WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
Capy CAPTCHAは一瞬で突破できる - 素人がプログラミングを勉強していたブログ
Capy CAPTCHA 早速、実証コードが(CAPY IS A VERY READABLE CAPTCHA)出たようだ。このように一瞬で突破されてしまい意味がない。 さきほどインターネットを見ていたらスパム防止用の「読みづらい画像認証」に、日本人が終止符を打った技術が斬新過ぎる!経由で、Capy - 低コストで導入も簡単な不正ログイン対策という、パズルを使った新しい新しくないCAPTCHAを知った。 コンテストに優勝するなど肯定的な反応が多いので、この記事では、このCAPTCHAのセキュリティ上の問題点について簡単に書いておこうと思う。 まず、Capy - デモにデモが乗っているので、タイプ別に問題点を示す。 パズルタイプの破り方 ジグソーパズルの空白を埋めるタイプのCAPTCHAである。話にならない。 まず、縦横が5pxごとに吸い付くようになっているので、縦横400px*300pxだと
脆弱性検知ツール「Vuls」の開発者に聞いたOSSをバズらせる極意
バルスというツールをご存知だろうか? 日本ではとあるアニメの崩壊の呪文として扱われることの多いこのフレーズがいま、サーバー管理者のシステム崩壊を防ぐためのツールとして注目されている。OSSの脆弱性検知ツールであるVuls(バルス)について、開発元であるフューチャーアーキテクトの神戸 康多氏と林 優二郎氏に詳しく話を聞いた。 まずはVulsについて簡単に教えてください 神戸氏:VulsはVULnerability Scannerの略で、Linux/FreeBSD向けの脆弱性スキャンツールです。OSのみならずプログラミング言語やライブラリに至るまで多くの環境に対応し、レポートや通知を行います。ソフトウェアには数多くのバグが含まれ日々脆弱性に関するレポートが報告されています。サーバー管理者は脆弱性に関する情報を随時チェックし、その脆弱性が自身が管理するサーバーにどれくらい含まれているのか影響範囲
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
攻撃を「隠す」、攻撃から「隠れる」
攻撃を「隠す」、攻撃から「隠れる」 と称して発表します。すみだセキュリティ勉強会の主催のozuma5119です。 1 すみだセキュリティ勉強会を主催しています、ozuma5119と申します。 ふだんは、比較的固めの会社でセキュリティエンジニアをしています。ブログはこち ら。 http://d.hatena.ne.jp/ozuma/ 科学写真家というのは、「理科の教科書に載ってるような写真」を撮る人たちです。 こちらは副業ということで、小学生向けの教材の写真とか撮って、ときどき本に載っ たりします。 2 Agendaですが、まず、今回はポートスキャンとnmapに絞って話をします。 「隠す」と一口に言っても、ファイルの見えない領域に隠すとか、パケットやプロトコ ルのいろんな「隙間」に隠すとか、暗号化で機密情報を隠すとか深堀りすると色々あ るのですが……キリが無いので思い切り限定することにしち
「SELinuxのせいで動かない」撲滅ガイド - Qiita
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
年金機構、個人情報をパスワード同封で郵送 見直し方針:朝日新聞デジタル
日本年金機構が、厚生年金に加入する会社員などの個人情報をディスクに入れ勤め先に送る際、読み取るためのパスワード(PW)を同封し、普通郵便で送っていたことがわかった。封筒ごと他人の手に渡れば個人情報が流出しかねず、機構は問題だったと認め見直しを進めている。 機構は、事業主と従業員で折半する厚生年金保険料の額を算定するため、毎年1回7月に、全国約170万の加入事業所に従業員の給与データの提出を要請。希望する約10万事業所に、従業員ごとの氏名と前年度分のおよその月給額などを記録したディスクを事前に郵送している。昇給などがあればデータを上書きのうえ、返送してもらう。 機構のホームページから誰でも無料でダウンロードできるプログラムを使ってPWを入力すれば、ディスクからデータを引き出せる。このため、PWの管理は特に重要になる。 ところが機構によると、事業所を管理するためにつけた5ケタの番号をPWに転用
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用 ルール上は「個人情報の格納は原則禁止」 日本年金機構から125万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム(社会保険オンラインシステム)から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた(関連記事:日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出)。サーバー上に個人情報を置くことは原則禁止していたという。 同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり
![[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
Wavelet matrix implementation
1. Succinct Vector, Wavelet Matrix implementation 2013/2/20 社内勉強会 3/21 update version of marisa 光成滋生 2. 今回の実装(中のもの) Succinct vector https://github.com/herumi/cybozulib/blob/m aster/include/cybozu/sucvector.hpp Wavelet matrix https://github.com/herumi/cybozulib/blob/m aster/include/cybozu/wavelet_matrix.hpp Benchmark code https://github.com/herumi/opti/ rank_test.cpp, wm_test.cpp 2 / 16
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
サイバーセキュリティ法案成立を拒んだ民主党議員ってどんな人?
自民、公明、民主など与野党6党は11日、サイバーセキュリティ基本法案を衆院に提出する。関係省庁にサイバー攻撃などに関する情報を内閣に速やかに提供するよう義務付けるほか、内閣に戦略本部を設置し、対策の実施などを政府の関係機関に勧告できるようにする。政府のサイバー攻撃への対応能力を向上させるのが狙いで、今国会で成立する見通しだ。 サイバー攻撃の情報提供、各省庁に義務化 基本法案が成立へ 2014/6/10 23:51日本経済新聞 電子版 という報道でありました。 詳細はここで民主の大野もとひろ議員が書いてました。 サイバーセキュリティ基本法の修正案を書き上げました 6/13には衆議院を通過したのですが・・・6/21になり・・ 自民、公明、民主各党などが共同で今国会に提出し、成立の見通しだったサイバーセキュリティ基本法案は参院で継続審議となった。サイバー攻撃への政府の対応を強化する内容。内閣委員
艦隊これくしょんの通信がとてもじゃないけど見てられない
その文字列検索、std::string::findだけで大丈夫ですか?【Sapporo.cpp 第8回勉強会(2014.12.27)】Hiro H.
「ロリポがワードプレスを乗っ取られた!」批判ブログに対しロリポ先生「事実でなかったらどう責任を取るつもりか?株価にまで言及して責任とれるか?」深夜に絶叫ツイート(追記あり) : Birth of Blues
「謝罪の王様」オフィシャルブック 土下座の彼方まで~黒島譲に学ぶ謝罪の極意~ ※追記でオチを付けたので、一度見た方は文尾だけどうぞ。 余計なこというな、馬鹿者!って、殿様かよ。 子供じゃあるまいし、外部からの指摘や批判は敵でなく、口うるさい味方と捉えないと。 で、どうでもいいけど http://www.landerblue.co.jpという人はキャッシュプラグインとか入れんの?アドセンスでメシウマ以前に、重くてググるキャッシュ経由じゃないと読めないんですが。 はてなブックマーク - 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun! via kwout 以下、感動で鳥肌モノのツイート。なんでいちいち非公式RTなのかは謎。(貼り順適当) どちらに非があれ、確認せず断言、ロジカルな話を感情で返す、断片的
ニフティで不正ログインが発生、2万1184IDに被害 (ITmedia エンタープライズ) - Yahoo!ニュース
ニフティは7月17日、特定のIPアドレスからの不正ログインによって会員情報を閲覧された可能性があることを確認したと発表した。少なくとも2万1184IDが対象になるとしている。 同社によると、不正ログインが確認されたのは16日午前10時のこと。調査から不正ログインは14日〜16日に行われ、@nifty会員向けの「お客様情報一覧」ページにある登録情報が何者かに閲覧された可能性がある。既に特定のIPアドレスからのアクセスを遮断して、監視を強化しているという。 閲覧された可能性のある会員情報は、契約のコースによって異なるものの、「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「契約状況」「利用料金」「メールアドレス」などだという。クレジットカード情報は一部をマスキングしていることから、決済手段としては利用できないとし、現時点で会員情報などの改ざん、IDとパスワードの漏えい、
Googleグループがあまりにも情報ダダ漏れ状態で失神した - Hagex-day info
ゲスッ子Hagexも今回は「ためいきロ・カ・ビ・リー」を思わず熱唱しました。 ためいき♪ ロカビリー♪ 心を乱す南風♪♪ よくわからない導入になってしまいましたが、みなさんは、Googleグループというサービスをご存じでしょうか? その名の通り、Googleが運営しているサービスで、メーリングリスト的なサービスを簡単に始めることができます。手軽に利用できる反面大きな問題もあり、なんと初期設定では「投稿されたメールがすべて第三者でも見られてしまう」のです。 先日、官公庁や病院がGoogleグループを利用し、情報がダダ漏れ状態なのを読売新聞にスッパ抜かれ、ニュースになりました。 ・内部メール誰でも閲覧「グーグルグループ」利用(読売新聞) そして、昨日はECサイトがGoogleグループを利用し、顧客情報が漏れているという指摘のエントリーが注目されました ・EC サイトの使用を即刻辞めろ!!!(s
トレンドマイクロの嫌がらせ!: Epimeleia tes Psyches
「ウィルスバスター」ユーザーさんには、大変申し訳無い記事なのですが……。 この会社の、もはや「悪質」としか思えない機能を書きます。 大半のユーザーさんは、実態を知らずに使っている機能でしょうし、 私は別のセキュリティソフトを使用しているので、バスターの設定は知らないのですが、 恐らく、初期設定が「有効」の為に起こっている事象だと推測しています。 その機能とは「Webレピュテーション」。 マイクロトレンドのサイトでは、 「脅威情報収集ネットワークによって収集した様々な情報を基に、ドメイン、Webページ、 Webサイトに埋め込まれているリンク単位でスコアリングを行いデータベースに登録」 ……と説明されており、とても素敵なシステムに見えますが。 その実態は、例えば、バスターユーザーが、このブログを閲覧したとします。 そうすると、そのアクセスの数分後にトレンドマイクロのbotが後追いでやって来て、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
さくらのVPSに来る悪い人を観察する その2
GMOグループのクラックわっしょい祭、永江一石氏「クラックされてるよ」→熊谷社長「されてないWPが悪い」→石森大貴氏「侵入経路分かったWP関係ない」 : 市況かぶ全力2階建
