DevSecOpsは具体的にどうする? 開発チームとセキュリティ部署の関係は?――Snyk創業者の提言
DevSecOpsは具体的にどうする? 開発チームとセキュリティ部署の関係は?――Snyk創業者の提言:「セキュリティ部署は変わる必要がある」(1/2 ページ) DevSepOpsを具体的にどうやるか。開発者がセキュリティに関与することで開発スピードが低下するなら本末転倒だ。また、セキュリティ担当部署の役割はどうなるのか。Snykの創業者、ガイ・ポジャーニー氏にインタビューした。 DevSecOpsで、具体的に誰が何をどうやるべきなのかについてはイメージがしにくい。 開発チームはセキュリティについて、どういった責任を持つのか。作業の負荷をどう軽減できるのか。開発チームとセキュリティ部署はどのように役割分担をすべきなのか。セキュリティガバナンスについてはどうすべきなのかなど、考えるべきことは多い。 本記事では、Snyk(スニーク)創業者のガイ・ポジャーニー(Guy Podjarny)氏へのD
PHPのbasename関数でマルチバイトのファイル名を用いる場合の注意
まずは以下のサンプルをご覧ください。サーバーはWindowsで、内部・外部の文字エンコーディングはUTF-8です。UTF-8のファイル名を外部から受け取り、Windowsなのでファイル名をShift_JISに変換してファイルを読み込んでいます。basename関数を通すことにより、ディレクトリトラバーサル対策を施しています。 <?php header('Content-Type: text/plain; charset=UTF-8'); $file_utf8 = basename($_GET['file']); $file_sjis = mb_convert_encoding($file_utf8, 'cp932', 'UTF-8'); $path = './data/' . $file_sjis; var_dump($path); readfile($path); しかし、ディレクトリト
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
NICT、暗号プロトコルの安全性評価結果をポータルサイトで公開
情報通信研究機構(NICT)は2013年7月2日、国際規格ISO/IEC 29128に沿った暗号プロトコル評価ツールによる評価結果をとりまとめたポータルサイトを開設した。これは、認証やプライバシー保護に用いられる暗号プロトコルの安全性に関し、中立的な立場で評価し、その評価結果をICTシステムの安全な設計に役立てるための取り組みの一環とされる。 安全なICTシステムを実現するためには、システムで用いられている暗号プロトコルの安全性について設計上の問題の有無を評価し、安全性が確認されたプロトコルを使うための情報を共有するとともに、国際標準候補のプロトコルについては、その安全性を評価・確認する必要がある。しかし、世界的にも、暗号プロトコルの評価を実施して評価結果を集約した形で公開している中立的な機関はなく、大きな課題となっていた。 NICTでは、2011年に暗号プロトコル評価の基準を定める国際規
QRコードを物理的に乗っ取ってマルウェア配布に使う攻撃が増加 | スラド セキュリティ
携帯電話を使ってスキャンするだけでウェブサイトに移動できるという手軽さで多用されているQRコードだが、これを利用した新たなマルウェア配布方法が増えてきたそうだ(Help Net Securitiy、本家/.)。 QRコードを使った攻撃は以前からあったが(QRコードを利用した攻撃に注意、QRコードを使ったフィッシングに気をつけろ!)、最近目立っているのが既存のQRコードの上に不正なQRコードを貼り付けることで不正サイトへ誘導するというもの。街の中心部や空港など人が多く集まる場所がターゲットとなっており、広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されているという。 QRコードだけから不正なものかどうかを見分けるのは難しく、スキャンしてしまった人を簡単にフィッシングサイトや悪意あるサイトのURLへ誘導することが可能とのこと。 身を守るには、開く前
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
Android Market、マルウェア検出でアプリの自動スキャンを導入
Googleは米国時間2月2日、「Android Market」から悪質なアプリケーションを排除することを目的とした自動スキャンプロセスを追加したと発表した。 「Android」チームのエンジニアリング担当バイスプレジデントを務めるHiroshi Lockheimer氏は2日午前、新サービスは「Bouncer」という開発コード名で、アプリケーション中に既知のマルウェア、スパイウェア、トロイの木馬が存在しないかスキャンし、疑わしい動きを検出してこれまでに分析済みのアプリケーションと比較する、と米CNETとのインタビューで述べた。 その後、すべてのアプリケーションをGoogleのクラウドインフラストラクチャ上で実行し、そのソフトウェアがAndroid端末上でどのように動作するかをシミュレーションすると同氏は述べた。既存のアプリケーションも継続的に分析されるという。 「同システムは、アップロード
暗号技術「CLEFIA(クレフィア)」が国際標準規格に採択
報道資料 ここに掲載されている情報は、発表日現在の情報です。 検索日と情報が異なる可能性がございますので、 あらかじめご了承ください。 2012年1月26日 暗号技術「CLEFIA(クレフィア)」が国際標準規格に採択 ソニー株式会社(以下、ソニー)は、2007年に開発発表しました共通鍵ブロック暗号アルゴリズム「CLEFIA(クレフィア)」について、ISO/IEC(※1)への標準化提案を進めてまいりました。このたびISO/IECでの最終承認を経て、「CLEFIA」が軽量暗号(Lightweight Cryptography)の国際標準規格ISO/IEC 29192(※2)の一つとして採択されました。 近年、多種多様な機器のネットワーク接続の増加により、お客様の安全なネットワーク利用を支える情報セキュリティ技術が不可欠となっています。なかでも、ハードウェア規模やメモリ等のリソースが限られた機器
Linuxカーネルに権限昇格の脆弱性、Androidにも影響か
この脆弱性を突いたコンセプト実証コードが公開され、それを使ったAndroidのエクスプロイトも報告されている。 Linuxカーネルに権限昇格の脆弱性が発覚し、修正のためのパッチがリリースされた。この脆弱性を突くコンセプト実証コードも公開され、LinuxをベースとしたGoogleのスマートフォンOS、Androidなども影響を受ける恐れが指摘されている。 セキュリティ企業のSecuniaによると、脆弱性はLinuxカーネル2.6.xに存在する。「/proc//mem」ファイルへのアクセスが適切に制限されていないことに起因するとされ、悪用された場合、ローカルのユーザーが権限を昇格できてしまう恐れがあるという。 この問題に対処するため、Linux創始者のリーナス・トーバルズ氏は1月17日にパッチを公開。これを受けてRed HatなどのLinuxディストリビューター各社がカーネルアップデートをリリ
出先のPCなどでグーグルアカウントに安全にログインする方法
出先などでやむを得ずMac/PCを借りて作業をすることがあるかもしれません。 そんなときに、Gmailをはじめとするグーグルのサービスへ、より安全にログインする方法が紹介されていました。[source: Google Operating System ] 【追記】この認証方法は、グーグルが実験として公開していたもので、現在は利用できないようです。 この方法は、Googleが提供するQRコードとiPhone(またはAndroid)を組み合わせてログイン(認証)を行うというものです。 使用するPC/Mac上でアカウント名・パスワードの入力を行わないため、キーロガー(キー入力を保存するソフト)による、アカウント情報の漏洩を防ぐことができます。 ログインの手順は次のとおり。 QRコードでグーグルアカウントにログインする方法 準備 QRコードを読み取る必要があるので、事前にiPhoneにQRコードに
マルウェアは「巧妙にかいくぐるテクニック」を磨き続ける - @IT
2011/12/28 ラックは12月16日、2011年の情報セキュリティをめぐる状況を総括する説明会を開催した。この中で取り上げた2つのマルウェアは、2012年以降の脅威を探る上でも、示唆に富んだ性質を持っている。 1つは同社が「Chimera Attack(キメラ・アタック)」というコードネームで呼んでいる攻撃手法だ。防衛産業や化学メーカーなど数社で攻撃が確認された、標的型攻撃の一種という。 ターゲットに狙いを絞ってマルウェアに感染させ、情報を盗み取るという動きは標的型攻撃の常套手段。ただキメラ・アタックは、フィルタリングをかいくぐるために国内のサーバを悪用したり、情報を盗み取っていることを気取られないよう画像ファイルを偽装したりと、「より巧妙になっている」(同社 コンピュータセキュリティ研究所 岩井博樹氏)ことが特徴だ。 これまでに報じられた標的型攻撃の多くは、電子メールの添付ファイル
企業を狙う標的型攻撃――その手口と抜本的な対策とは(1/2) - @IT
プライベートのみならず、仕事においても、FacebookやTwitterといったソーシャルネットワーキングサービスを使うのが当たり前になってきたが、それに伴い、新たなリスクが生まれている。この連載では、新しいアプリケーションとうまく付き合いながら、脅威に対策する方法を探る。(編集部) 前回まで、アプリケーション識別および制御技術について紹介してきた。これらは企業のセキュリティ対策にどれだけ効果を発揮するのだろうか。 今回取り上げるのは、最近メディアをにぎわせている日本版APT(Advanced Persistent Threat)攻撃、いわゆる「標的型攻撃」だ。ソーシャルアプリ時代のセキュリティを考える上で避けて通ることのできない標的型攻撃の被害を、どのようにして食い止めることができるのか、具体的な例を交えながら考えてみよう。 日本企業も狙われた“標的型攻撃” 2010年1月12日、Goo
グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難
UPDATE Googleでオープンソースソフトウェアの取り組みの責任者を務める人物が、Googleの「Android」OSなどを対象とした携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難した。 GoogleのオープンソースプログラムマネージャーChris DiBona氏は、オープンソースソフトウェアのセキュリティに関する報道を手厳しく批判している。オープンソースソフトウェアは、Androidだけでなく、 Appleの「iOS」にも使用されている。同氏は、Android、iOS、およびResearch in Motionの「BlackBerry」OSにはアンチウイルスソフトウェアは必要ないと主張した。 DiBona氏はGoogle+で、「ウイルス企業はユーザーの不安をかき立てて、Android、RIM、iOS用のくだらない保護ソフトウェアを売ろうとし
今日こそわかる、安全なWebアプリの作り方2010
Internet Week 2010 S3 今日こそわかる、安全なWebアプリの作り方2010 http://www.nic.ad.jp/iw2010/program/s3/ Read less
遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! - 適宜覚書-Fragments
遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! Googleアカウントは、Googleのサービスを使う上でとても重要です。各種のサービスの利用設定はもとより、そこで蓄積したデータの管理はアカウントに紐づけられています。これは裏を返せば、アカウントの認証情報を取られてしまうと被害が甚大となります。Google側としてもこれを認識してユーザに認証情報を保護するよう啓蒙してきました。 でも、それには限界があって詐取に対する有効な手段として、今年2月に2段階認証プロセスが採用されました。日本語版も7月末に公開されたものの携帯電話でのコード受信が利用出来ず形だけのものとなっていました。恐らくは12月上旬ひっそりですが、とうとうこの機能が利用可能になりましたので導入プロセスを以下に紹介します。 【重要】
攻撃は「アクセスネットワーク」で防げ――ハンドリームネット - @IT
2011/12/13 韓国のハンドリームネットと、その販売代理店を務めるネットワールドは、標的型攻撃の被害が報じられていることを受け、企業アクセスネットワークのセキュリティ強化を呼び掛けている。 ハンドリームネット日本法人の代表取締役社長を務める朴明浩氏は、「企業は、多重対策をしてこなかったわけではない。ファイアウォールやUTMを導入して外からの脅威に備えているし、クライアントにもウイルス対策ソフトやログ管理ソフトなどを導入している。さらに、暗号化や不正接続防止機能なども備え、これ以上導入できないというところまで対策をしている。にもかかわらず、最近の巧妙化した攻撃を100%防ぐことはできない」と述べた。 事実、最近の標的型攻撃は、被害者に近い人物になりすましたメールをやり取りして、疑いを持たせないような形で添付ファイルを開かせ、感染させる手口を取っている。こうなると、感染を100%防ぐこと
Google、不正アプリ27本をAndroidマーケットから削除 | スラド セキュリティ
コンテンツ課金の可能なプレミアムSMSを秘かに送信するマルウェアが公式のAndroidマーケットで発見され、報告を受けたGoogleが計27本の不正アプリを削除する事態となった( The Lookout Blogの記事、 BBC Newsの記事、 Symantecのセキュリティ情報)。 このマルウェアは米Lookoutが発見したもので、「RuFraud」と名付けられている。ヨーロッパのユーザーを主なターゲットにしており、初回起動時に表示される確認画面でユーザーが承認ボタンをタップするとプレミアムSMSが秘かに送信されるとのこと。アプリ自体は既存のアプリを再パッケージ化したもので、Angry Birdsのような超有名アプリも含まれる。Lookoutによれば、同様のマルウェアは数ヶ月前から非公式のアプリストアやファイル共有サービスでの配布が確認されていたそうだ。先週から公式のAndroidマー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://dblp.uni-trier.de/db/conf/crypto/
まとめよう、あつまろう - Togetter
