メモリのビット反転エラーとセキュリティの話|Rui Ueyama
ハードウェアのエラーでメモリの内容が化けてしまうことが稀にある。大抵のDRAMエラーはせいぜいプログラムがクラッシュする結果になるだけだが、データ破壊になることもありえるし、悪意のある使い方をすればセキュリティ破りに使うこともできてしまう。ここではメモリエラーとセキュリティの話をしようと思う。 メモリのエラー率は意外なほど高い。データセンターで大規模なマシン群を対象に実際に観測したところ、1年間に1回以上のエラーが発生したDIMMモジュールは全体の8%にのぼったそうだ。DIMM 1枚に数百億個のメモリセルが実装されているといっても、このエラー率はちょっとびっくりするくらい大きな数字ではないだろうか? サーバでは普通はエラー訂正付きのDIMMを使うので1ビットのエラーは問題にならないが、エラー訂正のないコンシューマ機器ではこれは実際的な問題になりえる。 メモリエラーを利用したセキュリティ破り
日航偽メール3億8000万被害|NHK 首都圏のニュース
日本航空は、何者かが取引先を装って送りつけてきた航空機のリース代などを請求する電子メールを信じ込んで、3億8000万円あまりを指定された海外の銀行口座に送金してだまし取られたと公表しました。 日本航空によりますと、ことし9月、実在する海外の取引先を装った電子メールで、航空機のリース代として3億6000万円を請求され、財務担当の部署の社員が指定された香港の銀行口座に送金したということです。 メールには「振込先の口座が変更になった」と記されていて、送信者が取引先の担当者の名前になっていた上、添付された請求書も実物そっくりでサインもあったことなどから信じ込んだということです。 さらにアメリカにある航空貨物の事業所でも、ことし8月と9月、同様の偽のメールにだまされてあわせて2400万円を振り込み、被害額はあわせて3億8400万円にのぼるということです。 日本航空は本物の取引先から振り込みがないと指
モジラ、「Firefox」に通知なく拡張機能をインストール--非難殺到で中止
Mozillaが米国で実施した、テレビドラマ「MR. ROBOT」のハッカーが登場するオンラインゲームとのタイアップ計画は、ほぼ開始直後に逆効果になった。 「Firefox」のユーザーから、米国時間12月13日より、明確な許可の確認や機能の説明もなしに、「MY REALITY IS DIFFERENT THAN YOURS」(私の現実はあなたのものと違う)と書かれているだけの謎めいた拡張機能が同ブラウザにインストールされたと苦情が出るようになった。あるFirefoxユーザーがRedditに、「私にはそれ(拡張機能)が何か、どこから来たものかまったく分からない。怖くなって、すぐにアンインストールした」と書き込んだところ、Mozillaに非難が殺到した。 MozillaはMR. ROBOTとの提携を通じて、先週「Looking Glass」という拡張機能をリモートで米国のユーザーのマシンにイン
ポートノッキングで10秒間だけsshdを公開する設定 - hnwの日記
先日Twitterに次のような書き込みをしたところ思ったより反応が良かったので、詳細の設定を紹介します。 UDP53番、TCP443番、UDP123番とポートノッキングをするとTCP443番に10秒だけsshdが現れる、という中二病全開の設定をした。皆様にもお勧めしたい。— hnw (@hnw) 2017年3月26日 といっても特殊なことをしたわけではなく、knockdでポートノッキングの設定を行い、iptablesと組み合わせて実現しました。 ポートノッキングとは ポートノッキングというのは、決められたポートを決められた順番で叩くことでファイアーウォールに穴を空けられるような仕組みのことです。ポートノッキングを使えば、TCPの7000番、8000番、9000番の3ポートにパケットを送りつけると22番ポート (SSH) へのアクセスが許可される、といった設定ができます。 ポートノッキングの
A strategy to secure your API keys using Gradle – Cássio Oliveira – Medium
Shhhhh ! Keep the API keys hidden is a constant concern specially when working on a shared or public repository. This article will show a very simple approach to solve this problem using Gradle. Step #1: create a keystore.properties file. This file will contains all the private keys. Create it on your project root and write down the API keys on property=value notation. keystore.properties Remember
LINE乗っ取られたのでその鮮やかなる手口を恥を忍んで公開しましょう - はてなブログを毎日書いていたら10Kg痩せました!
どうも、情弱です。 いやー、やられました。 先程見事にLINEを乗っ取られてしまいました。 今まではLINEで「今ひま?ちょっと手伝ってもらっていい?」というプリカをねだるメッセージが来る度に「情www弱www乙www」と笑っていたのですが、今日からぼくもそちら側です、よろしくお願いいたします。 今回の件で、やはり一番怖いのは機械的なハッキングでなくて心の隙を突かれるソーシャル・エンジニアリングだなと実感しました。 騙されちゃったらもう説得力ありませんが、僕は昔からネットのエロサイトで鍛えた眼力があって、そうそうネットのフィッシングなどには引っかかったことが無いのですが、それでもちょっと気が緩めばネットでは死んでしまうというよい事例です。 めっちょ恥ずかしいですが、自分の恥が誰かを助けるかもということでここは一発状況を共有しておきましょう。 LINE詐欺はLINE以外のメッセージで来た 僕
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
インフラエンジニアじゃなくても押さえておきたいSSHの基礎知識 - Qiita
最近はクラウド上のサーバーを利用する事も多くなってきた。 サーバーの用意やネットワーク周りの設定はインフラ部門がやってくれるけど、アプリのデプロイ/設定は開発者がする事が多いので、開発メインでやってるエンジニアでも最低限SSHの知識は必要になる。 また、Vagrant等でローカル環境にVMを作成する事もあるので、ローカル環境内でSSHを使用するケースも増えてきた。 というわけでインフラエンジニアじゃなくてもSSHクライアントの知識は必須になってきているので、改めてSSHの再学習をしてみることにした。 SSHとは 暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル。 SSHでは以下の点で従来のTelnetより安全な通信が行える。1 パスワードやデータを暗号化して通信する。 クライアントがサーバーに接続する時に、接続先が意図しないサーバーに誘導されていないか厳密に
VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談:IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2
VPN Gate - Public Free VPN Cloud by Univ of Tsukuba, Japan
Follow @vpngate Free Access to World Knowledge Beyond Government's Firewall. Your IP: 133.242.243.6 Your country: Japan Let's change your IP address by using VPN Gate! Welcome to VPN Gate. (Launched on March 8, 2013.) - You can get through your government's firewall to browse restricted websites. (e.g. YouTube.) - You can disguise your IP address to hide your identity while surfing the Internet. -
HOME
ネットで合鍵作成、合鍵工場です。ネットサービスのため、鍵を購入していただいた場合には、郵送で鍵をお届けしております。お店から手渡しというわけにはいかないため、納品の際に、気をつけていることを紹介します。 レターパックプラスを使用 納品時、レターパックプラスを使用しております。レターパックプラスは、追跡サービスがついており、荷物の配達状況を、購入者様も確認することができます。 また、郵便局員の方に、対面で配送してもらえる点も、合鍵工場、購入者様ともに安心の点です。 ポスト投函の郵送を利用する場合、本当に届い ... アンケート調査会社へ依頼し集まりましたエピソードです。前回のエピソードはこちら 鍵がないことに気づき、パニック 初めて一人暮らしをした時、仕事帰りに家についたら家の鍵がないことに気づき、パニック。警察に紛失届をだし、その日は電車で隣駅の漫画喫茶に泊まって、翌日有休を出して不動産に
GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
Let's Encrypt
A nonprofit Certificate Authority providing TLS certificates to 363 million websites. Read all about our nonprofit work this year in our 2023 Annual Report. From our blog Dec 28, 2023 A Year-End Letter from our Vice President A summary of how ISRG’s three projects, Let’s Encrypt, Divvi Up, and Prossimo continue to improve security and privacy. Read more Dec 13, 2023 Our role in supporting the nonp
「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ(2015年6月 9日)| 株式会社ラック
「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ 2015年6月 9日 | お知らせ 2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、当社が知り得た範囲で整理し、対処方針など他山の石として学ぶべきことを提言するものです。 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けました。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものでした。 本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためでした。 情報を守るために切り離された2つの
input type = password autocomplete = off は使ってはいけない
Big Data Challenges, Presented by Wes Caldwell at SolrExchage DCLucidworks (Archived)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How to generate a random string?
Let them paste passwords
How To Use Putty with an SSH Private Key Generated by OpenSSH - CNX Software
Webアプリケーションにおけるパスワードの管理について
Discover YubiKey 5 | Strong Authentication for Secure Login | Yubico
