並び順

ブックマーク数

期間指定

  • から
  • まで

41 - 63 件 / 63件

新着順 人気順

Secureの検索結果41 - 63 件 / 63件

  • Fuchsiaオペレーティング・システムで遊ぶ

    Quarkslabのブログより。 新しいFuchsiaオペレーティング・システムの概要 はじめに Fuchsiaは、Googleが開発した新しいオペレーティング・システムで、AArch64とx86_64アーキテクチャをターゲットにしています。このOSの目的と使用場所についてはほとんど分かっていませんが、スマートフォンのAndroidとノートパソコンのChrome OSを置き換えることを目的としているように思われます。 将来的には、何百万ものデバイスで動作する可能性のあるOSに関する知識を得るために、Fuchsiaをざっと見て、内部設計、セキュリティ特性、長所と短所について学び、攻撃する方法を見つけることにしました。 モノリシック・カーネルとマイクロカーネル 今日のカーネル設計の最も一般的な形式は、モノリシック・カーネルです。例えば、LinuxやBSDカーネルはすべてモノリシックで、Linu

      Fuchsiaオペレーティング・システムで遊ぶ
    • Intel製CPUに「消費電力の監視データ」から暗号化キーを解読される脆弱性が判明

      Intel製CPUにコアの消費電力から暗号化されたデータの解読などを行うサイドチャネル攻撃を許す脆弱性「PLATYPUS」が判明しました。一般的なサイドチャネル攻撃のようにオシロスコープを使った消費電力の物理的な測定は必要なく、OSから利用できる「消費電力モニター機能」のみで攻撃が可能だと報告されています。 PLATYPUS: With Great Power comes Great Leakage https://platypusattack.com/ INTEL-SA-00389 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00389.html Intel SGX defeated yet again—this time thanks to on-chip power meter |

        Intel製CPUに「消費電力の監視データ」から暗号化キーを解読される脆弱性が判明
      • 先週の私のMac: macOSの耳の痛い真実

        THE ECLECTIC LIGHT COMPANYより。 macOSをアップグレードするかどうか、またいつアップグレードするかの決めるのは、私たちが直面するより最も難しい選択の1つです。お使いのMacが最新リリースのmacOSを実行できない場合、または互換性のない主要なハードウェアやソフトウェアに依存している場合、その判断はあなた次第です。しかし、私たちの多くは、誤った希望や思い込みではなく、事実に基づいた判断をする以外に、私たちを妨げているものは何もありません。ここで、一般的な認識について少し考えてみたいと思います。 AppleはmacOSを3年間サポートする 数年間から、私はAppleがこの一般的な前提を述べたと思われる文書を探していますが、見つけることができませんでした。ちょうど1年前、私はこれを詳しく調べ、「8年間にわたり、AppleはmacOSのサポートについて、多くの人が信じ

          先週の私のMac: macOSの耳の痛い真実
        • The ZAP Homepage

          Zed Attack Proxy (ZAP) by The world’s most widely used web app scanner. Free and open source. A community based GitHub Top 1000 project that anyone can contribute to. Quick Start Guide Download Now Intro to ZAP If you are new to security testing, then ZAP has you very much in mind. Check out our ZAP in Ten video series to learn more! Automate with ZAP ZAP provides range of options for security aut

            The ZAP Homepage
          • Introduction to Fuzzing

            Basic Fuzzing Training by Ren Kimura CEO of Ricerca Security, Inc.

              Introduction to Fuzzing
            • 「スマホの位置情報の売買」は一大ビジネスと化しており、匿名化されたものからでも簡単に個人を特定することが可能

              「ノルウェーの一部都市だけであっても多数のスマートフォンが位置情報を追跡されており、それは販売されている」と、ノルウェーの公共テレビ・ラジオ局であるNRKが独自調査の内容をまとめています。 Avslørt av mobilen – Norge https://www.nrk.no/norge/xl/avslort-av-mobilen-1.14911685 仕事や幼稚園のお迎え、友人との外食などあらゆるタイミングで、ユーザーはスマートフォンを持ち出します。そのため、位置情報を追跡することで、「この人は何が好きなのか?」という情報を継続的に収集することが可能です。 一部のスマートフォン向けアプリは位置情報へのアクセスを要求しており、これを許可するとアプリはユーザーの位置情報を継続的に収集できるようになります。このデータは非常に貴重なものであり、多くのモバイルアプリ開発者は位置情報を販売するこ

                「スマホの位置情報の売買」は一大ビジネスと化しており、匿名化されたものからでも簡単に個人を特定することが可能
              • Low-Level Software Security for Compiler Developers

                1 Introduction Compilers, assemblers and similar tools generate all the binary code that processors execute. It is no surprise then that these tools play a major role in security analysis and hardening of relevant binary code. Often the only practical way to protect all binaries with a particular security hardening method is to have the compiler do it. And, with software security becoming more and

                • sigstore

                  sign. verify. protect. Make sure your software is what it claims to be.

                    sigstore
                  • 何百万台ものIoT端末に使用されているESP32チップに個人情報窃盗につながる可能性のある隠し機能が存在

                    セキュリティ企業のTarlogic Securityが、数百万台のIoT端末に搭載されているWi-Fi接続・Bluetooth接続用のESP32チップに、個人情報を盗み取る目的で悪用可能な隠し機能があると報告しました。 Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-devices/ この発見は、スペイン・マドリードで開催されたセキュリティカンファレンス「RootedCON」で発表されました。 Tarlogic Securityによると、Bluetooth規格に関する研究を進める中で発見したものだそうです。 問

                      何百万台ものIoT端末に使用されているESP32チップに個人情報窃盗につながる可能性のある隠し機能が存在
                    • ブログ: 私は、エドワード・スノーデンに出会ってから、警戒し続けてきた

                      The Atlanticより。 Story by バートン・ゲルマン 内部告発者から大量の文書の山を受け取った後、私は気が付くと米国政府の監視と調査を受けていました。 バートン・ゲルマンは、The Atlanticの常勤ライターであり、『Dark Mirror: Edward Snowden and the American Surveillance State』と『Angler: The Cheney Vice Presidency』の著者です。 「あなたの時計は正確に何時を示していますか?」電話口で尋ねたのは、エドワード・スノーデンがこれまで声に出して聞いた最初の言葉でした。(それまでのコミュニケーションはすべて、秘密のサーバー上の暗号化された匿名リンクを介した安全なテキストチャットで行われていました。) 私は手首をちらっと見ました — 午後3時22分でした。「いいでしょう。4時ちょう

                      • テスラの車にはネット経由で一斉にリモート操作できる脆弱性があった

                        2017年7月、アメリカ・ロードアイランド州で開催された全米知事協会の会議に参加したイーロン・マスクCEOは、「原理的には、もし誰かが自律運転可能なテスラをすべてハッキングできたら、『ロードアイランドに全部車を送れ』と命じることができるでしょう」と冗談めかしてコメントしました。しかし、技術系ニュースメディアのElectrekによれば、テスラの車を一斉に遠隔操作できる脆弱性が、マスクCEOのコメントから数カ月前に発見されていたそうです。 The Big Tesla Hack: A hacker gained control over the entire fleet, but fortunately he's a good guy - Electrek https://electrek.co/2020/08/27/tesla-hack-control-over-entire-fleet/ テ

                          テスラの車にはネット経由で一斉にリモート操作できる脆弱性があった
                        • How to Yubikey: a configuration cheatsheet

                          This post shows different use cases for a Yubikey. There are also command line examples in a cheatsheet like manner. I’m using a Yubikey 5C on Arch Linux. If you run into issues, try to use a newer version of ykman (part of yubikey-manager package on Arch). Some features depend on the firmware version of the Yubikey. The tooling (like the wording) around the Yubikey is sometimes a bit confusing. I

                          • Google、RustとseL4マイクロカーネルを活用したセキュリティ重視のOSとして「KataOS」を発表

                            Phoronixより。 Googleは今週、アンビエントな機械学習ワークロードを実行する組み込みデバイスに焦点を当てた最新のオペレーティング・システムの取り組みとして、KataOSのリリースを発表しました。KataOSはセキュリティを重視し、Rustプログラミング言語のみを使用し、その基盤としてseL4マイクロカーネルの上に構築されています。 KataOSは、増え続けるスマート デバイスでの使用を想定としており、特に、機械学習アプリケーションを実行する組み込みハードウェアに重点を置いています。業界ではRISC-Vへの関心が高まっていることを考えると、このCPUアーキテクチャはKataOSの主要なサポート対象になっています。Googleのオープンソース・ブログは次のように発表しました。 「この新しいオペレーティング・システムの基盤として、セキュリティを最前線と中心に置いているマイクロカーネル

                            • How a simple Linux kernel memory corruption bug can lead to complete system compromise

                              In this case, reallocating the object as one of those three types didn't seem to me like a nice way forward (although it should be possible to exploit this somehow with some effort, e.g. by using count.counter to corrupt the buf field of seq_file). Also, some systems might be using the slab_nomerge kernel command line flag, which disables this merging behavior. Another approach that I didn't look

                              • Zenbleed

                                If you remove the first word from the string "hello world", what should the result be? This is the story of how we discovered that the answer could be your root password! Introduction All x86-64 CPUs have a set of 128-bit vector registers called the XMM registers. You can never have enough bits, so recent CPUs have extended the width of those registers up to 256-bit and even 512-bits. The 256-bit

                                • MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表

                                  Microsoftが新たなセキュリティチップ「Microsoft Pluton」を開発中だと発表しました。Plutonの開発には、Microsoftのシリコンに関する主要なパートナーであるAMD・Intel・Qualcommが参加しています。 Microsoft Pluton Processor のご紹介 – Windows PC の未来に向けて 設計されたセキュリティチップ - News Center Japan https://news.microsoft.com/ja-jp/2020/11/18/201118-meet-the-microsoft-pluton-processor-the-security-chip-designed-for-the-future-of-windows-pcs/ Meet the Microsoft Pluton processor – The sec

                                    MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表
                                  • Wireshark チュートリアル: Wiresharkワークショップビデオシリーズを公開

                                    This post is also available in: English (英語) 概要 Wiresharkは、ネットワーク内を流れるパケットをキャプチャし、その内容(pcap)を確認するためのツールです。筆者は2018年からさまざまなWiresharkチュートリアルを執筆し、世界中のカンファレンスでワークショップを開き、そこで対面で講師をつとめてきました。これまで筆者が行ったこれらのワークショップは、情報セキュリティ業務にあたる方々がWiresharkを使ってWindowsベースのマルウェア感染トラフィックを確認できるようにすることを目指したものでした。 ただ残念ながら、2020年初頭以降は新型コロナウイルス感染症の拡大による渡航制限で、対面でのワークショップは開催できていません。そこで私たちは、それまで対面で行ってきたワークショップの大半をカバーしたビデオチュートリアルを開発し、

                                      Wireshark チュートリアル: Wiresharkワークショップビデオシリーズを公開
                                    • GitHub Secure Deployments with OIDC を Azure AD で試す

                                      GitHub Secure Deployments with OIDC を Azure AD で試すwatahani23 MinutesOctober 30, 2021 プレビューの時に AWS が対応したと話題だった GitHub ID トークンとか呼ばれてた機能が正式発表された。 GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog ドキュメントを見ると、Azure AD との連携手順もしっかり公開されているので早速試してみた。ついでに az cli でラッピングされているトークン取得の通信も調べてみた。 OverviewGitHub のようなソース管理ツールは、今や CI/CD のプラットフォームとしても拡大している。いわゆる DevOps。GitHub にも多分に漏れず Git

                                        GitHub Secure Deployments with OIDC を Azure AD で試す
                                      • 米サイバーセキュリティ企業、「国家ぐるみ」のハッキング攻撃受けたと - BBCニュース

                                        アメリカのサイバーセキュリティ企業「FireEye」 は8日、最近「高度な技術を持つ脅威アクター」からハッキング攻撃を受けたと明らかにした。国家ぐるみのハッキングだとしている。

                                          米サイバーセキュリティ企業、「国家ぐるみ」のハッキング攻撃受けたと - BBCニュース
                                        • Burp Suite Professional - PortSwigger

                                          Burp Suite ProfessionalTest like a proHands-on security testers need the best tools for the job. Tools you have faith in, and enjoy using all day long. The tools that other professionals trust.

                                            Burp Suite Professional - PortSwigger
                                          • GitHub - tls-attacker/TLS-Scanner: The TLS-Scanner Module from TLS-Attacker

                                            You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                              GitHub - tls-attacker/TLS-Scanner: The TLS-Scanner Module from TLS-Attacker
                                            • OWASP ZAP2.9.0で脆弱性診断をする - 認証機能の設定 - Qiita

                                              Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? この記事について、マニュアルのAuthenticationページを参考にしています。このページを見てわからないことがあれば、マニュアルを参照してください。 公式サイト:https://www.zaproxy.org/ OWASP ZAP Desktop User Guide:https://www.zaproxy.org/docs/desktop/ Authentication:https://www.zaproxy.org/docs/desktop/start/features/authentication/ Getting Star

                                                OWASP ZAP2.9.0で脆弱性診断をする - 認証機能の設定 - Qiita
                                              • GitHub - fabpot/local-php-security-checker: PHP security vulnerabilities checker

                                                You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                  GitHub - fabpot/local-php-security-checker: PHP security vulnerabilities checker

                                                新着記事