ローカルストレージに保存するデータの暗号化 ― Windows の場合 - NyaRuRuが地球にいたころ
Gumblar による FFFTP への攻撃について GumblarによるFFFTPへの攻撃について FTPのアカウントを盗み、サイトを改竄するGumblarウイルスが猛威をふるっております。 このGumblarウイルスの亜種が、FFFTPを狙って攻撃していることが報告されております。 詳しくは以下のサイトを参照してください。 smilebanana UnderForge of Lack FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除法はプログラムソースを解析すれば可能です。 Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。 上記理由により、以下のいずれかの対策をお取りください。 ●接続先のFTPサーバーがSSL等に対応している場合。 →
After Google’s Stand on China, U.S. Treads Lightly (Published 2010)
SANTA CLARA, Calif. � Last month, when Google engineers at their sprawling campus in Silicon Valley began to suspect that Chinese intruders were breaking into private Gmail accounts, the company began a secret counteroffensive. It managed to gain access to a computer in Taiwan that it suspected of being the source of the attacks. Peering inside that machine, company engineers actually saw evidence
GSM の暗号の解読 — 旧メイン・ブログ | Baldanders.info
今度の(現地時間)日曜日, ベルリンで行われる Chaos Communication Conference で, GSM (Global System for Mobile Communications)の暗号アルゴリズム A5/1 の解読に関するプレゼンテーションが行われるらしい。 Hackers Show It's Easy to Snoop on a GSM Call GSM Encryption Cracked, Showing Its Age 日本は GSM 圏外なのでなじみが薄いかもしれないが, 世界全体の 80% で使われているサービスである(日本のケータイが「ガラパゴス」と呼ばれる所以もここにある)。 GSM については 『情報セキュリティ技術大全』 に解説がある。 少し引用しておこう。 (ただし, この本は原書が2001年, 邦訳版が2002年に出版されたもので, 現時
Renegotiating TLS について — 旧メイン・ブログ | Baldanders.info
SSL/TLS の再ネゴシエーション処理にプロトコル上の欠陥があり, HTTPS において Man-In-The-Middle 攻撃(ぶっちゃけて言えばなりすましのこと)を受ける可能性があるらしい。 Renegotiating TLS TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに これに対して OpenSSL は新しいバージョン 0.9.8l をリリースした。 OpenSSL version 0.9.8l released TLS/SSLに中間者攻撃の脆弱性、OpenSSL更新版が公開 ただしこのバージョンは今回の脆弱性を修正したものではなく, 再ネゴシエーション機能を丸ごと削除したものらしい。 今後については既にドラフト案も挙がっているが, 今回の脆弱性はプロトコルに関わる部分なので最終的に修正されるのはちょっと時間がかかりそうな感じ。 Transport Layer
機密データを安心してクラウドに預けられる暗号方式
米IBMの研究員クレイグ・ジェントリー氏が、暗号分野の数十年来の難問を解決した。専門家によると、このブレークスルーがクラウドコンピューティングにもたらす影響は極めて大きい。 ジェントリー氏は、「完全準同型暗号(fully homomorphic encryption)」を実現する方法を考案した。この方法は、暗号を復号したり、その機密性を損なったりすることなく、暗号化されたデータに対する複雑な数学的演算を可能にする。ただし、この方法には難点もある。膨大なコンピューティングパワーが必要なことだ。場合によっては現在の1兆倍ものレベルが必要になると推計されている。 ジェントリー氏の研究成果がうまく実用化されれば、例えば防衛関連業者や医薬品研究施設などが、セキュリティや規制コンプライアンスに不備が生じることを心配せずに、機密データを外部に送信して分析を受けるといったことが可能になる。現在はこうしたデ
2009-10-01
複数枚の画像を添付するとメール投稿に失敗する不具合(修正済み) 7/17頃から、複数枚の画像を添付してメール投稿をすると、アップロードに失敗する不具合が発生しておりました。本不具合は修正済みです。 ご利用の皆様にはご迷惑をお掛け致しまして申し訳ございませんでした。また、はてなアイデア(idea:25318)にてお知らせいただきましてありがとうございました。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 このたび、一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました。 本件につきまして、ユーザー様に対してご迷惑、ご心配をおかけいたしましたことを、深くお詫び申し上げます。また、改ざんの被害に合われたユーザー様には別
yebo blog: AESへの新攻撃法
2009/07/02 AESへの新攻撃法 シュナイアーが自身のブログでブルートフォースよりも効率が良いAESへの新しい暗号解読攻撃に言及していた。Alex Biryukov氏とDmitry Khovratovich氏がRelated-key Boomerang Attackという攻撃法を用いることで、総当たり攻撃よりも計算量を少なくすることができると提案している。AES 256の場合、解読に要する計算量は2119になるそうだ。なぜか、AES 192の場合は計算量が2176とAES 256よりも大きくなっている。この結果、ブロック暗号のキースケジュールの設計に新しい示唆を与えるものだが、もちろんすぐにAESから他の暗号に切り替えるような慌てる事では全くない。 Slashdot | New AES Attack Documented また、Ron Riviestが推していたMD6がSHA-3の
第35回 覗き見対策 | WIRED VISION
第35回 覗き見対策 2009年9月15日 (これまでの増井俊之の「界面潮流」はこちら) パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。 ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。 伏字が有害だとNielsen氏が言った理由は以下のようなものです。 ユーザの操作に対しては常にフィードバックが返るべきである 本当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味が
『Skype』通話を盗聴可能:ソースコードを作者が公開 | WIRED VISION
前の記事 木製ショッピングバッグのような、日本製のスピーカー バーチャルハンド:筋肉の動きで手書き文字を再現 次の記事 『Skype』通話を盗聴可能:ソースコードを作者が公開 2009年9月 1日 Kim Zetter 『Tech World』の記事によると、VoIP(Voice-over-IP)電話の会話を傍受して記録するマルウェアを作ったスイスのプログラマーが、そのソースコードをオンラインで公開した。その目的は、『Skype』のようなプログラムの脆弱性に注目を集めることと、警察がこのマルウェアをひそかに監視に利用するのを妨害することだという。 33歳のRuben Unteregger氏は、2006年に、以前の雇い主であるスイスのERA IT Solutions社のために『MiniPanzer』と『MegaPanzer』のコードを書いた。同社はこれらのマルウェアを、監視への利用を目的とす
SaVing YouR FreeBSD from BruteForce Attacks
Allow Bro… Now, I will sharing my experience about FreeBSD…I talk about The BruteForce attack.. While this often once I get the bruteforce attacks to ssh and ftp service to almost all internet servers. I find the rather good tools to prevent this attack, it is called Bruteblock. Bruteblock allows system administrators to block various bruteforce attacks on UNIX Service. The program analyzes the sy
無線 LAN 暗号化 WPA への改ざん攻撃の実装と評価 | スラド セキュリティ
「無線 LAN 暗号化 WPA への改ざん攻撃の実装と評価」という発表が、電子情報通信学会の LOIS 研究会で 9 月 25 日に広島大学で行われます。 著者には、WEP を 10 秒で解読する手法で有名な神戸大の森井昌克教授が名を連ねています。おそらく相当効果的な攻撃方法が発見されたのでしょう。 私の勤め先では ISMS の規定上、無線 LAN を買い換えるか撤去しなければなりません (4 台しか存在しませんが、対応の煩雑さに頭が痛くなってきました) 。無線化を進めた企業はどのように対処するのでしょうか? 機材購入の予算獲得や設定変更の準備などで大騒ぎだと想像はできますが…。 森井先生のブログ記事によると、ちょうど今日、8 月 7 日に台湾で開催されている JWIS2009 にて、広島大学の大東俊博助教がこの件について発表するらしい。既に 5 月の信学会 ICSS 研究会でも部分的に発
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
The tech layoff wave is still going strong in 2024. Following significant workforce reductions in 2022 and 2023, this year has already seen 60,000 job cuts across 254 companies, according to independent layoffs tracker Layoffs.fyi. Companies like Tesla, Amazon, Google, TikTok, Snap and Microsoft have conducted sizable layoffs in the…
CRYPTREC | CRYPTREC Report 2008の公開
トピックス CRYPTREC Report 2008の公開 平成21年5月30日 独立行政法人 情報通信研究機構 独立行政法人 情報処理推進機構 2004年度から、独立行政法人情報通信研究機構(略称NICT)と 独立行政法人情報処理推進機構(略称IPA)は、 共同して電子政府推奨暗号の安全性の監視等を行う「暗号技術監視委員会」と、 暗号モジュールの評価基準及び試験基準の作成や暗号実装関連技術等の調査・検討を行う「暗号モジュール委員会」を運営しています。 これら委員会の活動報告として、 「CRYPTREC Report 2008」 を公開いたします。 「CRYPTREC Report 2008 暗号技術監視委員会報告書」 (PDFファイル:1652KB) 「CRYPTREC Report 2008 IDベース暗号に関する調査報告書」 (PDFファイル:1788KB) 「2008 年度版リスト
C/C++ セキュアコーディングセミナー資料 | JPCERT コーディネーションセンター
これまでにC/C++ セキュアコーディングセミナーで使用した講義資料を公開しています。2010年度にセミナを実施した、文字列、整数、動的メモリ管理、書式指定文字列、CERT C セキュアコーディングスタンダード、ROSE については、それぞれ最新版の資料を掲載しています。 文字列 ユーザとソフトウエア間に発生するデータのやりとりの大部分は文字列によって行われます。 また、プログラム間でのデータ交換も文字列形式で行われるようになり、その結果、文字列表現や文字列管理、文字列操作における弱点がソフトウエア脆弱性を生み出しています。 文字列では、C/C++ 言語における文字列操作、一般的なセキュリティ上の欠陥と、その結果発生する脆弱性と対処方法について解説します。 C/C++ における文字列の特性 犯しやすい文字列操作の間違い 文字列の脆弱性 プロセスのメモリ構成 スタック破壊の仕組み コードイン
yebo blog: SHA-1の脆弱性が更に進む
2009/06/12 SHA-1の脆弱性が更に進む SHA-1の脆弱性は2005年のXiaoyun Wang氏、Yiqun Lisa Yin氏,Hongbo Yu氏 が公表したSHA-1に対する攻撃の成功から始まった。今までは、衝突を発生させるには、263回の演算が最短記録だったが (SHA-1は160ビットなので誕生日攻撃をしようとすると、理論上は280回の計算が必要)、オーストラリアのマッコリー大学のセキュリティ研究者が252回の演算で衝突を発生させることに成功したそうだ (PDF)。差分経路の探索にブーメラン攻撃を組み合わせるそうだ。高いセキュリティが必要な場合は、そろそろ本気でSHA-2への移行を考えておくべきだろう。 Register | Crypto attack puts digital sig hash on collision course Differential Pa
第31回 安全と安心 | WIRED VISION
第31回 安全と安心 2009年5月11日 (これまでの増井俊之の「界面潮流」はこちら) ISO(国際標準化機構)/IEC(国際電気標準会議)のGuide 51という規格(規格に安全面を導入するためのガイドライン)では、安全とは「受け入れ不可能なリスクがないこと」と定義されています。ここでいうリスクとは「利を求める代償としての危険」のことで、自然災害のような受動的な危険はリスクと呼びません。富士山は噴火する危険はありますが、噴火するリスクがあるとは言いません。電話やネットのように便利さを求めるものにはオレオレ詐欺にひっかかるリスクがあったりすることになります。つまり、能動的な行動にリスクはつきものですが、リスクが充分小さいものは安全であると数値的な解釈ができることになります。 このように安全は客観的に定義が可能ですが、安心は主観的なものなので、必ずしも安全さと安心感は比例しません。例えば、
中国人のサイバー攻撃 | taro-nishinoの日記 | スラド
昨今欧米メディアは、中国、ロシア政府によるサイバー攻撃を盛んに取り上げています。私が不思議でならないのは、記者連中の力量ではおそらく実態を見ることは出来ないだろうと思われるのに、あたかも見て来たかのような記事が多いことです。 そして、危惧されるのは、中国と聞けば条件反射的に何かおどおどろしい感慨を持つ日本人が多いことです。 暗号理論やセキュリティで有名なBruce Schneier氏は、政府によって組織化されている方がむしろ安心なんだと主張し、実際は組織化されていないが故に、より悪い状況になるやも知れぬと言って来ました。その一つがChinese Cyber Attacksという記事です。昨年の7月14日のものですが、今読んでも古びていません。こういうものが和訳されていないのを残念だと思いましたので、以下、私訳を載せて置きます。 中国人のサイバー攻撃 人気のあるメディアの題材は、中国政府によ
EU規制当局、VoIPの傍受捜査を模索--Skypeの協力も取りつけ
欧州司法機構(ユーロジャスト)は、犯罪者がSkypeを利用して当局の捜査を免れているとする声明を発表していたが、このほどこの見解を大きく変更した。同機構は、欧州連合の加盟国間の司法協力を調整する機関。 同機構は現地時間2月20日、「Skypeなどのインターネット電話システム(VoIP)の通話に関する捜査の調整や協力で中心的役割を果たす」と発表した。声明は、同機構の役割はさまざまなデータ保護ルールや市民権に配慮しつつ、インターネット電話システムを傍受する際の技術的および司法的な障害を解消することであり、これはイタリア反マフィア局の求めによるものだとし、次のように説明した。 同日の声明には「Skypeで使用されている暗号システムは秘密とされ、同社は当局への開示を拒んでいる。一方、捜査における傍受への依存度は近年高まっており、ミラノの関税警察と税務警察はSkypeを問題視してきた。実際、コカイン
HTTPSセキュリティを強化するPerspectivesエクステンション | OSDN Magazine
暗号化セキュリティは、そのアルゴリズムを理解する人々にとってはありがたいものだが、理解しない人々にとっては無意味である場合がかなり多い。セキュリティの高いHTTPSプロトコルは、ウェブ閲覧向けに広く使用されているが、致命的な欠陥が1つ存在する。つまり、ユーザーが証明書エラーに関する警告を無視するという問題だ。PerspectivesというFirefoxエクステンションは、このセキュリティホールを封じることを目的とする。 FirefoxはSSL証明書が、それが検出されたサイトのドメイン名と一致しない場合や自己署名である場合には、セキュリティ警告をポップアップ表示する。どちらもよくあるケースである。たとえばgmail.comは、mail.google.com用に発行された証明書を使用するし、非商用ウェブサイトの多くは、VeriSignなどの認証機関に年間使用料を支払わなくてもよいように自己署名
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
)
yebo blog: TLS/SSLv3再ネゴシエーションの脆弱性の概要