記者は「ShellShock」に触れてみた、そして震え上がった
LinuxなどUNIXベースのOSで広く使われているシェル(コマンド実行環境)「GNU Bash」で2014年9月24日に見つかった非常に危険な脆弱性、いわゆる「ShellShock」の件で、IT業界が大騒ぎになっている(関連記事:「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も)。 記者は先週末、取材でほとんど外に出ていたが、取材先を訪問するたびに必ずこの話題が出ていたほど。もちろん、ITproはじめIT系ニュースサイトもShellShock関連のニュースを盛んに取り上げている。既にこの脆弱性を悪用する攻撃も始まっており、ボットネットも出現している。この先どんな被害が出るのか、想像するのも困難な状況だ。 記者は、記者としてこの手のセキュリティ記事を書く立場だが、対策をとるべきインターネットサイトの運用者としての立場も持っている。自宅で固定IPアドレス(IPv4)を契約
記者は「BadUSB」を試してみた、そして凍りついた
「BadUSB」という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある(関連記事:ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」)。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。 セキュリティ分野は特に「自分で触ってみるとよく分かる」 記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人(一次ソース)に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
魂、奪われた後――弱いパスワードの罪と罰 ― @IT
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 管理者権限を奪取すると何をされるのか 昨今、OSやアプリケーションの脆弱性が公表された際に、管理者権限を奪取されることに対する注意喚起がなされるのはいまや日常茶飯事である。「管理者権限が奪取される」「システムが掌握される」と聞くと、なんと
人の造りしもの――“パスワード”の破られ方と守り方
サーバの再起動ができない環境で今やるべきこと サーバの中には検証などを必要とするため、サーバの設定を変更できない場合も考えられる。そのような場合のために、前述した設定変更を行わずとも、NTLMハッシュのみの格納となる方法も紹介しよう。こちらは、再起動などの必要がなく運用に負荷をかけないものである。その設定とはズバリ「15文字以上のパスワードを設定する」である。 LMハッシュの格納は、15文字以上の文字列に対応していないため、これにより、システム内には、強制的にNTLMハッシュのみが格納される。以下は、設定変更を行っていない環境下で、15文字以上のパスワードを設定したユーザーのPwDump7の実行結果である。 「str15」という名前のユーザーのパスワードハッシュがNTLMのみになっていることが分かる。 まとめると、LMハッシュを格納せず、NTLMハッシュのみの格納とするには以下の選択肢があ
パスワードクラック - Wikipedia
パスワードクラック、パスワードクラッキング () とは、コンピュータシステムで保存あるいは伝達されるデータからパスワードを割り出すクラッキがこうんワードを割り出すためFF00F00FF00FF00FF00FF00FF00FF00E であったり[1]、システムで許可されていないアクセス権を得るためであったり、簡単に割り出せるようなパスワードが使われていないかシステム管理者が予防的にチェックするためだったりする。ファイル単位のパスワードクラックとしては、判事がデジタル形式の証拠物件へアクセスするために使うというケースがある。すなわち、システムへのアクセスはできるが(パスワードをかけられた)特定ファイルへのアクセスが拒否されるという場合である。 主な攻撃方法[編集] 脆弱な暗号化[編集] 保存したパスワードを保護するにあたり、設計の悪いパスワードハッシュ法をシステムが使っている場合、適切に考えら
APOP(MD5)の暗号化破られる - エンタープライズアプリケーション志向
メールパスワードを暗号化して送信する規格「APOP」の 暗号解読方法を電気通信大学の太田和夫教授(暗号理論)の研究グループが発見しました。 メールパスワード暗号化規格「APOP」 日本人によって破られる APOPの暗号化にはMD5が利用されているらしいですが、 そのMD5から元のパスワードに復元する方法を発見したとか。 MD5は文字列を不可逆的に暗号化できる方法として 広く知られており、 OSSのソフトではDBにパスワードを格納する際に使われることがあります。 これはDBのデータを盗まれたとしても パスワードがわからないようにするため。 MD5は何年か前にその暗号化強度の弱さを指摘されたり、 現在ではあまり使われていないとか(よくわかりませんが) とにかく、当事者は要対策ということで。 ・情報元 IPA CodeZine YOMIURI ONLINE ネットで調べてみたら、以下の情報が。
企業に認証サーバが必要な理由
認証……資源にアクセスしようとしている人間が名乗っているとおりの人間かどうかを確認する(I&Aで後述) 認可……認証がパスしたとして、その人間に適切なアクセス権が与えられているかを確認する (アクセス権の限定で後述) となる 課金管理……いまの時代にそぐわない気もする単語であるが、古くからこの訳が当てられており、いまだにこの訳が使用されているようである。あえて現代風にアレンジすれば、「アクセスログ管理」とでもなるだろうか(アクセスログサンプルを参照) 誰がいつ・どのくらいの時間アクセスしていたかのログは、インシデントが発生した(何か事件が起こった)際の事後確認のために必須である。 また、そうではなくてもキャパシティプランニングは日常業務として必要であり、そのための指標にもなる。 Identification & Authentication 認証で重要な概念をI&Aと称することが多い。これ
Google、Webアプリ向けの高速な脆弱性スキャナ「Skipfish」を公開
Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。誤検知を抑えた高度なセキュリティチェックを導入、とらえにくいセキュリティホールを検出できるとしている。 米Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。現在最新版となるバージョン1.1βのコードが公開されている。 Skipfishはクロスサイトスクリプティング、SQLインジェクションなど、Webアプリケーションで発生する可能性のあるセキュリティホールをスキャンして検出するツール。誤検知を抑えた高度なセキュリティチェックを導入、とらえにくいセキュリティホールを検出できるとしている。Cで実装されており、HTTPハンドリング向けに最適化することで速度を改善、LAN環境で毎秒2000件以上のHTTP要求を処理できるという。
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
『DropBoxとセキュリティ』
今話題のファイル共有ソフト「DropBox」を 皆さんご存じでしょうか? 2GBまでのファイルサーバーを無料で使え、宅ファイル便のように使うことや、 ひとつのPCのフォルダに共有をかけて、 違うパソコンからインターネット越しに、そのフォルダにアクセスできる優れものです。 パソコンに備わっているファイル共有機能をインターネット越しにカンタンにできるようなものです。 家のパソコンと共有をかけることで 外出先で家のファイルを見ることができるなど、 ネットブックなどに非常に便利なツールです。 しかし、このツールを使ってみて心配になってみたポイントが出てきました。 それは、共有元のフォルダにウイルス感染したファイルが入りこんできたとき 共有先のパソコンでは、どうなるのだろうか?ということです。 と、いうわけで、今回は 「DropBoxの共有もとにウイルス感染したファイルが置かれた場合」 を、日本語版
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座:Webアプリケーション編
Mind eye : 覚えにくいパスワードが、解読されにくいパスワードとは限らない
通勤ヒトフデ パスワード解析
認証強化 | Google Apps ™