DNSキャッシュポイズニング攻撃を可能にする、SAD DNSと呼ばれる攻撃手法が公表される | スラド セキュリティ
カリフォルニア大学リバーサイド校と清華大学の研究者らがSAD DNSと呼ばれる攻撃手法を公表した。 これは2008年頃に対策が行われたDNSキャッシュポイズニング攻撃を全ての主要なOSで復活させるもので、研究者らの調査によればオープンリゾルバの35%が脆弱な状態であったとのことだ。 DNSキャッシュポイズニング攻撃の関連ストーリー この攻撃手法では、ICMPパケットの送信制限に関する実装上の仕様を用いてポートのランダム化を無効化することができる。 DNSについて誤った発言をしてしまうと怖い人がやってくるので、攻撃手法の詳細や対処方法については https://www.saddns.net/ を確認して頂きたい。
CSVファイル経由で感染するウイルス(ただしExcel限定)が話題に | スラド セキュリティ
CSVファイルを開くだけでウイルスに感染するという話が報じられている。 ExcelではExcelの関数が記述されたCSVファイルを開くと、状況によってはその関数を実行する仕組みになっているようだ。そのため、Excelで開いた際に悪意のある処理を実行するようなCSVを意図的に作成できてしまうという。 開いた時の話で問題があるのはExcelの方であり、またExcelはちゃんと怪しいCSVファイルを開いた時に警告を出すためどちらかというと利用者側の問題のような気もするが、実際にこの手法を使った攻撃が今年第一四半期に行われていたそうだ。 対策としては、不審なCSVファイルはExcelで開かなければ良いと思われる。 なお、ExcelがCSVファイル内の関数を実行するという問題については以前から指摘されてはいたが、Microsoftはユーザーがマクロを有効にする必要があることから脆弱性ではないとしてい
脳波を観測してパスワードを盗める可能性 | スラド セキュリティ
パスワードを入力している最中の脳波を観測することで、その脳波からパスワードを推測できるという研究結果が発表された(Independent、マイナビニュース、研究論文)。 研究では、脳波センサーが搭載されたヘッドセットを装着した状態で被験者に指定した文字を入力してもらい、脳波と文字の対応をシステムに「学習」させたそうだ。その結果、200文字を学習された時点で数値のみで構成されたPINコードであれば43.4%、6文字のパスワードであれば37.3%の精度で入力された文字を推測できるようになったという。 この結果から研究者らは、今後脳波を測定できるようなデバイスが普及した場合、それが深刻なセキュリティやプライバシに関するトラブルの元となる可能性があると指摘している。
キーレスエントリー装備の自動車のドアを解錠する謎の小型装置、米国の監視カメラでその存在が明らかに | スラド セキュリティ
キーレスエントリーを装備した自動車のドアを、手の平に納まる小さな装置を使って楽々と開けてしまう泥棒の様子を、カルフォルニア州ロングビーチの監視カメラが撮影していた。同装置を車の方に向けるだけで、泥棒は遠隔操作でいとも簡単に解錠していた。不審な行動を伴わないため、持ち主が普通にドアを開けているようにしか見えないという(本家/.、Today News記事)。 地元警察によれば、どういった技術が使われているのか一切分かっていないとのこと。同装置はAcura SUVには対応していたがFord SUVやCadillacには対応しておらず、また泥棒が常に助手席側のドアを開けているなど謎な点が幾つかある。警察もセキュリティー専門家もまったくのお手上げ状態であり、警察が一刻も早く同装置を入手してどういった技術が使われているのか調べる必要があるとのこと。
MIT、暗号化された情報を復号せずに処理できる DB「CryptDB」を開発 | スラド セキュリティ
MIT の研究者らが、暗号化されたデータを復号せずに機密性を維持したまま検索やソート、演算処理などを行えるデータベースソフトウェア CryptDB を開発したとのこと。同ソフトウェアは 10 月に開催された Symposium on Operating System Principles でお披露目されている (Forbes の記事、本家 /. 記事 より) 。 CryptDB は、データを「タマネギの皮」のように何層にも暗号化し、各層をそれぞれに違った鍵で守るという仕組みとなっている。極めてセキュリティー性の高いソフトウェアであるもののどんな演算処理も行えるというものではなく、例えば平方根の計算はできないとのこと。こうした完全準同形暗号は既に Gentry が 2009 年に発表しているが (IBM のプレスリリース)、暗号化されたデータを処理するのに膨大な時間がかかってしまうという欠点
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
