パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に | スラド セキュリティ
「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」やTogetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果
パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 | スラド セキュリティ
米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD、本家/.)。 容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。 容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、
パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG | スラド セキュリティ
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要) ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。 パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。 ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択ひみつの質問の回答(※全角20文字以内で入力し
YouTube に HTML インジェクションの脆弱性 | スラド セキュリティ
YouTube のコメント欄に HTML インジェクションの脆弱性が存在することが明らかになったそうだ (YouTube Help forum のスレッド、本家 /. 記事より) 。 見つかったバグは、YouTube のコメントの冒頭に「<script>」と記述すると、このタグ自体は無視されるがその後に続く内容はページに反映するというもの。このバグは英語圏の掲示板 4chan でも報告され、一時期はコメントにスクロール文字や不適切なサイトへのリダイレクト、その他もろもろのイタズラが仕込まれていたという。 YouTube ではバグの悪用を防ぐため現在このようなコメントをブロックしているとのこと。またデフォルトではコメント欄は非表示になっており、既に投稿された該当コメントの削除が行われているが、大元のバグはまだ修正されていない模様とのことだ。
「もんじゅ」事故の動画がリーク | スラド セキュリティ
本家記事経由、Wikileaksに高速増殖炉「もんじゅ」ナトリウム漏出事故のビデオが掲載されました。 公表されたのは約9分間のビデオで、YouTubeでも視聴可能。事故当時の職員の様子や、二次冷却材の金属ナトリウムが漏れ、現場に積もっている様子が撮影されています。 このビデオは「もんじゅ」を近日運転を再開する旨の発表を受けて市民メディアサイトNPJが公表したもので、『価値がない』ためにこれまで動燃が隠し続けてきていた「午後2時ビデオ」とのことです。NPJは「動燃はなぜこのビデオを隠そうとしたのか、なぜこのために当時発表担当だった職員が自殺しなければならなかったのかを考えて欲しい」としています。解説をしているブログをあわせてみると、公表の経緯がわかります。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ペニスによる生体認証」を導入したアダルトチャットサービス | スラド セキュリティ
