9割がパスワード使い回し、漏えいしたソニーのパスワードから分析 - うさぎ文学日記
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。 Troy Hunt: A brief Sony password analysis 以下の観点について分析がなされています。 長さ 文字空間(文字の種類) 乱数 一意性 この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。 ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。 その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。 ソニーとGawkerで比較した場合でも67%が使い回しだと判
Twitter によるセキュリティ情報配信をはじめました — 旧メイン・ブログ | Baldanders.info
こんなの既に誰かやっているような気もしますが, セキュリティ情報を集約して Twitter で配信する実験をはじめました。 とりあえず, 以下のサイトのフィードを twitterfeed で集約し, twitter/security_inci で配信しています。 JPCERT/CC RSS 情報処理推進機構:情報セキュリティ 緊急対策情報 Japan Vulnerability Notes X-Force セキュリティアラート&アドバイザリ del.icio.us/spiegel/Security+Vulnerability (6/3 追加: 上述4つのフィードでは漏れが多いため, 私のブックマーク情報を追加してみるテスト) (6/11: del.icio.us 側の日本語処理が上手くないようなので停止中) National Vulnerability Database (6/5 追加)
Sony Japan|ソフトウェア脆弱性防止コーディングルール
ソニーが仕様を定めて作成・納品を依頼するソフトウェアにおいては、ソフトウェアセキュリティ上の脆弱性を出来るかぎり防止するために、原則として「ソフトウェア脆弱性防止コーディングルール(STM-0117 一般公開版)」*に規定するコーディングルールに従ったプログラミングをお願いしております。 ソニーはビジネスパートナーの皆様とともに、ソフトウェア脆弱性の防止に努力を重ねてまいりますので、ご協力のほど、よろしくお願いいたします。
Comodo Firewall @ Wiki
アップデート情報 リリースノート ( excite翻訳 ) COMODO公式フォーラム ( excite翻訳 ) 2010-05-07 主要な総合セキュリティソフトを評価する Proactive Security Challenge が更新された。テスト項目が 更新され ランキングが混乱していたが、CISはなお100%のスコアを維持している。 2010-04-13 COMODO Internet Security 4.0.141842.828がリリースされた。アップデートはCIS4ユーザーに通知される。このリリースには不完全な翻訳と思われる言語が搭載されておらず、それにより日本語も搭載されていない。以前からのアップデートの場合はそのまま日本語表示が利用できる。( 以前の日本語言語ファイル ) 2010-03-25 COMODO Internet Security 4.0.138377.77
CXSECURITY.COM Free Security List
Bugtraq Stats Yesterday: {{ x.iyest }} Last month: {{ x.imont }} Current month: {{ x.icurr }} Total: {{ x.itotal }}
CAPEC - Common Attack Pattern Enumeration and Classification (CAPEC)
Understanding how the adversary operates is essential to effective cybersecurity. CAPEC™ helps by providing a comprehensive dictionary of known patterns of attack employed by adversaries to exploit known weaknesses in cyber-enabled capabilities. It can be used by analysts, developers, testers, and educators to advance community understanding and enhance defenses.
Psychology and Security Resource Page
Psychology and Security Resource Page Ross Anderson A fascinating dialogue is developing between psychologists and security engineers. At the macro scale, societal overreactions to terrorism are founded on the misperception of risk and uncertainty, which has deep psychological roots. At the micro scale, more and more crimes involve deception; as security engineering gets better, it's easier to mis
情報処理推進機構:情報セキュリティ:中小企業のためのセキュリティツールライブラリ
ツールを「現状把握」「対策・立案」「効果測定」「改善・見直し」の4テーマに分類。さらに内容に応じて「初級」「中級」「状況」の3レベルに分けました。 あなたの会社のセキュリティテーマや求めている内容レベルに合致したツールを選んで効果的にご利用ください。
The Web Application Security Consortium / Web Application Security Statistics
Methodology The statistics was compiled from web application security assessment projects which were made by the following companies in 2008 (in alphabetic order): Blueinfy Cenzic with Hailstorm and ClickToSecure DNS with WebInspect Encription Limited HP Application Security Center with WebInspect Positive Technologies with MaxPatrol Veracode with Veracode Security Review WhiteHat Security with Wh
アスキーアートや単語当てゲーム、それが「問題」だ - @IT
いざラスベガス、いざDEFCON CTF決勝へ(後編) アスキーアートや単語当てゲーム、 それが「問題」だ 福森大喜/ラウリ・コルツパルン 株式会社サイバーディフェンス研究所 上級分析官 2009/10/6 「もしDEFCONに行くなら手伝ってくれないか」……そして、いざ決勝の地へ! 予選の混乱をお伝えした前編に続き、後編では決勝の模様をレポートします。(編集部) 決勝の地に到着、そこは底冷えするホテルの一室 会場はラスベガスにあるリヴィエラというホテルで行われます。会場に着くと、韓国チームは開場30分前に全員そろっていてすでに腹ごしらえをしています。それに対して、われわれのチームは開場から1時間ほどたってからそろい始めるという具合。韓国チーム、気合いが入っています。 われわれのチームは、韓国、アメリカ、エストニア、日本の混合チームです。学生が多く、若いチームでした。会場はテーブルが用意さ
予選はクイズ感覚の「超高度な知恵くらべ」 - @IT
福森大喜/ラウリ・コルツパルン 株式会社サイバーディフェンス研究所 上級分析官 2009/9/14 「Trivialの400」にみる証明書の重要性 「Trivial 400」は暗号解読のような問題でした。これは「SSLを使っていれば安全」という考えに警鐘を鳴らすような問題です。 まず、配布されたバイナリファイルを見ると、パケットキャプチャをしたファイルであることが分かりました。これをWiresharkで開いてみると、HTTPSで通信したデータであることが分かります。暗号化通信ですので通信内容を読むことはできません。そのため、暗号を解読すれば正解を得られるのではないかと考えました。 そこでまず使われている暗号方式を調べるため、キャプチャデータの中からサーバ証明書を抜き出します。すると、2048bitのRSAが使われていることが分かりました。OpenSSLといえば昨年、DebianのOpenS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Packetstan
html5security - Project Hosting on Google Code
Learn Bitcoin, buy Bitcoin
Team Cymru: Threat Intelligence and Risk Visibility Tools
Web Maven
Linux問題解決支援サービス
SANS Software, IT Application Security Training with Frank Kim
脆弱性検証レポート|NTTデータ・セキュリティ株式会社
JPドメイン Web改竄速報
