2014年4月15日のブックマーク (6件)

  • キャッシュポイズニングの開いたパンドラの箱

    キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c

    tetsutalow
    tetsutalow 2014/04/15
    これは厳しい。.jpの場合条件にハマっているので属性ドメインに毒入れして芋蔓でrootまで遡れるし、偽NSを毒入れできれば後はやりたい放題。さて実攻撃はいつどんな形でくるかな…
  • OpenSSLの“Heartbleed”脆弱性による被害が発生、カナダ歳入庁が発表 

    tetsutalow
    tetsutalow 2014/04/15
    止まっていたカナダ歳入庁が具体的な被害を報告。
  • OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45% 

    tetsutalow
    tetsutalow 2014/04/15
    この状態が週明けて大して改善されているとは思えず、厄介だな…
  • 手を変え品を変えて続くDNSキャッシュ「汚染」攻撃

    3月初めより報告されているDNSキャッシュポイズニング攻撃の手口は、わずかな期間のうちにより巧妙に変化しており、注意が必要だ。 3月初めより報告され始めた「DNSキャッシュポイズニング」攻撃の手口は、より巧妙なものに変化しているようだ。米SANSのInternet Storm Centerは、これまでのDNSキャッシュポイズニング攻撃の概要をまとめるとともに、警戒を呼びかけている。JPCERT/CCによると、今のところ国内ではこれに類するインシデントは報告されていないというが、手口が進化しているだけに注意が必要だ。 DNSは、人間にとって分かりやすい名前である「ドメイン名」と、ネット上の一意の住所である「IPアドレス」の変換を行い道しるべ役を果たす、インターネットの根幹を担うといってもいいサービスだ。Webへのアクセスもメールの配送も、基的にはこのDNSに頼っている。 DNSキャッシュポ

    手を変え品を変えて続くDNSキャッシュ「汚染」攻撃
    tetsutalow
    tetsutalow 2014/04/15
    “SANSはまず第一に、管理下のDNSサーバのキャッシュ情報が汚染されていないか、またシステムがスパイウェアに感染していないかどうかを確認するよう推奨している。”
  • (緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年5月30日更新)

    --------------------------------------------------------------------- ■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~ 株式会社日レジストリサービス(JPRS) 初版作成 2014/04/15(Tue) 最終更新 2014/05/30(Fri) (対策に関するDNS運用者向け文書へのリンクを追加) --------------------------------------------------------------------- ▼最近の状況 最近、日の大手ISPにおいてカミンスキー型攻撃手法によるものと考えら れるキャッシュDNSサーバーへのアクセスが増加している旨、JP

    tetsutalow
    tetsutalow 2014/04/15
    DNSキャッシュサーバへのカミンスキー攻撃が今頃流行ってるらしい。今やられるのは恥ずかしいと思うんだけど。
  • OpenSSL 情報漏えいを許してしまう脆弱性 ~Heartbleed 問題~ について

    2014年04月07日、 OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) ~Heartbleed 問題~ について報告されました。 インシデント情報活用フレームワーク検討 WGでは、インシデント対応技術調査 WG、日シーサート協議会に加盟しているチームに協力を得て、インシデント発生を事前に予防する措置として、「OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~」に関する公開情報を調査し、レポートにまとめました。 ・OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ とは ・対策 ・ベンダ情報 ・観測日記 ・更新履歴 OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ は、 OpenSSL の TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許

    OpenSSL 情報漏えいを許してしまう脆弱性 ~Heartbleed 問題~ について
    tetsutalow
    tetsutalow 2014/04/15
    よくまとまってる。個人的意見としてはサーバは(2)まで必須、特に単に証明書を再発行依頼するだけじゃなくて鍵ペア再生成して秘密鍵を入れ替えるところからやることが大切。ユーザのパスワード変更は優先度低い。