yebo blog: GlobalSignもクラックされていた恐れ、CAには影響なし?
2011/09/12 GlobalSignもクラックされていた恐れ、CAには影響なし? DigiNotarへの不正アクセスを行った実行犯は、複数(4つ以上)の認証局をクラックしたと表明しており、その認証局のひとつとしてGlobalSignが上がっていた。これを受け、GlobalSignはFox-IT社と調査を行い、ウェブサーバがセキュリティ侵害を受けていた証拠を見付けたが、認証局の基盤がクラックされていたことを示すものは見付かっていないと発表しているとの事[threatpost]。 メールで送信 BlogThis! Twitter で共有する Facebook で共有する Google バズで共有する 投稿者 zubora 投稿時間 06:12 ラベル: Internet, Security, Web 0 コメント: コメントを投稿
Amazon 欲しい物リストのセキュリティホール(詳細な住所を知る方法) - tyoro.exe
前々から人づてに聞いて認識はしてたんだけど、自分がプレゼント送った時に再現したので書いておきます。 欲しい物リスト(旧Wishlist)なんですが、前はよくメアドから本名がバレるだとか、住所の入力欄をちゃんと分けて書かないと全文が出てしまうとかそういう、うっかりさんが陥る問題はちらほら話題にありました。 でも今回はそういうのと違って、ちゃんと外部からみえないように設定している欲しい物リストですら、詳細な住所を知る方法があるという話し。 (まぁ知った事自体相手にバレるんだけど) 長々と書くの面倒なのでさくっと書きますが、Amazonに登録している出品者からの配送を使います。 昔はAmazonが販売している商品しか欲しい物リストから送る事は出来なかったのですが、最近は「ギフトオプションが付けれないけど発送は可能」といった感じの店が増えてます。 (未だギフトでの取り扱いは不可の店も全然ある) こ
yebo blog: Kernel.orgを攻撃したクラッカーはそれを知らなかった?
2011/09/04 Kernel.orgを攻撃したクラッカーはそれを知らなかった? Kernel.orgへの侵入はびっくりしたが、Phalanxという検出しやすいrootkitを使用していたり、SSHにバックドアを仕掛けようとしていた点などから、攻撃者はKernel.orgを攻撃しようという意図があったわけではなく、どういうサイトなのかも知らなかったのではないかという[slashdot]。だから、ソースコードへのアクセスや改変を試みようとしなかったのだろうか。 メールで送信 BlogThis! Twitter で共有する Facebook で共有する Google バズで共有する 投稿者 zubora 投稿時間 04:59 ラベル: Linux, Security 0 コメント: コメントを投稿
パキスタンで暗号化された通信が法的に禁止される:Geekなぺーじ
パキスタンで暗号化された通信が法的に禁止されたようです。 パキスタン国内のISPは、ユーザがWeb閲覧の際に暗号化された通信を行ったのを発見次第当局に通報することが義務づけられたとイギリスのGuardian紙が報じています。 VPNを含む暗号化された通信が必要な場合には、特別に当局の許可が必要になるそうです。 Guardian: Pakistan to ban encryption software 先月、パキスタンがVPNなどを禁止するのではないかという報道がありましたが、今回、それが実際に実施されたようです。 techdirt: Reports Claim That Pakistan Is Trying To Ban Encryption Under Telco Law 国毎に方式が異なりますが、徐々に「管理されるインターネット」もしくは「検閲されるインターネット」の事例が増えて来てい
yebo blog: Kernel.orgのサーバが侵入される
2011/09/01 Kernel.orgのサーバが侵入される Linuxカーネルのソースコードを管理・配布しているKernel.orgの複数のサーバがセキュリティ侵害を受けていたと公表した[LWN]。発覚したのは8月28日で、8月始め頃から侵入をを受けていたそうだ。ソースコードのリポジトリは影響が無いかどうかを検査中。また、侵入方法(正規ユーザとして入っているらしい)やroot権限奪取の方法についても調査中とのこと。侵入者は、OpenSSH関連のファイルの書き換えや、起動スクリプトにトロイの木馬を入れていたらしい。30日以内にkernel.orgからソースコードをダウンロードしたなら、チェックをした方がよさそうだ。 メールで送信 BlogThis! Twitter で共有する Facebook で共有する Google バズで共有する 投稿者 zubora 投稿時間 11:44 ラベル:
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
PHP5.3.7のcrypt関数のバグはこうしてリリースされた - <s>gnarl,</s>技術メモ”’<marquee><textarea>¥
話題になってるこのバグ。 PHP5.3.7のcrypt関数のバグはこうして生まれた | 徳丸浩の日記 「テストしろや」というのを真っ先に思いつくが、実はcryptのテスト自体は存在していて、バグの存在を検出していたのだという。 では、にもかかわらず、なぜリリースされてしまったのか? 上記記事にもリンクされてるが、関係者の人がGoogle+で説明していた。 ログイン - Google アカウント Rasmus Lerdorf You can see the code coverage, test case failures, Valgrind reports and more for each branch. The crypt change did trigger a test to fail, we just went a bit too fast with the release an
侵入テスト向けのLinuxディストリビューション「BackTrack 5」の最新アップデート版「R1」が公開 | OSDN Magazine
ペネトレーション用Linuxディストリビューション「BackTrack」の開発チームは8月18日、「BackTrack 5 Release 1(R1)」を公開した。32ビットおよび64ビット向けのISOイメージ(KDEまたはGNOME)とVMware用イメージを用意、Backtrack-Linux.orgのWebサイトよりダウンロードできる。 BackTrackは侵入テストツールを搭載するLinuxディストリビューション。さまざまなセキュリティ解析/侵入テスト用ツールが用意されており、その数は300を超えるという。ハードディスクなどにインストールして利用するだけでなく、LiveDVDやUSBメモリから起動して利用することも可能。 BackTrack 5 R1は、5月に公開されたバージョン5系の初のアップデートとなる。Linuxカーネルは2.6.39.4にアップグレードされ、また30の新ツー
yebo blog: OSPFに対する攻撃
2011/08/05 OSPFに対する攻撃 イスラエルのElectronic Warfare Research and Simulation CenterのGabi Nakibly氏が、Black HatでOSPFプロトコルの問題点を発表するそうだ[networkworld]。ルータはシーケンス番号、チェックサムなどが適切で、タイマ値以内であれば受け入れられてしまうという事が問題で、誤ったLSAを送る事でルーティングテーブルを騙すことが可能という。機種には関係ないが、Nakibly氏はIOS 15.0(1)Mが動作するCisco 7200でこの問題点を確認しているとの事。発表内容を確認しないと何とも言えないが、深刻な問題という感じはしない… メールで送信 BlogThis! Twitter で共有する Facebook で共有する Google バズで共有する 投稿者 zubora 投稿時
BASTILLE-LINUX
The Bastille Hardening program "locks down" an operating system, proactively configuring the system for increased security and decreasing its susceptibility to compromise. Bastille can also assess a system's current state of hardening, granularly reporting on each of the security settings with which it works. Bastille currently supports the Red Hat (Fedora Core, Enterprise, and Numbered/Classic),
仙石浩明の日記: chroot されたディレクトリから脱出してみる
要約すれば、 「chrootなんて簡単に抜けられるからセキュリティ目的で使っても意味ないよ。」 ってことね。そうだったのか。 そうだったのか orz Note that this call does not change the current working directory, so that `.' can be outside the tree rooted at `/'. In particular, the super-user can escape from a `chroot jail' by doing `mkdir foo; chroot foo; cd ..'. chroot するときは、そのディレクトリへ chdir しておくのが常識と 思っていたので気づいていなかった。 つまり、 故意にカレントディレクトリを chroot 外へもっていけば、 chroot された
パスワード認証を回避してWindowsにログインする方法 - うさぎ文学日記
目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。 方法は以下の通り簡単です。 Ubuntuなどでブートして、Windowsドライブをマウント C:\Windows\System32以下の「Utilman.exe」を「Utilman.old」にリネーム C:\Windows\System32以下の「cmd.exe」を「Utilman.exe」にコピー 再起動して、Windowsの起動画面で「Windowsキー + U」でコマンドプロンプトが起動 あとは、「explorer.exe」などを実行することもできます。 実験 Ubuntu(ここではBac
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ABlog これからの携帯端末には、すべて逆パスワード機能をつけて欲しい
先日、こんな記事を見かけました。 iPhoneの画面ロックを解除するためのパスワードに、かなりの人が『1234』や『0000』を使っているという記事です。ロックの意味がありません。こういうの、あらゆる場面でもう100万回くらい警告されているはずですが、一向になくならないですね。人間は痛い目に遭って初めて学習するので、まあ仕方ない事です。 で、多分何度か言っている事ですが、iPhoneなどの端末に、パスワードの逆の働きをする『逆パスワード』をつけて欲しいです。『0000』や『1234』、自分の生年月日などを逆パスワードに設定しておくと、そのワードが入力されたら起動ロック、カメラで写真を撮り、GPSで現在位置を取得して、あらかじめ決めてあるメールアドレスに送信する、という機能です。 この機能があると、端末を盗んだり拾ったりしても、うかつに適当なパスワードを入れてみる、という事がしづらくなります
エフセキュアブログ : Webアドレスは慎重に見るべし
Webアドレスは慎重に見るべし 2011年05月25日21:38 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 何とばかばかしいフィッシングサイトだろう。 このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。 もちろん、違うのだが。 これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。 こんなものに誰も引っかかりはしない。 一部のケースを除いては。 ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。 iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみ
「Dropboxの暗号化は嘘」:FTCへの告発 | WIRED VISION
前の記事 タリバンも英語でTwitter 「Dropboxの暗号化は嘘」:FTCへの告発 2011年5月16日 IT コメント: トラックバック (0) フィードIT Ryan Singel サイトトップ画像は別の英文記事より 2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。 5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。 告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristophe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
yebo blog: 「The Register」がクラックされた
『UDIDが使えなくなりそうなので、UIIDを使えるようにしました』へのコメント
