Voltage Fault Injectionでセキュリティ機能を回避してみた - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の飯田です。 ひと昔前までは悪意ある攻撃者により市販製品からファームウェアの抽出やデバッグ機能を利用した製品仕様の解析や改変が簡単にできたと聞きますが、最近では安価なチップであっても知的財産の保護等を目的にそのような行為を防止するため、セキュリティ機能がハードウェアに組み込まれることが多くなっているようです。 しかし、デバイスメーカーが提供するセキュリティ機能は決して破られることはないのでしょうか。 今回はとある市販製品に対して Voltage Fault Injection という手法を用いて搭載されているセキュリティ機能を回避することができるか検証してみました。 Voltage Fault Injection とは 聞きなれない方もいるかと思いますので簡単に説明しますと、Voltage Fault Injection は故障注入攻撃 (Fault Injection
プーチン大統領の所有船「GRACEFUL」に関する航行データの改ざんはいかにして行われたのか?AIS情報の改ざんを考える - ラック・セキュリティごった煮ブログ
ペネトレーションテスターのしゅーとです。 先日、匿名ハッカーによる航行データの改ざんにより、プーチン大統領の所有するヨットの位置がウクライナ領土のスネーク島に座礁したように見せかける事件が発生しました。 本記事では世界で広く用いられているAIS(Automatic Identification System:船舶自動識別装置)の原理とセキュリティ上のリスクについて、実際に船舶に対してペネトレーションテストを行った私の知見をもとに解説します。 攻撃の内容について 数日前から本攻撃に関する情報が出ていたようですが、Ryan Gallagher氏のツイートによって世界中にこの情報が拡散されました。 Putin reportedly has a $97 million luxury yacht called "Graceful". A group of Anonymous hackers on S
裏垢特定の考察と防御について - ラック・セキュリティごった煮ブログ
DP部 マきむら です。 私は裏垢特定というものをやったことがありませんが、 今回は裏垢特定について考察し、防御方法を提案します。 ※注意※ 弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。 採用活動における裏垢特定 巷では就活生のSNSの裏垢を特定するサービスがあるという。 では、筆者なりにやるとしたらと仮定しての手法を考えてみました。9999999%想像です。 もっといい方法あるよ、うちではこんな方法でやってるよというご意見があれば是非教えてください。 条件 エントリーシートが手元にあること 考えられる手法 メールアドレスがtwitterIdと同一のものがあるか調べる 疑わしいIDが存在した場合、パスワードリセット画面に遷移し、メールアドレスの最初の2文字とドメインの文字数が一致してるか、もしくは電話番号の下2桁が一致しているか。 ダークウ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
