Black Hat DC 2008 Media Archives
Black Hat DC 2008 Media Archives Black Hat DC 2008 presentations are listed alphabetically by speaker. Birds of a Feather #1 - CyberCOPS (Not the TV series) Ovie Carroll, Jim Christy, Andy Fried, Ken Privette, SA David Trosch Keynote - Quest for the Holy Grail Jerry Dixon, National Member Alliance's Vice President for Government Relations, Infragard
Microsoft UpdateでのIE 7導入に注意,セキュリティ・ホールが残る危険な状態に
仕事柄,様々な企業からセキュリティに関する相談を受けます。中でも最近特に増えてきたのが『情報漏えい対策』という切り口の相談です。 組織としてセキュリティ対策を考える場合,『情報漏えい対策』は身近でかつ優先順位も高い課題の一つになってきています。例えばウイルス感染に関するインシデントでも,「社内でウイルス感染が発生して多くのシステムが影響を受ける」のと,「社内でウイルス感染が発生し,その結果社外に個人情報や顧客業務情報が漏えいする」のとでは,企業や事業継続(BC:Business Continuity)への脅威という観点で全くインパクトが異なります。 こうしたことから,このコラムでは『情報漏えい対策』にこだわって,現場で発生する悩みや質問,課題を解決するヒントを書いていきたいと考えます。 情報漏えい対策の基本中の基本は,まず個々の機器(クライアントPCやサーバー)のセキュリティ対策を継続的に
8700件のFTPアカウントが盗難、専用ツールで転売も
世界大手企業や政府機関のFTPアカウント情報8700件が盗まれ、専用ツールで悪用・売買されているという。 セキュリティ企業の米Finjanは2月27日、企業などから盗まれたFTPアカウント情報8700件以上を記録したデータベースが見つかったと発表した。 このデータベースには、盗まれたFTPアカウントのユーザーネーム、パスワード、サーバアドレスが記録されていた。中には世界大手企業や政府機関の情報も含まれ、業界は製造、通信、メディア、小売、ITなど多岐にわたるという。 FTP情報を利用すれば、企業のサーバに侵入して悪質コードを挿入し、サイトを訪れたユーザーをマルウェアに感染させることが可能になる。 盗んだ情報を悪用・売買するための専用ツールも開発されているという。このツールは「サービスとしてのソフトウェア」(SaaS)のビジネスモデルを採用。盗んだFTP情報を値踏みしたり、ボタン1つで企業など
携帯電話の盗聴が簡単に?――Black Hatで暗号解除の新技術を披露
オランダで開催中のBlack Hatカンファレンスで、携帯電話間および基地局間の通信に使われている暗号を簡単に解除できる方法が紹介された。セキュリティ企業の米McAfeeが2月27日のブログで伝えた。 McAfeeによると、解除方法が紹介されたのは、米国のGSMネットワークで広く使われているA5/1アルゴリズム。この技術の弱点はこれまでにも指摘されていたが、実際に攻撃を仕掛けるためには相当の手順を踏む必要があった。 しかし、今回披露された方法では30分足らずで暗号を解除でき、「リアルタイム」の暗号解読が可能になる。プレゼンテーションを行ったグループは、暗号を高速解除できるハード製品の販売も計画しているという。この技術が悪用されれば、スパイなどの違法行為が簡単にできてしまうことにもなりかねない。 これとは別に、携帯電話の3Gネットワークに使われているスケジューラ(Proportional F
Somasegar's WebLog - Site Home - MSDN Blogs
Team Foundation Server 2015 Now Available Today, we are making available the final release of Team Foundation Server 2015. Team Foundation... Author: S.Somasegar Date: 08/06/2015 Building Apps for Windows 10 with Visual Studio 2015 Today is an exciting day for Windows users and developers alike with the launch of Windows 10. For... Author: S.Somasegar Date: 07/29/2015 Visual Studio 2015 and .NET 4
「ウェブサイト運営者のための脆弱性対応ガイド」などを公開:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」を含む報告書をとりまとめ、2008年2月28日(木)より、IPAのウェブサイトで公開しました。 本ガイドは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)において、昨年7月から行われた検討の成果です。 IPAでは、IPAから脆弱性に関して通知を行ったウェブサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、昨年9月から本年1月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。 このヒアリングにおいて、一部のウェブサイト運営者は情報システムの脆弱性対策について、ウイルス・不正アクセス対策などの他の情報セ
パスワードの定期変更すべき根拠 - SecuDiary
ockeghemさんのパスワードの定期変更は「神話」なのか?を読んで思ったことを書いてみます。 全体的にパスワードに対する攻撃に対してパスワードを定期的に変更することは効果があまりない。という書き方をされているように感じました。 ブルートフォース攻撃や辞書攻撃に対しては大して意味がないかもしれませんが、パスワードを盗聴されたり、漏洩などで流出した場合についてはパスワードの定期的な変更によって防ぐことが出来る場合があるので意味があると思います。 システムアカウントにしても、アプリケーションのユーザIDにしても、必要なユーザの数だけ登録しますが、実際用意した分全部が常に使われているかというと、そうでもないことが多いと思います。 セキュリティ上で、使われていない休眠アカウントをいつまでも使える状態にしておくことは良くないので、90日ごとにパスワードを変更しないユーザ(あまりシステムを利用しないユ
コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
NGNとIPv6インターネットは併用できないって知ってました?:ITpro
2008年3月末,NTT東西地域会社は,いよいよNGN(Next Generation Network)サービスを開始する。その東西NTTのNGNサービスと,IPv6インターネットが併用できないことをご存知だろうか。 もちろん東西NTTは,NGNでも従来のフレッツと同等のプロバイダとの接続サービスを提供する。プロバイダのIPv6インターネットとも接続できるようになるはずだ。しかし実際にNGNとIPv6インターネットを併用しようとすると,1台のパソコンにNGN用とインターネット用のIPv6アドレスが割り当てられる「IPv6マルチプレフィックス」という現象が発生する。この結果,2つのアドレスの使い分けがうまくいかなくなり,正常に通信できなくなるのだ。 経路と送信元アドレスの選択ができない 1台のパソコンに2つのアドレスが割り当てられることで,どのような問題が発生するのだろうか。大きな問題は2つ
「画像認証」ではアカウントの不正取得を防げない、専門家が指摘
米IBMのセキュリティ部門「インターネットセキュリティシステムズ(ISS)」の責任者の一人であるガンター・オールマン氏は2008年2月25日(米国時間)、同社の公式ブログにおいて、「画像認証(CAPTCHA:キャプチャ)」の現状を解説した。画像認証では、メールアカウントの不正取得などを防げないという。 画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。機械的な読み取りが困難な崩れた文字列の画像を表示し、その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。 無料のメールサービスなどでは、自動化プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。「コメントスパム」対策として導入しているブログサイトもある。コメントスパムとは、自動化プログラムを使って、ブログのコメント欄に商品などの宣伝を手当たり次第に記載する手口のこと。 攻撃
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft ダウンロード センター: Windows、Office、Xbox、その他
2008-02-28