サービス終了のお知らせ いつもYahoo! JAPANのサービスをご利用いただき誠にありがとうございます。 お客様がアクセスされたサービスは本日までにサービスを終了いたしました。 今後ともYahoo! JAPANのサービスをご愛顧くださいますよう、よろしくお願いいたします。
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
As a teen model, Katrin Kaurov became financially independent at a young age. Aleksandra Medina, whom she met at NYU Abu Dhabi, also learned to manage money early on. The…
先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。 悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている
警察 「IPアドレスが判明すれば、捜査は半分終わったようなものだと思っていた。想定外」 1 名前: ソマリ(埼玉県):2012/10/17(水) 23:38:09.60 ID:/Cqbyka2P 「IP判明で捜査終わり」 次々に被害が明るみになるパソコンの遠隔操作による犯罪。警察・検察にとっては、想定外だったその犯罪が、冤罪を生んだ可能性が高まった。 自分のパソコンがウイルス感染し、「犯人」に間違われる可能性は誰にでもあるといえる。なぜ犯罪は防げなかったのか。 「IPアドレスが判明すれば、捜査は半分終わったようなものだと思っていた。想定外の事態ですよ」。 ウイルス感染したパソコンが遠隔操作され、インターネットで 相次いで犯行予告や脅迫が行われていたことが明らかになると、ある警察幹部はこう漏らした。 http://www.itmedia.co.jp/news/articles/1210/17
Nexus 7 を買った。 技術者としてまずやるべきことを書いておく。 セキュリティの確保 Android タブレットは Linux カーネルを採用している。 Nexus 7 でも Linux カーネルに標準搭載されている dm-crypt を利用してタブレットに保存されたすべてのデータを暗号化することが可能だ。技術者たるもの手持ちのタブレットから情報が漏洩してソーシャルネットワークをハックされたり、ましてや自分の管轄するサーバーがクラックされるようなことがあってはならない。もちろん暗号化したから絶対に安全というわけではないのだが、タブレットが盗難にあった場合でも暗号を解除される前にセキュリティを変更して対処することが可能である。 現在はカジュアルに軍事利用可能なレベルの暗号を利用でき FBI も犯罪捜査の暗号解除に失敗するような時代である。技術者なら手持ちのすべてのデータは可能な限り最高
既報の通り、6 日にビジネス向け SNS「LinkedIn」のハッシュ化された状態のパスワードが流出した (/.J 記事)。これについて同社は 9 日、公式ブログで最新状況を報告しているが、漏れたのはパスワードのみで、パスワードに対応するメールアドレスは「公開されていない」としている (Internet Watch の記事より) 。 セキュリティプロバイダ Qualys 社の研究者 Francois Pesce 氏は、流出した 120 MB の zip 圧縮されたファイルの解析を行ったところ、ファイルには 645 万 8020 個の情報が含まれていた。さらに、オープンソースのパスワードクラックツール「John the Ripper」とパスワードによく利用される 4,000 個の単語を集めたパスワード辞書を組み合わせてパスワード構造の統計分析を行ったところ、0.1 % にあたる 55 万 4
ノーガード戦法を実践する人がほぼ2割も存在することが判明 Tweet 1: ぬこ(兵庫県):2012/05/31(木) 10:31:16.21 ID:pPIIRrd00 マカフィーが2012年5月30日発表した世界のパソコンセキュリティ調査によると、日本は、基本的なセキュリティ対策をしている個人ユーザーの割合が80.65%で、24カ国中下から4位と低かった。トップはフィンランドの90.3%、最下位はシンガポールの78.25%。 対策済みの割合の24カ国平均は83%。日本は未対策が19.35%にのぼった。また、未対策のユーザーの13.2%がセキュリティソフトをインストールしておらず、6.15%がインストールしていても無効になっていた。 http://itpro.nikkeibp.co.jp/article/NEWS/20120531/399562/ セキュリティソフトをインストールしてないユ
ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2) に関するお詫びとお願い <更新のお知らせ> 2014.9. お問い合わせ窓口を更新いたしました。 <更新のお知らせ> 2013.11.6 ファームウェア更新関連情報を追記いたしました。 <更新のお知らせ> 2012.11.19 ファームウェア更新関連情報を追記いたしました。 <更新のお知らせ> 2012.6.1 対策済製品の判別について、追記いたしました。 <更新のお知らせ> 2012.5.24 ロジテック 300Mbps無線LANブロードバンドルータの一部に対する セキュリティーを強化したファームウェア(Ver 2.27)について、2012年5月24日に公開いたしましたのでお知らせいたします。 ファームウェアの更新は下記よりご確認ください。 ファーム
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
HTML5 Security CheatsheetはHTML5のセキュリティに関するチートシートです。問題点と対象Webブラウザ、対処法が一覧になっています。 HTML5 Security CheatsheetはHTML5におけるセキュリティホールになりえる問題点をコードを通じて広めていこうというプロジェクトです。Webプログラマ必見と言えるでしょう。 トップページです。様々な項目が並んでいます。 左側は各セキュリティチェックすべき項目で、対象になるWebブラウザとそのバージョンが並んでいます。問題点の提示とともに、その回避策についても書かれていますのでとても参考になります。 まだ日本語化されていない部分もあります。 ほぼ全てのWebブラウザが対象になる部分もあるようです。 項目は非常に多いですが、セキュリティを重視するためにもチェックしておくべきです。 HTML5ではありますがIE6など
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
ジョージア工科大学(Georgia Tech)助教授のPatrick Traynor氏と、スパイ行為が可能なキーロガー装置になった「(sp)iPhone」 米ジョージア工科大学(Georgia Institute of Technology: Georgia Tech)の研究チームらが、PCのそばにあるデスク上に置いたiPhoneの加速度センサーを使って、そのPCのキーボードで入力された文字を8割以上の高精度で判別する技術を開発したと、同大学が10月18日(現地時間)に発表した。スパイ道具に変身したiPhoneということで「(sp)iPhone」の名称を冠されたこの装置を使うことで、ウイルスを使ってキーロガーを仕込まずとも、ソーシャルエンジニアリング的な手法でより用意にスパイ活動が可能になるわけだ。 同件についての公式リリースはGeorgia Techのページで確認できる。同大学助教授のP
「logを取る」これは鯖管理の基本中の基本である。起動中のモジュールの体調とか動き具合とかは全てlogが教えてくれる。さらに忘れてはならないのは、不正アクセス情報を取得するのはもちろんlogである。したがって、このlogの見方が解らなくては鯖を管理する事は不可能であり、管理者という資質を疑う。と言うことから、ここではlogの見方を全面的に伝授する。 目次 1項 限りなく不審アクセスを受けた生ログの実例 2項 Bindの生ログ 3項 自サイトの安全性チェック方法 4項 デフォルトのsyslog.confでは不十分! 5項 logrotateの活用 1.限りなく不審なアクセスを受けた生ログの実例 1) 完璧にポートスキャンをくらっている 以下、/var/log/messagesの内容 Jun 24 17:54:31 server1 popper[24940]: connect fr
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。 方法は以下の通り簡単です。 Ubuntuなどでブートして、Windowsドライブをマウント C:\Windows\System32以下の「Utilman.exe」を「Utilman.old」にリネーム C:\Windows\System32以下の「cmd.exe」を「Utilman.exe」にコピー 再起動して、Windowsの起動画面で「Windowsキー + U」でコマンドプロンプトが起動 あとは、「explorer.exe」などを実行することもできます。 実験 Ubuntu(ここではBac
米政府高官ら数百人のGmailアカウントが中国からハックされる、その手口とは2011.06.05 21:00 福田ミホ (画像クリックで拡大します) これ実際見ても、見破れないかも...。 先日、数百人分のGmailアカウントがハックされていたことが明らかになりました。攻撃対象には米国の政府高官や軍関係者、韓国や中国の官僚や活動家が含まれていたそうです。 以下はGoogleからの公式声明です。 我々はクラウドベースの強固なセキュリティと不正利用検知システムを有していますが、その中でフィッシングの手口によると思われるユーザーパスワード収集の動きを発見しました。この動きは中国済南から行われたものと考えられ、数百人の個人Gmailアカウントに対して行われていました。対象には米国政府高官や中国の政治活動家、アジア数か国(主に韓国)の官僚、軍人、ジャーナリストが含まれています。 Googleによれば
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く