Kaspersky Labが特許侵害で同社を訴えたパテントトロールWetro Lanに対し、訴訟を取り下げたいなら金を支払えと逆に要求。5千ドルを支払わせたそうだ(Nota Beneの記事、 Ars Technicaの記事、 The Registerの記事)。 問題の特許US Patent 6,795,918(918特許)は受信したデータパケットから送信元や宛先、プロトコル情報を抽出してユーザーの変更不可能な判定ブロックを生成し、フィルタリングに使用するというもの。これは出願された2000年には既に広く使われていたネットワークファイアーウォールの仕組みそのもので、EFFが2015年6月にStupid Patent of the Monthに選んでいる。918特許は発明者が維持費の支払いをやめ、2012年9月に失効しているのだが、2015年に設立されたばかりのWetro Lanが買収。特許侵

8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事、 V3の記事、 The Vergeの記事、 The Guardianの記事)。 ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。 この件について、ジュリアン・アサンジ氏やWikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイー

英国・ロンドン警視庁では、組織内のパソコンの大半にあたる27,000台で現在もWindows XPが稼働しており、Microsoftとのカスタムサポート契約を結んで使用しているという(V3.co.uk、Register、Inquirer、Softpedia）。 ロンドン警視庁では2015年5月の段階で35,640台のパソコンのうち、Windows XPマシンが34,920台を占めており、2016年3月までにWindows 8.1への移行を完了する計画だった。しかし、現在までに移行が完了したのは8,000台にとどまり、さらに6,000台を9月末までに移行する予定だという。 ロンドン議会議員のAndrew Boff氏は、古いOSを使い続けることへの強い懸念を示す一方で、アップグレード先にWindows 8.1を選んだことにも疑問を呈す。Windows 8.1は最も広く使われているバージョンでも

これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、 論文: PDF、 The Registerの記事)。 研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5～2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使

Androidに「On-body detection」という新しいロック機能が搭載される模様。これは端末の加速度センサを利用し、デバイスを置くと自動的にロックされるというもので、デバイスを手にしている間やポケットに入れている間はロックがかからないという。これによってロック解除用のパスコードを毎回入力する手間を省けるという（ITWorld、CNET、Slashdot）。 ただし、手にしたのが持ち主であることを検知するわけではなく、ロックされたデバイスを手に持っても解除はされない。また、ロックが解除された状態でデバイスを他の人に手渡した場合はロックされないとしている。

イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

iPhone 5sには指紋認証センサーが搭載されているが、映画のように切断した指を使っても認証は突破できないことが判明した。GigazineによるとiPhone 5sのTouch IDに使用されている指紋センサーは無線周波数を使用して皮膚の表皮下まで検知する仕組みだという。このため、指は生きている体とつながっていなければ反応しないとのこと（GIGAZINE、Mashable）。 記事では今後、Appleが安全な製品を流通させることで「指を切り取っても物理的なハッキングに対して効果がない」という認識が広がることが大切だとまとめている。

ノースカロライナ大学、ウィスコンシン大学、RSA Security からなる研究グループはサイドチャネル攻撃を使って仮想マシンから暗号鍵を盗む手段を発見した模様 (threatpost の記事、本家 /. 記事、doi: 10.1145/2382196.2382230、論文 PDF より) 。 今までのサイドチャネル攻撃は、暗号機能付きの IC カードのようなハードウェアの消費電力を観測することでハッキングを行うもので、仮想マシンのようなものは対象外だった。ハッカーは攻撃の対象となる仮想マシンと同じ物理 PC にハッキング用の仮想マシンを置く。二つの仮想マシンはお互いを認識していないが、物理ホスト上のハードウェアリソースを共有している。この共有リソースを観察することにより、暗号鍵を入手することができる、とのことだ。

やや旧聞となるが、IEEEのWebサーバーのログが暗号化されない状態で公開されていたため、会員約10万人分のIDとパスワードが漏えいしたそうだ(IEEE logの記事、 IEEEのニュースリリース、 Computerworldの記事、 本家/.)。 発見者のRadu Dragusin氏によれば、ログはIEEEおよびIEEE SpectrumのWebサイトのもので、パスワードも暗号化されていなかったとのこと。Dragushin氏が発見したのは9月18日だが、少なくとも1か月前からこの状態だったと考えられるという。パスワードが漏えいしたユーザーの中には、Apple、Google、IBM、Oracle、Samsungの社員や、NASA、スタンフォード大の研究者なども含まれているそうだ。IEEEは25日までに対策を行い、ユーザーにパスワード変更を呼び掛けている。 Dragushin氏は入手したデー

ストーリー by hayakawa 2009年03月25日 11時09分 Microsoft Public License(Ms-PL)で公開されています 部門より 本家/.記事によると、カナダのバンクーバーで開催された「CanSecWest」というセキュリティカンファレンスにて、マイクロソフトがオープンソースなセキュリティ診断ツール「!exploitable Crash Analyzer（バング・エクスプロイタブル・クラッシュ・アナライザー）」を発表した。 今月20日にリリースされたこのツールはまだ開発段階にあるが、その名の通り悪用される（exploitable）恐れやクラッシュ（crash）に繋がる恐れのあるバグをたたき潰す（bang）ために分析と診断を行うものとのこと。マイクロソフトはサードパーティによるアプリケーション開発の活性化を推進しており、脆弱性の特定プロセスを効率化するとい

すっかりシリーズ化した感のある the Month of hogehoge Bugs だが、今月は『the Month of PHP Bugs』が行われている。1日1脆弱性というスタイルはとらないそうで、この文章執筆時点で既に5つが公開されている。yohgaki's blog が日本語訳を公開している。