BloggerGoogle のウェブログ公開ツールを使って、テキスト、写真、動画を共有できます。
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
The tech layoff wave is still going strong in 2024. Following significant workforce reductions in 2022 and 2023, this year has already seen 60,000 job cuts across 254 companies, according to independent layoffs tracker Layoffs.fyi. Companies like Tesla, Amazon, Google, TikTok, Snap and Microsoft have conducted sizable layoffs in the…
OpenSSH 情報 - [Security][OpenSSH] SSHプロトコルに平文を回復できる脆弱性
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
AVGがWindows XPのシステムファイルをウィルスと誤認識する不具合 | スラド
アンチウィルスソフトウェアのAVGが、誤ってWindows XPのシステムファイル(user32.dll)をウィルスと認識し、隔離・削除してしまい、XPが起動できなくなる問題が発生している(ITmedia・本家/.記事より) AVGはソフトウェアアップデートを提供するとともに、起動できなきくなった場合に「WindowsをCDからブートして該当ファイル(user32.dll)を復旧する方法」を同社サイトのインフォメーションで告知している。しかし起動できなくなってからではサイトはもちろん見られないだろうし、またCDからブートなどしたことのない一般ユーザには敷居の高い復旧作業になると思われ、かなり致命的なバグと言えるだろう。 AVGは個人ユーザ向けに無償で提供されていることから人気があり、世界で8000万人のユーザがいるとのこと。
WPA1は簡単に破られ,NICも乗っ取られる
セキュリティのぜい弱性を突く攻撃やフィッシング詐欺などのプロ犯罪に対抗するために,世界各所で毎年開催しているセキュリティ分野の会議がある。その1つが日本で開催する「PacSec」だ。2008年11月12日から東京で開催される「PacSecカンファレンス2008」のために来日した,同会議の主催者であるDragos Ruiu氏に,2008年11月現在のセキュリティの最新トレンドを聞いた。 PacSecは1年ぶりだが,セキュリティ攻撃のトレンドに変化はあるか。 セキュリティにとって1年間はとても長い。私にとって,1年前のことなど忘却の彼方だ。この1年で,トレンドは,まったく変わったと言ってよい。 PacSecに応募されてきた発表論文を見るに,今年は大きく2つの傾向がある。1つは,仮想マシンやFlash/Silverlightなど,Webブラウザまわりの環境を狙った攻撃が目立つ点だ。もう1つは,ラ
Google、Gmailのセキュリティ設定を変更
米Googleは7月24日、Gmail利用時に常にhttpsを利用できる設定オプションを追加した。 https(hypertext transfer protocol security)は、httpにデータ暗号化機能を付け加えたプロトコル。httpsでログインすると送信時に情報が暗号化され、ネットワーク上でメールが盗み見られるリスクが軽減される。 これまでもGmailへのログイン時には毎回httpsが利用されてきたが、ログイン後はユーザーがhttps://mail.google.comをあえて利用しない限り、httpでの接続に切り替えられていた。httpsでの接続だとデータ復号のためメールダウンロードの速度が落ちることを考慮しての設定だったという。 常時httpsを使用するには、Gmailの設定の「全般」タブで「常にhttpsを使用する」を選択すればいい。 同社はすべてのGmailユーザー
「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
SQLインジェクションの仕組み
前回はSQLインジェクションが急に増えた事情を概説した。今回は,SQLインジェクション攻撃の流れをたどってみよう(図1)。ここではユーザーが指定した商品をデータベースから探せるショッピング・サイトを想定している。 改ざんされたサイトにアクセスしてきたエンド・ユーザーは,最終的にマルウエアに感染してしまう。図中のSQLの内容を変更すれば,攻撃者はデータベースを思うがままに操作できる。なお,図中にある「xxx」という文字列は,ユーザーが入力した「デジタル一眼レフカメラ」という文字列を符号化したもの。 最初に,ユーザーがWebページ上で入力した数値や文字列(「xxx」,これはユーザーが入力した文字列「デジタル一眼レフカメラ」をWebブラウザなどのアプリケーションが符号化したもの)は,HTTPリクエストとしてWebサーバー側に送信される。Webサーバーは,リクエストから数値や文字列を取り出して,W
暗号技術に関するe-Learning教材:IPA 独立行政法人 情報処理推進機構
本教材は2012年4月をもってサポートを終了しました。 報告書等を除き本教材のダウンロードも中止しました。 IPA セキュリティセンターでは、暗号技術の普及・啓発を目的に、情報セキュリティシステムにおける役割やその仕組みの基本を習得するための入門的なe-Learning用コンテンツを開発しました。 今回開発したe-Learning用コンテンツに関しては、開発側担当者、調達仕様作成者の自己学習や大学等での専門教育での利用を想定しています。 開発側担当者、調達仕様作成者向けの自己学習は、次のように設定しています。 開発側担当者 セキュリティシステムの設計・開発に必要な、暗号技術に関する知識の習得。 調達仕様から運用上の条件を設定し、適合する暗号技術を選択する技能の習得。 調達仕様作成者 調達仕様作成に必要な暗号技術に関する知識の習得。 調達仕様作成に必要な運用条件を設定する技能の習得。 [大学
JavaScriptインジェクション攻撃
F-Secure「JavaScript Injection Attack」より September 18,2008 Posted by Choon Hong このところJavaScriptインジェクション攻撃が流行している。マルウエア感染を広める有効な手段として,この種の攻撃を活用するマルウエア作者が増えている。 ほんの1年前まで,悪意ある攻撃者が頼りにしていたのは攻撃用Webサイトを指す(電子メール,検索リンク,またはインスタント・メッセージング・ワームの)リンクに人々を誘導する手法だった。今では,JavaScriptインジェクション攻撃を利用し,Webサイトの訪問者をやすやすと「誘拐」してしまう。この攻撃は,いわば闇世界のハッカーたちがマルウエアをまん延させるのに使うアーミーナイフである。 我々が確認したところ,アクセス数の多いWebサイトの多くがJavaScriptインジェクション攻
今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。 - FreeBSDいちゃらぶ日記
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
USBキーで自宅PCをシンクライアント化するサービス提供--日立ソフト
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日立ソフトは7月24日、USBキーを使って自宅PCをシンクライアント化して、社内システムへアクセスできるサービス「在宅勤務向けシンクライアントソリューション」の提供を開始したことを発表した。1人あたり月額1890円となっている。 在宅勤務向けシンクライアントソリューションは、日立ソフトが提供する「SecureOnline統制IT基盤サービス」を利用して、ユーザー企業は新しく設備投資せずにシンクライアント環境を実現するというもの。SecureOnline統制IT基盤サービスは、仮想マシンやOS、各種ミドルウェア、各種ツールからなるIT基盤とその運用を提供するサービスだ。 ネットワーク接続環境をSecureOnlineであらかじめ用意してい
インターネットに重大な脆弱性が見つかる、各社が共同でパッチを作成
エジプト・カイロ(Cairo)のインターネットカフェで、海底ケーブルの損傷でインターネット回線に障害が発生する中、接続を試みる利用客(2008年1月31日撮影、資料写真)。(c)AFP/AMRO MARAGHI 【7月9日 AFP】コンピューター大手各社が、インターネットの基礎にかかわる脆弱(ぜいじゃく)性の解消に乗り出している。ハッカーがこの脆弱性を利用して、ワールドワイドウェブ(World Wide Web、WWW)を乗っ取る恐れもあるという。 この脆弱性を発見したのは、コンピューターセキュリティー会社「IOActive」の研究員ダン・カミンスキー(Dan Kaminsky)氏。約半年前、セキュリティーとは無関係のものを調べていた際、まったく偶然にその脆弱性を発見したという。 この脆弱性は、ドメインネームシステム(Domain Name System、DNS)に関するものだ。DNSはイ
真面目な従業員が知らずにネットワークセキュリティを脅かす5つのパターン
大企業であれ中小企業であれ、適切な管理ポリシーとトレーニングが欠如していると、セキュリティ面で混乱を招きかねない。Untangleのダーク・モリスCTO(最高技術責任者)は、予想される問題とそれを避ける方法についてアドバイスする。 「ウチは中小企業だ。わざわざ当社のネットワークをハッキングしようとする者などいない」 これは間違いだ。 事実、Small Business Technology Instituteが調査した中小企業の56%が、過去12カ月の間に少なくとも1件のセキュリティインシデントを経験している。最近では、大企業を狙うよりも中小企業を攻撃するサイバー犯罪者が増えている。大企業に比べると、中小企業は一般にシステムが脆弱で、総合的なセキュリティソリューションに投資する時間的・経済的な余裕がない場合が多いからだ。 加えて、ハッカーたちは絶えず手口を変え、ネットワークセキュリティ分野
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
第2回セキュアコーディング勉強会まとめ資料公開
2008年05月30日カテゴリの文書一覧PerlのTaintモードについて -- 壱 -- [PDF]ファイル名securecoding_azurestone_2008_05_30最終更新2008-06-09 01:06種類PDF作成者AzureStoneAzureStoneによる問題提起の発表資料です。詳細は、http://securecode.g.hatena.ne.jp/azurestone/20080603/1212156333 こちらをご覧下さい。 RealVNCから学ぶローカライズのセキュアコーディング [ PDF ]ファイル名securecoding_localize_2008_05_30最終更新2008-06-07 11:50種類PDF作成者AzureStone参加者(hashyさん)による問題提起の発表資料です。詳細は、http://securecode.g.hatena
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Blogger
グレードアップされた無料アンチウイルスソフトAVG Free2008版がついにリリース! : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア![グレードアップされた無料アンチウイルスソフトAVG Free2008版がついにリリース! : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア](https://cdn-ak-scissors.b.st-hatena.com/image/square/2dcc38c5df0e68a45beeccb3b8264bf842d11f73/height=288;version=1;width=512/https%3A%2F%2Fwww.lifehacker.jp%2Fimages%2Fogp.png)
さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害