タグ

securityに関するovertechのブックマーク (57)

  • マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰 

    マルウェアの不正通信をDNSレベルで遮断、総務省・ISP事業者らによる「ACTIVE」が対策に本腰 
  • Critical 0-day Remote Command Execution Vulnerability in Joomla

    Critical 0-day Remote Command Execution Vulnerability in Joomla Nov 2016 Update: If you need to clean your hacked Joomla site, we have released a new free guide to show you how to identify and remove hacks. Read the Guide! The Joomla security team have just released a new version of Joomla to patch a critical remote command execution vulnerability that affects all versions from 1.5 to 3.4. This is

    Critical 0-day Remote Command Execution Vulnerability in Joomla
  • Linux "GHOST" Vulnerability Hits Glibc Systems - Phoronix

    Linux "GHOST" Vulnerability Hits Glibc Systems Written by Michael Larabel in GNU on 27 January 2015 at 03:38 PM EST. 49 Comments The latest high-profile security vulnerability affecting Linux systems us within Glibc, the GNU C Library. Qualys Inc emailed in the details this morning to Phoronix as part of their press release and today making the details public on this vulnerability that's dubbed "G

    Linux "GHOST" Vulnerability Hits Glibc Systems - Phoronix
  • Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

    シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090

    overtech
    overtech 2013/09/03
    この問題は知らなかった。まだまだ勉強が足らんなー。
  • FreeBSD.orgがクラックされる:Geekなぺーじ

    11月17日付けで、FreeBSD.orgをのクラスタを構成する機器が侵入されたことが公表されています。 発見は、11月11日で、9月19日から侵入されていた可能性があるようです。 FreeBSD.org: FreeBSD.org intrusion announced November 17th 2012 侵入経路は、機器にアカウントを持つユーザのSSH鍵がリークしてしまったことと書かれています。 現時点では、侵入の痕跡はFreeBSD体ではなく、サードパーティのパッケージシステムを扱うサーバのみで発見されているようです。 そのため、体は影響を受けていないと推測されるものの、パッケージシステムの一部が変更されてしまった可能性を考慮して調査が続けられているとあります。 ユーザへの影響という項目では、9月19日から11月11日の間にインストールされたパッケージの信頼性は保証できないことが

  • History repeats itself. バンプキーの作り方、バンプキーを作ってみた。

    この前、南京錠って針金で開けられるんじゃね?とか思ってやってみたら安物だったせいか1分かからず解錠出来てしまった。他にも頑張ればできそうだなとか思って自転車の鍵などを試してみて意外と簡単に開けられることがわかった。いろいろ解錠方法を調べているうちにバンピングといる手法に出会った。 バンプキー(bumpkey,bump key)は、鍵を使わずにシリンダー錠、とりわけピンシリンダー錠を開けるために用いられる特殊加工したキーである。 このバンプキーを用いて開錠する方法をバンピング(bumping)と言う。ピッキング、カム送り解錠、サムターン回し、カギ穴破壊といった鍵を使わずに錠前を開けるために、仕事(錠前師)あるいは不正(犯罪)に用いられて来た代表的な開錠手法に続く新たな手法を指す。 この手法を用いれば、古典的なピンシリンダーは原理的に全て開錠可能となる。その開錠操作には、熟練した技術や特殊工具

  • iPhoneをパソコンの隣に置くだけでパスワードが盗み取られる?新時代のキーロガーが開発される : らばQ

    iPhoneをパソコンの隣に置くだけでパスワードが盗み取られる?新時代のキーロガーが開発される 「キーロガー」とは、パソコン等のキー入力を監視するソフトウェアやハードウェアのことを指しますが、近年ではパスワード等の入力情報を盗み出すなど、悪用される事例も増えているようです。 ところがジョージア工科大学が、最近のスマートフォンをただパソコンの横に置くだけで、キー入力を読み取ることのできる技術を開発したと発表し、注目を集めています。 アメリカ・ジョージア工科大学の研究チームによると、当初はマイクを使ってキーボード入力時に発生する振動音をキャッチしていましたが、精度が低いなど読み取りは難しかったとのことです。 しかしiPhone4から搭載されたジャイロスコープの加速度センサーを利用することでノイズの除去に成功、58000語の辞書を利用することで、すでに最大80%の精度を達成しているそうです。 も

    iPhoneをパソコンの隣に置くだけでパスワードが盗み取られる?新時代のキーロガーが開発される : らばQ
  • 証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン

    平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 一連の認証局への不正アクセスの実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました。 声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。 なお、現在ご利用中の証明書は引き続きご利用いただけます。お客様側での特別な作業は必要ございません。また、現段階において不正アクセスによる具体的な被害は見つかっておりません。 現状、証明書発行業務復旧の目途は立っておりません。証明書発行業務の復旧の目処等、件に関する追加の情報については、サイトにてお知らせいたします。 ご利用のお客様には大変なご迷惑をお掛けいたしますこと

    証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン
  • サーモグラフィーで暗証番号を盗む手法に関する一考察 | スラド セキュリティ

    カリフォルニア大学サンディエゴ校の研究者が暗証番号を入力したキーパッドに残った熱をサーモグラフィーで読み取ることで暗証番号を盗み取る手法を検証した (Naked Security の記事、家 /. 記事、論文 PDFより) 。 21 人のボランティアを対象として 27 種類のランダムな暗証番号を入力してもらい、指が接触した後の余熱を熱探知カメラを用いて計測する。実験はプラスチック製のキーと金属製のキーとで行われた。金属製のキーでは押されたキーを追跡できるほどの余熱を計測することはできなかったが、プラスチック製のキーの場合、触れたあと 10 秒以内であれば 80 % の確率で暗証番号を特定することができ、45 秒後であっても 60 % の確率で特定することができたという。 熱探知カメラはまだまだ高価であるが、利用時の設置も隠蔽も簡単に行えるため、その見返りを考えればこの手法が利用される余地

  • 研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ

    文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-06-15 12:17 侵入テスト用LinuxディストリビューションのBackTrackを配布しているRemote-Exploit.orgの研究者が、最近オープンソースの無線キーボードスニファー「Keykeriki」を公開した。このソフトウェアは、Microsoftの27MHzを使用するキーボードへの入力に対し、XOR暗号をリアルタイムで復号化しながら、スニフィングとデコードを行うことができる。 彼らの無線キーボードのスニフィングは、1年半前に同グループが発表した研究論文に基づく概念実証だ。 無線キーボードの安全性の欠如について書いたホワイトペーパー「27Mhz Wireless Keyboard Analysis Report」の発表から1.5年経った今、われわれはここに汎用無線

    研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ
    overtech
    overtech 2009/06/16
    ソフト・ハードとも公開されているので注意。家で使ってるキーボードが該当する。50ストローク程度で解読できるってのはびっくり。XOR暗号だそうな。狭い部屋やデスクでは、ワイヤレスデバイスが断然便利なんだけども
  • 「60m離れて撮影した写真」から合鍵を作るソフトウェア | WIRED VISION

    「60m離れて撮影した写真」から合鍵を作るソフトウェア 2008年11月 4日 ハッキング コメント: トラックバック (0) Brian X. Chen Photo: UCSD 鍵の写真さえあれば、他人のアパートのドアを開けることができる新技術を、カリフォルニア大学サンディエゴ校(UCSD)のコンピューター科学者たちが開発した。 Stefan Savage教授(コンピューター科学)が指導する学生グループが開発したのは、鍵の写真を解析するだけで、そこから合鍵を作れるというコンピューター・プログラムだ。UCSDのJacobs School of Engineeringの発表によると、鍵の山谷の1つ1つが数値コードと関連づけられ、その鍵が対応する錠前の開け方を完全に記述しているのだという。 学生グループは、米計算機学会(ACM)のコンピューター・セキュリティ会議『Conference on C

  • ロンドンに「耐爆型ゴミ箱」が登場 | WIRED VISION

    ロンドンに「耐爆型ゴミ箱」が登場 2008年11月 4日 環境 コメント: トラックバック (0) Brian X. Chen Image: Media Medtrica ロンドンの各所に設置されることになった新しい耐爆型のゴミ箱は、街の治安問題だけでなく、環境問題も解決してくれるだろう。 『Times』紙オンライン版の記事によると、爆発の熱を緩和するよう設計されたこの頑丈なゴミ箱は、普通ゴミと資源ゴミを分別収集する。また、全天候型の液晶スクリーンに、最新ニュースや交通情報を表示できるという。 ロンドン市では2009年にこの耐爆ゴミ箱を、市内各所に数百個単位で設置する計画だ。『Renew』という名前のこのゴミ箱は、新興企業の英Media Metrica社の製品で、1個の価格は約500万円という。 1991年にロンドンでアイルランド共和軍(IRA)による爆破事件が相次いで以来、爆発物を仕掛け

    overtech
    overtech 2008/11/04
    ゴミ箱置けば爆弾仕込まれ、ゴミ箱撤去したら街中のゴミに悩まされた末の答えが、耐爆ゴミ箱かぁ。大変そうだなぁ。
  • 発信元割り出し困難、「IP電話」で振り込み詐欺 : 社会 : YOMIURI ONLINE(読売新聞)

    新潟県警に逮捕された東京都内の振り込め詐欺グループが、携帯電話より相手に信用されるとして、「03」で始まる番号を通知できるIP電話で被害者に接触していたことが、捜査関係者の話でわかった。 警察庁によると、振り込め詐欺事件で犯人グループが使う通信手段は、架空名義やレンタルの携帯電話が主流。同庁では「IP電話を悪用した事件の検挙は聞いたことがない。警戒が必要だ」と話している。 逮捕されたのは、東京都大田区大森西、自称自営業原充博容疑者(30)ら6人。県警の発表によると、6人は今月上旬、大田区内のマンションから新潟県十日町市に住む女性に電話をかけ、融資保証金名目で3万1250円をだまし取った疑い。県警は、押収した帳簿から昨年11月から今年10月に逮捕されるまで約1億円を稼いでいたとみている。 捜査関係者によると、グループがIP電話を使うようになったのは今年8月から。拠点が割り出されないように都内

  • キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

    overtech
    overtech 2008/10/21
    ディスプレイの電磁波は、昔から言われてたよねーと思ったら、記事にも書いてあった。それにしても、発想や実装する技術が凄いなぁ。
  • WEPは一瞬で解読――ニンテンドーDSはどうなる

    無線LANで使われている暗号方式・WEPを「一瞬で解読する」という方法を考案・実証したと神戸大学と広島大学の研究者グループが発表した。国内で2000万台以上普及している「ニンテンドーDS」の無線LAN通信機能はWEPにしか対応しておらず、セキュリティが不安視されている。 DSの通信機能を利用する場合、無線LANアクセスポイント(AP)のセキュリティ設定をWEPにする必要がある。同じAPをPCと共用してれば、PCとの無線通信も自動的にWEPになることが多く、WEPが解読されるとPCとの通信も解読されてしまう。また、ネットワークに“ただ乗り”され、サイバー攻撃の踏み台に使われる恐れもある。 任天堂はこういったリスクについてどう考えているのだろうか。同社広報室は「WEPのぜい弱性は以前から指摘されていた」とし、新機種「ニンテンドーDSi」ではより強固な暗号方式・WPAを採用したと説明する。ただ「

    WEPは一瞬で解読――ニンテンドーDSはどうなる
  • DNSキャッシュポイズニングの脆弱性、届出が急増、IPAまとめ

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

  • TCPにウェブサイトを危険にさらす脆弱性--スウェーデンの研究者が発見

    スウェーデンの2人の研究者が、悪用されると大規模なサービス拒否攻撃につながる可能性があるTCPの脆弱性を複数発見した。今のところ回避方法はなく、修正プログラムも提供されていない。 TCPスタックでは、どのコンピュータがネットワークで通信できるかを決めるルールが定義される。Outpost24の最高セキュリティ責任者(CSO)であるRobert E. Lee氏はCNET Newsに対し、「私たちが話し合っているベンダーはこの脅威を深刻に受け止めているようだ」と述べた。 Lee氏と主任セキュリティ研究員であるJack Louis氏が作成した「UnicornScan」という名前のポートスキャナを使ったテストで、脆弱性が発見された。このツールは、Outpost24での脆弱性評価および侵入テストに使われている。Lee氏はスウェーデン語のポッドキャストで、ルールでは、ポートスキャンが短時間で終わらない場

    TCPにウェブサイトを危険にさらす脆弱性--スウェーデンの研究者が発見
    overtech
    overtech 2008/10/06
    読みにくい訳だなぁ。原文や他の記事を読んだほうがいいかも。
  • Expired

    Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたのでサーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。

  • 加藤電機、PHSを使った盗難車両追跡システム

    加藤電機は、PHS通信モジュール内蔵の盗難車両追跡システム「STEALTH TARACKING SYSTEM」(STS)の販売を開始した。 STSは、車両の位置情報を携帯電話やパソコンで検索できるサービス。端末の大きさは35×58×14.4mm、重さは約31g。充電式(連続動作時間は約250時間)となるため配線が不要で、盗難された場合も犯人が端末を見つけにくいとしている。 位置検索にはウィルコムPHS網が利用される。通常検索のほかに、オプションとして指定のエリアから車両が移動すると登録先に通知するサービスや、盗難車の足取りを最大50カ所まで追跡し、逃走経路を地図上に表示するサービスなども用意される。 基利用料は月額735円で、前述のオプションサービスの利用料はそれぞれ月額105円。このほか検索する都度料金がかかる。なお、プリペイド式のポイントを購入して検索も行える。端末はレンタル方式とな

  • 「鏡で日光を集中させてローマ軍船を炎上」を再現する実験:3回目の挑戦 | WIRED VISION

    「鏡で日光を集中させてローマ軍船を炎上」を再現する実験:3回目の挑戦 2008年7月24日 サイエンス・テクノロジー コメント: トラックバック (0) Kathy Ceceri 数年前、私は奇妙なメッセージが刻まれた棒切れを自宅の庭周辺で見つけるようになった。そのメッセージは、木に直接焼き付けたように見えた。 後に、その見慣れない言葉は、[デンマークLego社の玩具シリーズ]『バイオニクル』世界の神聖な名前であり、そしてその棒切れは、私の息子が友人から虫眼鏡で物に火をつける方法を教わり、実際に試してみたものだったことがわかった。 息子が新しく見つけた表現方法について(息子から「アリが焼けるような」臭いがすると聞いたときは疑わしく思ったが)、私はいくつかの条件を付けた上で、十分注意するのなら今後も実験を続けることを許した。 ついでに、息子のメッセージスティック[アボリジニの通信手段]を、太

    overtech
    overtech 2008/07/24
    太陽炉とかヘリオスタットは素敵ですなぁ。