される暗号解読コンテスト「TU Darmstadt Learning with Errors Challenge 」において、これで誰も解読に成功していなかった60次元LWE（Learning with Errors）問題の解読に成功したというもの。 LWE問題は、故意に誤差を負荷した多元連立1次方程式を解くもので、次元（未知変数の個数）が大きくなると計算時間が膨大となり、誤差が大きいと解読できなくなる可能性があることから、暗号として用いる際には次元と誤差の量をどの程度にするのかがポイントとなる。LWE問題は60次元の計算ともなると、スーパーコンピューターを用いた総当り計算で

みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!

注意 本件記事ですが、私の不適切な行動（拾ったスクリプトを検証なく走らせる）が原因です。「dockerは（特に何もしなくとも）危険」との誤解を皆様に与えた点、ご迷惑をおかけいたしました。申し訳ございません。 拡散されている記事を削除するのはさらなる誤解を招きかねないと思いましたので、冒頭に注意を付記しております。以下の記事は、「自分が何してるかをきちんと検証できないとセキュリティホールを生み出す」という意味で参考にして頂ければ幸いです。 追記 Twitterやはてブで言及いただきました皆様、ありがとうございます。 本件はpullしてきたイメージが悪意ある開発者によるものかどうかにかぎらず、不適切な設定をしていると起こり得ます。 ※コメント欄に質問への回答という形で、私がそのときに走らせていたイメージの一覧を挙げておりますが、どのイメージも評判あるものだと思います。 皆様におかれましては「あ

Apple is set to board the runaway locomotive that is generative AI at next week’s World Wide Developer Conference. Reports thus far have pointed to a partnership with OpenAI that…

Although Linux is generally regarded as reasonably secure and a lesser security risk than Windows computers, Linux distros still needs regularly security updates to keep it secure, Additionally, privacy and security have become increasing concerns for internet users, not least with increased government monitoring and corporate collection of user data, and a long string of well-publicized hack atta

危険そうなリンクには今までより警戒したほうがいいかも。 Linuxには約3年ほど見過ごされてきたバグがあり、機器のほぼ全てを乗っ取られてしまう危険性があるとセキュリティ研究者が警告しています。このバグが影響すると考えられるのは、数百万、数千万台にも及ぶコンピューターとサーバー、そして66%のAndroidスマートフォンとタブレットです。 Perception Pointによると、新しく発見されたバグ｢CVE-2016-0728｣は、Linuxのキーリングに存在します。これはセキュリティデータや認証キー、暗号化キーなどの保存に使われるもので、普通のアプリでは簡単に使用できません。しかしPerception Pointのチームはバグを発見し、それを元に概念実証用のアタックを作り上げ、一時的にメモリに保管されているキーリングの中の物を自分のコードとすり替える事に成功しました。 すり替えられたコー