タグ

securityに関するtsekineのブックマーク (13)

  • 米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから

    新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年

    米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
    tsekine
    tsekine 2020/03/11
    あれ、VPNってなんだっけ?全部が全部そうじゃないよーな。うーん、プライベートアドレスのものにはReverseProxyが必要だけど、VPNではない、ということか。
  • 「Man-in-the-Machine攻撃」ーDEFCON 26で発表された新たな攻撃手法 - 忙しい人のためのサイバーセキュリティニュース

    Vector Art by Vecteezy Man-in-the-Machine: Exploiting Ill-Secured Communication Inside the Computer | USENIX Anoymask(@UXYEA)です。 実は先週、DEFCON 26に参加してきました。 図:DEF CON会場 図:DEF CONの講演 DEF CONに参加する中で、個人的に興味深いな感じた攻撃手法があったのでブログで紹介したいと思います。 その攻撃手法とは、「Man-in-the-Machine」です。 中間者攻撃を意味する「Man-in-the-Middle」という攻撃手法はご存知かもしれませんが、「Man-in-the-Machine」という攻撃手法については恐らく知らないと思います。 私もDEFCON 26に参加した時、初めて耳にしましたが、どうやら講演したAa

    「Man-in-the-Machine攻撃」ーDEFCON 26で発表された新たな攻撃手法 - 忙しい人のためのサイバーセキュリティニュース
    tsekine
    tsekine 2018/08/21
    root や被攻撃者のアカウントが取られた訳ではないけど、localhostの別ユーザーからの攻撃には脆弱ってことかな。だとしたら実装がアホなだけでは…
  • ユーザの近くにある偽DNSサーバの話:Geekなぺーじ

    RIPE 75で、DNSへの問い合わせ内容によって、DNSパケットが通過するネットワークが変わってしまうという怪しい挙動の報告がありました。 Babak Farrokhi - A Curious Case of Broken DNS Responses 発表資料(PDF) この発表では、DNSのパケットが途中ネットワークで解析され、そのDNSパケットに含まれる内容に応じて、すぐ近くにある偽のDNS応答が返ってくることがあるというものでした。 DNSパケットを解析するDPI(Deep Packet Inspection)装置+偽DNS応答機能といった感じでしょうか。 発表者は、偽DNS応答がどこにあるのかを調べるために、DNSの問い合わせを用いたUDPによるtracerouteを実装しています。 偽DNS応答は、特定の名前に対するDNS queryに対してのみ発動するようなので、通常のtra

    tsekine
    tsekine 2017/11/02
    ホップ数から考えて、ISP内のプライベートDNSがIP偽装して返答してる可能性が高そう。リンク先は読んでない
  • 偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~ - JPCERT/CC Eyes

    JPCERT/CCでは2017年2月10日に類似ドメイン名(jpcert.org)を第三者に登録されたことを契機にドメイン名紛争を行い、結果的にこのドメイン名を取り戻しました。不幸にして同様の状況に陥った日企業においても、所定の手続きを踏むことでドメイン名を取り戻すことができる可能性があることから、対応の一助となることを期待してJPCERT/CCでの事例をご紹介します。 対象読者: 自社・自組織の類似ドメイン名を第三者に登録されてお困りの方 経緯 JPCERT/CCは1996年に正式発足し、それから20年の間jpcert.or.jpというドメイン名を使用してきた。 *iこのドメイン名に似た、jpcert.org(以下「偽JPCERTドメイン名」)というドメイン名が何者かによって登録された。 発端 2017年2月10日に何者かが偽JPCERTドメイン名をPublicDomainRegist

    偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~ - JPCERT/CC Eyes
    tsekine
    tsekine 2017/05/20
    興味深い。これで未然に何らかの攻撃を防げてると思う。けど、予防は直接的には効果が測定できないので困るよね、普通の組織では。
  • 「OAuthの仕組み丸分かり体験サイト」に見るOAuthとアイデンティティの関係

    いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 明治大学の情報セキュリティ研究室が公開している「OAuthの仕組み丸分かり体験サイト」が話題になっているので、少し内容を見ていこうと思います。 ※決してディスっている訳ではありません。敬遠されがちなOAuthなどの仕組みを簡易に解説しようとする取り組みは非常に大切だと思いますし、私も常に悩むポイントの一つです。 OAuthの仕組み丸分かり体験サイト https://www.saitolab.org/oauth/ 尚、最初の公開後、かなり修正が入っていて誤解を招く部分はかなり減っており、投稿するのをやめようかと思ったのですが、逆に課題認識の部分がぼやけてしまったところもあるので、あえて投稿してみます。 中身ですが、元々は所謂OAuth認証問題です。一番残念

    「OAuthの仕組み丸分かり体験サイト」に見るOAuthとアイデンティティの関係
    tsekine
    tsekine 2017/03/03
    Authentication != Authorization 問題
  • 俺専用パスワード管理ツールを作った - kuenishi's blog

    github.com 恥ずかしながらわたし、つい最近まで類似のパスワードを適当に記憶に頼って数種類使い分けるという運用をしていた。しかしながら、次のようなメールが期間をおいていくつか届き、類似のパスワードを使っている他のサービスに被害が及ぶのを恐れて、ランダムにパスワードを生成して保存するツールを作った。 いくつかのECサイト、特に小規模ECサイトは2要素認証が設定できないものが多く*1、あのアマゾンでさえ…と思ったら、いつのまにか2要素認証できるようになっていた。そうはいっても一部のサイトではクレジットカード情報を保存しておきながら2要素認証しないとか不安しかないので、自分でパスワード管理できるプログラムを練習がてら作って運用をまるごと変えることにした。既存のパスワード管理のソフトウェアやサービスがいくつもあるが、以下の理由でやめた 無料サービスは信用できない 有料サービスはちょっと躊躇

    俺専用パスワード管理ツールを作った - kuenishi's blog
    tsekine
    tsekine 2017/01/26
    似たような考えでもっと簡単なのを作ったことがあるけど、結局  GnuPG の秘密鍵をクラウド上に(安全にそのまま)バックアップできないのでやめた。他人とパスワードをシェアするときは便利だけどね。
  • glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547 - Qiita

    glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547LinuxSecurityiptablesfirewalldglibc はじめに glibcでヤバメな脆弱性キター! 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow CVE-2015-7547: Critical Vulnerability in glibc getaddrinfo - SANS Internet Storm Center Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc ge

    glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547 - Qiita
    tsekine
    tsekine 2016/02/18
    不正確。そのまま鵜呑みにしちゃダメ。
  • Masato Kinugawa Security Blog: Google Toolbarのコマンドを利用したXSS

    2015年6月頃にみつけた、toolbar.google.com の、少し変わったXSSを2つ紹介します。 The English version is here: http://mksben.l0.cm/2016/01/google-toolbar-xss.html 何が変わっているか このXSSは、Google ToolbarがインストールされているIEでしか動作しません。Google Toolbarがインストールされていると、toolbar.google.com 上に用意されたUIから、ツールバーを操作するコマンドを実行できるようになります。このコマンドを利用することでXSSに繋げるという点が、よくあるものとは異なります。 どのようにコマンドを実行しているか toolbar.google.com 上の次のページをみると、こんなコードを発見できます。 http://toolbar.go

  • x86 Linux シェルコード作成 - k0u5uk3’s blog

    2015-07-21 x86 Linux シェルコード作成 pwn シェルコードとは ソフトウェアの脆弱性攻撃のペイロードであり、バイトコードで記述されます。そのため、CPUやOSのバージョンといったプラットフォーム毎に作成されます。 シェルコードという名称は一般的にシェルを起動することが攻撃者にとって楽にマシン全体の制御を奪う方法であり多用されているからですが、実際のところシェルコードはどのような処理も記述することができます。 x86 Linux シェルコード作成の前提知識 アセンブリ言語 シェルコードのバイトコードは、マシン語命令のアーキテクチャによって異なるため、アセンブリ言語で記述することになります。 Linuxシステムコール OSはカーネル内で入力、出力、プロセス制御、ファイルアセクス、ネットワーク通信と行ったタスクを管理します。 C言語のプログラムは最終的に、こういったタスクを

    x86 Linux シェルコード作成 - k0u5uk3’s blog
  • 0chiaki氏逮捕の考察 - nalilix’s diary

    この記事は考察記事です。 彼と過去に会話した内容から、なぜ身元がバレて逮捕をされたのかを考察しています。 基的に報道機関は一般人にも分かるように報道するため、ネットに強い人達には情報が少なく詳細を知りたいって方が多いと思ったので記事を書いてみることにしました。 考察の元となった情報源は言えません。信じるか信じないかはあなた次第です。 0chiaki氏のネット環境 彼の自宅にはネット回線がひかれてありません。 だったらどうやってネットにつないでいるかといったら、近くの無線LAN(FON)をタダ乗りしてネットに接続していました。 また、彼は普段使うOSにTails OSという、エドワード・スノーデンも使っていると言われている暗号化OSを利用していました。 このOSは、全ての通信がTor接続となり、またOS自体は暗号化され復号しないと中身が見れないという今あるOSの中では一番秘匿性の高いOSで

    0chiaki氏逮捕の考察 - nalilix’s diary
    tsekine
    tsekine 2015/07/02
    この手の人は自宅内でも席から離れるときはかならずスクリーンロックだと思うんだけど、油断してたのか、それともスクリーンロックしたけどメモリは暗号化されないから、そのままの状態で解析されたか?
  • SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘

    Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ

    SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘
    tsekine
    tsekine 2014/12/11
    TL;DR CBC モードの実装が糞な SSL/TLS ソフトウェアがあるので、実際上は TLS1.2/AEAD 使っとけ。原文の最後は、これは確かに中身を知らなかったら誤訳しちゃうって文章。
  • yebo blog: TLS 1.0に深刻な弱点が見付かる

    2011/09/20 TLS 1.0に深刻な弱点が見付かる セキュリティ研究者のThai Duong氏とJuliano Rizzo氏は、TLS 1.0/SSL 3.0を使っているウェブサイトで、攻撃者にエンドユーザとウェブサイト間に流れるデータを気付かれずに復号化できるという深刻な弱点を発表するそうだ。今のところ、TLS 1.1や1.2は影響はないとのこと。今週、ブエノスアイレスで開催されるekopartyセキュリティ会議で、両氏はBEAST (Browser Exploit Against SSL/TLS)と呼ばれるコードでそのデモを行うそうだ(デモは23日)。Duong氏は、デモではPayPalアカウントにアクセスするために使われる認証用のcookieを復号化すると語っている。このBEASTは、標的となるブラウザにBEASTのクライアント側のJavaScriptコードを埋め込み、中間(

  • Engadget | Technology News & Reviews

    My iPhone 11 is perfectly fine, but the new buttons on the iPhone 16 are compelling

    Engadget | Technology News & Reviews
  • 1