Bitcoinウォレットで使われる「Brain wallet」を高速かつ安価にクラックする方法が発見される | スラド セキュリティ
ビットコインでは、「ウォレット(Wallet)」と呼ばれるツールで所有するビットコイン残高を管理するのが一般的だ。ウォレットにはバックアップ等に使われる「Brain wallet」という仕組みがあり、これを利用することで使用しているウォレットツールに万が一アクセスできなくなった場合でも、別のツールなどに情報を引き継ぐことが可能になる。このBrain walletで使われているパスフレーズを、高速かつ安価に解析する方法が発見されたという(SoftPedia、解説論文PDF、Slashdot)。 Brain walletは、任意の文字列(パスフレーズ)から生成された256ビットのハッシュを暗号鍵として使用する仕組み。256ビットのバイナリデータをデジタルデータ以外の形で管理するのは大変だが、文字列であれば管理しやすいため「脳で管理できるウォレット」という意味で「Brain wallet」と呼ば
AVGの正直な新プライバシーポリシー、収入を得るためにブラウズ履歴などを使用すると明言 | スラド セキュリティ
AVG Technologiesが14日、新しいプライバシーポリシーを発表した。新しいプライバシーポリシーでは、AVG製品やWebサイトが収集したデータのうち個人を特定しないものに限り、収入を得るために使用することを明記している(プレスリリース、 AVGのブログ記事、 Wired UKの記事、 BetaNewsの記事、 The Inquirerの記事)。 新しいプライバシーポリシーの「Why do you collect my data?」の項には個人を特定しないデータの使用目的として「to make money from our free offerings so that we can continue to offer them for free」と記載されており、無料のAVG製品から収入を得ることで継続的な無料提供を可能にするためということのようだ。 使用するデータは広告IDやWe
露中が「スノーデン文書」にアクセス、米英スパイが身バレした模様 | スラド セキュリティ
米国家安全保障局(NSA)によるネット監視を暴露した、いわゆる「スノーデン文書」の流出が原因で、イギリスは敵対国で活動中のスパイの撤退等を行わざるを得なくなったという(Reuters、AFP、Slashdot)。 英国放送協会(BBC)と英日曜紙サンデー・タイムズの報道によると、この機密文書にロシアと中国がアクセス可能であることが判明した。中国はアメリカとイギリスのスパイを識別するのに必要な暗号化文書の解読に成功したという。 暴露を行ったエドワード・スノーデン氏は2013年、文書は暗号化されており、安全に保管されていると主張していた。しかし、内務省とセキュリティ·サービスなどのイギリス政府関係者も、ロシアと中国がスノーデンの資料(機密文書)にアクセスできることについて認識しており、これによる影響を懸念しているようだ。
「パスワードの強度を判定」するツールにご注意を | スラド セキュリティ
「パスワードの強度を判定」するツールやサービスはいくつかあるが、それらによる判定結果に一貫性がないことがReadWriteで取り上げられている。 コンコルディア大学の研究者らが行った調査結果によると、こうしたツールではたとえば小文字の「l」を数字の「1」に置き換えるような、「破られやすいパターン」を無視することがあるという。さらに、実際にさまざまなツールやサービスを使って検証したところ、ほぼ同一のパスワードでまったく異なる結果が出た例もあるそうだ。 サイトによって異なる基準で強度を判定しているのが原因だそうで、またその判定基準もほとんど公開されていない点も問題だとしている。また、Dropbox(と同様のアルゴリズムを採用しているKeePass)だけは例外で、そのアルゴリズム「zxcvbn」はオープンソースで公開されており、その判定基準は非常に効果的だという。
Torによる匿名インターネット接続機能を内蔵したルーターを安価に作るプロジェクト | スラド セキュリティ
生IPアドレスが特定されないきちんとした匿名環境を作るためには、「匿名インターネット接続機能を内蔵したルーター」といったハードウェアの導入だけでなく、Tor 専用パソコン(少なくとも仮想PC)が絶対必要 なので注意して下さい。 Tor の通信は、あまりにも遅く(低容量)、不安定(情報伝達の確実性が無い)なので、常に Tor 経由だけでインターネットに接続するのは現実的ではありません。そのため、状況に応じて、Tor 経由と直接接続を切り替えている人が多いかと思います。 しかし、Canvas Fingerprinting [bpsinc.jp] などの環境に依存した特徴を探す手法による、コンピュータ環境の指紋のようなものから、生IPアドレスでの接続時と一致した環境であることが特定される恐れがあります。 事実、私自身、Tor経由での掲示板荒らしを行う人物の生IPアドレスを、こうした手法や、もっと
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る | スラド セキュリティ
Dellのセキュリティ部門の研究者の分析によれば、あるハッカーがBGPハイジャック攻撃を使い、Bitcoinなどの仮想通貨マイニングプールへのトラフィックを偽プールに振り向けるという手法で8万3,000ドル以上の不正な利益を得たという(WIRED、Dell SecureWorks)。この攻撃は19以上のISPに影響を与えたそうだ、 この攻撃はわずか1分以内に完了してしまう上、大抵のユーザは一度行った設定を見直さないためなかなか発覚しないのだという。Dellの研究者は、こうした問題は、Bitcoinの新たな脆弱性となりうるだろう、としている。 この攻撃では、Bitcoinなどの採掘を行っているノードの接続先を攻撃者のネットワークにある「偽のコインプール」につなぎ替えることで、その採掘の結果得られたBitcoinを攻撃者のものにしてしまうという。
米政府、「米国内に保存されていないデータについても米政府の要求があれば提出せよ」と主張 | スラド セキュリティ
米政府が、「米国内でなんらかの活動をしている企業は、令状などがあればその企業が保存しているデータを当局に提出しなければならず、たとえそのデータが米国内に保存されていなくともそれは同様である」との主張を発表した模様(Ars Technica、Slashdot)。 4月に米下級判事が米国の捜査令状で米国外のサーバーに保存されたデータの開示を求めることが可能との判断を出したが、政府の発表はこれを支持するものとなっている。 政府は詐欺やハッカー、薬物密売といった犯罪を取り締まるためと主張しているが、これにより、たとえば米政府が日本国内にあるデータセンターのデータを強制的に提出させる、ということも可能になる。これを受け、『実質的に米国と関係する世界中のほぼすべてのサーバーを対象として政府が「がさ入れ」を可能にするものだ』といった旨の批判が出ている。
パスワードを管理する新しい手法「PolyPassHash」が提案される | スラド セキュリティ
パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された(slashdot、論文PDF)。 この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側(サービス提供側)でこの手法を採用すればいいだけとのこと。 すでにCおよびPythonによる実装も公開されている。 安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt+なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない
ロシア、機密保持のため電子タイプライターを導入 | スラド セキュリティ
ロシア連邦警護庁(FSO)が、電子タイプライター20台の購入を決めた。元米中央情報局職員が暴露した情報監視問題を受けて、PCで作成した極秘文書を第三者に読み取られるリスクを回避するための措置だそうである(時事通信の記事)。 電子タイプライターは現在でも、ロシア国防省などで極秘文書作成に使われている.そして元ロシア連邦保安局長官のコワレフ下院議員は「セキュリティの観点からいうと、電子的なコミュニケーションには脆弱性がある」「秘密保持のためには、手書きやタイプライターのような原始的な方法が好ましい」などと述べている(Telegraphの記事)。 /.Jer諸氏には,ハイテクな問題へのローテクな対処法や、「一方ロシアは……」をネタにして盛り上がっていただければ幸いである. 時事通信の記事では「ワープロ」となっているが、電子タイプライターはワープロとは異なるもので、ディスプレイは搭載されておらず、
RSA暗号の生みの親曰く「暗号化の重要性は薄れてきている」 | スラド セキュリティ
ターゲット型攻撃(APT:Advanced Persistent Threat)が活発になっている昨今、暗号化の重要性は低下しており、データやシステムを守る新たな術を模索すべき時を迎えているという(threatpost、本家/.)。 セキュリティに関する年次イベントRSA Conference 2013のパネルディスカッションにて、RSA暗号の発明者の一人であるアディ・シャミア氏がこう述べたという。 従来のセキュリティの考え方は、アンチウィルスソフトウェアやその他の手段をもってAPT攻撃による侵入を防ぎ、侵入された場合にはAPT攻撃の活動を検知するという二つの段階を踏んでいたが、APT攻撃はこのどちらも突破し、数年の単位で活動できることが最近の事例で明らかになっている。 シャミア氏曰く、APT攻撃がシステム内の全てを監視していることを考えると暗号を効率的に活用することは非常に難しく、セキュ
ブラウザの「プライベートブラウズ」機能はそんなにプライベートではない | スラド セキュリティ
スタンフォード大学の研究者らによる調査で、Web ブラウザの「プライベートブラウズ」を使用している場合でも、ユーザーのプライベートが守られないことがある、という結果が明らかになった (Ars Technica の記事、19th USENIX Security Symposium の原稿 (PDF))。 「プライベートブラウズ」機能は Firefox や Safari に搭載されている機能で、ブラウズ履歴や Cookie、キャッシュなど「ユーザーがどの Web ページを閲覧したのか」という情報を保存せずに Web サーフィンを行えるもの。IE や Google Chrome にも「InPrivate ブラウズ」や「シークレットモード」という名称で同様の機能が用意されている。しかし、研究者らがこの機能について調査を行ったところ、実際には「プライベート」な Web 閲覧とそうでない Web 閲覧
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FACTA、今度は政府機関にサイバー攻撃を仕掛ける | スラド セキュリティ
POS端末がマルウェアに感染する事例が増えている | スラド セキュリティ