利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
HTTP応答パケットを悪用するARPスプーフィング・ウイルス
「ARP spoofing HTTP infection malware」より December 21,2007 posted by Kai Zhang, Security Researcher 2007年は,ARPスプーフィングという手口を使うウイルス(ARPキャッシュ・ポイズニング・ウイルス)が数多く登場した。この種のマルウエアからは大量の亜種が派生し,中国で広く流行している。先ごろ筆者らは,新たな特徴を持つARPスプーフィング・ウイルスを見つけた。 この新種のARPスプーフィング・ウイルスは,HTTP応答のセッションに攻撃用URLを挿入する。そして,怪しげなコンテンツでInternet Explorer(IE)を悪用する。同時に,コード挿入でポイズニングしたホスト・コンピュータをHTTPプロキシ・サーバーとして使う。このホストと同じサブネットにあるマシンからのインターネット・アクセス
フリーなMac OS X用ウイルスチェッカー「ClamXav 1.1.0」 | パソコン | マイコミジャーナル
フリーのMac OS X用ウイルスチェッカー最新版「ClamXav 1.1.0」がリリースされた。動作環境はMac OS X 10.4以降、10.5 (Leopard) にも対応する。ユニバーサルバイナリとして提供され、PowerPC / Intel の両アーキテクチャ上でネイティブの速度で動作可能。 今回のリリースでは、オープンソースのウイルス検出エンジン「ClamAV」をアップデート、最新バージョンのv0.92に更新した。フォルダ内容の変更を監視するプログラム「ClamXav Sentry」は全面的に書き換えられ、Mac OS X 10.4以降にかぎりサブフォルダの監視が可能になったほか、スキャンログに日時が記録されるようになった。システムのメッセージを通知するフリーウェア「Growl」もサポート、イベント発生時はポップアップ画面で知らせることができる。 フリーなMac OS X用ウイ
[セキュリティ編]すべての通信を暗号化してはいけない
プライバシー意識の高まりや,それに合わせた個人情報保護法の施行により,WebシステムではSSLによる暗号化が広く使われるようになっている。特に,利用者に個人情報を入力させるような画面では暗号化が必須となっている。 暗号化する経路も,インターネットを経由するクライアントとWebサーバー間のネットワーク部分だけでなく,Webサーバーとアプリケーション・サーバー,アプリケーション・サーバーとデータベース間といった社内インフラの通信経路まで拡張するケースもある。情報セキュリティ・ポリシーなど管理規定で「個人情報を取り扱う通信経路はすべて暗号化しなければならない」と定められている場合もある。 ただし,これにはデメリットもある。すべての通信を暗号化することで,かえってセキュリティを弱くする面があるのだ。 暗号化はIDS,IPSでの検知を妨げる 通信経路上のデータを暗号化すれば,盗聴による通信内容の漏え
Webサイトからネットワーク・プリンタに強制印刷させる「クロスサイト・プリンティング」攻撃
Webアプリケーション関連セキュリティを扱うブログ「ha.ckers.org」は,Webサイト閲覧中のパソコンからネットワーク・プリンタに許可なく印刷できる攻撃手法「Cross Site Printing」(クロスサイト・プリンティング)を紹介した。この手法を考案したAaron Weaver氏は,プリンタがスパムの送信手段として悪用されると考える。 Cross Site Printingで細工されたWebサイトにアクセスすると,パソコンを接続しているネットワーク内のプリンタに印刷ジョブが送られ,意図しない印刷が行われる。Weaver氏は公開した資料(PDF形式)において,攻撃はJavaScriptだけで実行できるとしている。プリンタに任意のテキスト・データを送信できることから,一般的なテキスト文書の印刷だけでなく,PostScriptコマンドによるプリンタ制御も可能だ。 米メディア(Inf
見落としがちなぜい弱性(Webアプリケーション編) その2:ITpro
以前の「今週のSecurity Check」の記事で,見落としがちなWebアプリケーションのぜい弱性の例として,ログイン画面におけるエラー・メッセージから認証の安全性が低下する例を示した。今回は,ログイン画面そのものがぜい弱な例を取り上げてみたい。 まず,写真1のログイン画面にどのようなぜい弱性が内在しているかお考えいただきたい。Webサイトの会員の立場から,ご自身の認証コードが破られる可能性は高いと思われるだろうか。 では,これに以下の条件が加わった場合はどうだろう。 ・会員番号は10桁の数字 ・認証コードは9桁の数字 この条件が加わると,ある特定の会員にとってログイン画面の認証の安全性は大幅に低下する。攻撃者の視点で考えてみよう。 攻撃者は,誰かの有効な会員番号と認証コードのセットを「できるだけ沢山、できるだけ容易に入手すること」を第一に考える。そこで,こうしたログイン画面に狙いを付け
PS3とMD5ハッシュ値衝突の脆弱性との"危険な"関係 - SHA-2を代替関数に | エンタープライズ | マイコミジャーナル
米SymantecのSecurity Response Blogによると、最近、full-disclosureメーリングリストに興味深い投稿があったという。これはMarc Stevens氏、Arjen K. Lenstra氏、Benne de Weger氏らによって共同で発表された"Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3"であり、そのタイトルが意味するがごとく、ソニーのPS3を計算に使用した2008年米国大統領選挙の結果予測であるかに見えた。しかしながら、その実情は異なり、特定のファイルにMD5アルゴリズムを使用してハッシュ値を算出し、それを使用した一意性の保証はもはや意味がないことを示すことにあったという。すなわち、もはやMD5アルゴリズムを使用したハッシ
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
HDDをフォーマットするブラクラ まとめwiki
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックする
ネットでクレジットカード使う危険性:アルファルファモザイク
取り合えず、ネットショッピングでクレジットカードを使う場合は SSLで保護されているかどうか調べて信頼の置けるサイトの様なら (自分でそう感じたなら)どうしても使いたかったら使えばいいよ 後は自己責任。 自分はアダルトサイトで無修正DVDをクレジットで輸入取り寄せ してみたいと思ってるんだけど危険だよねやっぱ >>7 SSLは最低条件だけど、でもSSLって堅牢なパイプでしかないから繋がっている先の サイトの信頼性次第だよ。 今まで国内・海外といろいろクレカで買い物してきたけれど、1回だけ被害に 会いかけた事がある。某USの大手レジストラでドメイン名を買ったのだが いつも使っているカードが認証通らなくて、別のカードで決済したら 2週間後ぐらいにカード会社から 「**日に***(米国)で電話を使おうとしてパスワードを3回間違えて カードが無効になっているんですが、最
67. PHPファイルの応答ヘッダーに含まれるPHPバージョンを隠蔽する
ヘッダー情報からサーバーで使用しているPHPバージョンを特定されてしまい、そのバージョンのセキュリティーホールを狙った攻撃を受けてしまう可能性があります。今回は、ヘッダー情報からPHP・Apacheのバージョンを特定させない方法を紹介します。 対策がされていないサーバーへHTTPリクエストを送信し、実際にヘッダー情報を取得すると・・・ [root@localhost ~]$ telnet localhost 80 Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. GET /test.php HTTP/1.0 HTTP/1.1 200 OK Date: Fri, 26 Jan 2007 12:00:00 GMT Server: Apache/2.0.59
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 | スラド
フィッシング詐欺が騒がれるようになって久しいですが、11/17の高木浩光@自宅の日記によると、2つの実在する日本の地方銀行が、「アクセス時に表示される警告メッセージについて」という解説を出しているそうです(武蔵野銀行のもの、北越銀行のもの)。解説の内容は、 本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して・・・をご利用ください。 というものですが、その警告メッセージというのは、IE7なら「詐欺や・・・情報を盗み取る意図が示唆されている場合があります」というもの。それに対して銀行が次のように解説するという、なんだか凄まじいことになっています。 以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。 IE7.0で本サイトにアクセスされますと、アドレ
「クリスマスに600台のウイルス退治」、JTB情報システムが事例紹介
「2006年12月、ジェイティービー(JTB)本社ビルのパソコン800台にウイルスが感染したが、12月23日と24日の両日、延べ120人が集中的に対応して600台を復旧。12月25日には業務を再開できた」――。JTB情報システム(JSS)のグループIT推進室室長 野々垣典男氏は2007年11月26日、トレンドマイクロが開催したセミナーにおいて、JSSのウイルス対応事例を紹介した(写真)。 JSSは、JTBグループ国内80社の情報システムの開発・運用を担当するJTBの子会社。野々垣氏が所属するグループIT推進室は、JTBグループの情報システム全体の企画部門である。企業が、自社のウイルス感染・対応事例を紹介することは珍しい。「他社のウイルス対策に役立ててもらえればと思い公表した」(野々垣氏)。 通常業務でウイルスが侵入 JTB本社ビルでウイルス感染を確認したのは12月20日のこと(図)。最初に
高木浩光@自宅の日記 - オレオレ警告の無視が危険なこれだけの理由
警告を無視して先に進むと、その瞬間、HTTPのリクエストが cookie付きで送信される。 もし通信路上に盗聴者がいた場合*2、そのcookieは盗聴される。セッションIDが格納されているcookieが盗聴されれば、攻撃者によってそのセッションがハイジャックされてしまう。 「重要な情報さえ入れなければいいのだから」という認識で、オレオレ警告を無視して先を見に行ってしまうと、ログイン中のセッションをハイジャックされることになる。 今見ているのとは別のサイトへアクセスしようとしているのかもしれない さすがに、銀行を利用している最中でオレオレ警告が出たときに、興味本位で先に進む人はいないかもしれないが、銀行を利用した後、ログアウトしないで、別のサイトへ行ってしまった場合はどうだろうか。通常、銀行は数十分程度で強制ログアウトさせる作りになっているはずだが、その数十分の間に、通信路上の盗聴者により、
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YOMIURI ONLINE(読売新聞)
asahi.com
Rauru Blog » Blog Archive » MD5破りにGoogleを活用