RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される | スラド セキュリティ
RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713、 The Registerの記事、 CVE-2019-15224)。 不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。 不正アクセスを受けたメインテナーのHacker Newsへの投稿に
LogMeInがLastPassを買収 | スラド セキュリティ
9日、LogMeInによるLastPassの買収が発表された。買収総額は最高で1億2,500万ドル(LogMeInのプレスリリース、 LastPassのブログ記事、 Ars Technicaの記事、 VentureBeatの記事、 BetaNewsの記事)。 LogMeInはリモートアクセスサービス「LogMeIn」などを提供するSaaS企業。LastPassはWebベースのパスワードマネージャーで、既にLogMeInのサービス一覧に追加されている。 LastPassでは既存のサービスが変更されることはないとし、LogMeIn傘下となることで開発リソースが増え、より良い製品を提供できるようになると述べている。しかし、LogMeInでは昨年、無料サービスを突如終了してユーザーをパニックに陥らせている。 LastPassのブログ記事に付けられたユーザーのコメントは否定的なものが多く、別のパスワ
パスワードを管理する新しい手法「PolyPassHash」が提案される | スラド セキュリティ
パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された(slashdot、論文PDF)。 この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側(サービス提供側)でこの手法を採用すればいいだけとのこと。 すでにCおよびPythonによる実装も公開されている。 安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt+なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない
蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1991年から存在していたX11のバグが発見される | スラド セキュリティ
