The latest news and insights from Google on security and safety on the Internet
セキュリティ人材は、どうやって育てていけばよいのか。取材から分かった育成モデルは、知識習得と実務経験を繰り返してスパイラル型にスキルを向上させていくものだ(図3)。 前提条件として、開発や運用の知識と経験が必要となる。「セキュリティ人材は『実際の業務フローやコストを考慮して落としどころを見つける』という思考法が必要。開発や運用の現場を知らないと、非現実的なセキュリティ対策をやろうとしてしまう」(リクルートテクノロジーズ ITソリューション統括部 サイバーセキュリティエンジニアリング部 シニアマネジャーの鴨志田 昭輝氏)。一定の実務経験を積んだ若手、中堅の人材のうち、セキュリティに興味や関心がある人材が、セキュリティ人材としてのキャリアを積むのが一般的だ。 セキュリティ人材は、身に付けたセキュリティスキルに応じて2段階ある。 第1段階は、自身の業務に関連する基礎的なセキュリティ知識を身に付け
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
CSAW CTF 2014の予選にsuperflipというチーム名で参加した。結果。2240点145位。去年までは簡単な問題が多かったけど、今年は難しい問題は普通に難しかった。以下、解けた問題の解法。問題はアカウントを登録すれば、ここでまだ見られる。 Exploitation bo (100点) バイナリファイルとそれが動いているサーバーのIPアドレスが提示される良くある形式。普通はバイナリファイル中にフラグは無いので、バイナリファイルを解析して、その結果をサーバーに投げるけれども、この問題はバイナリファイル中にフラグがそのまま含まれていた。 >strings bo : Welcome to CSAW CTF! Time to break out IDA Demo and see what's going on inside me. :] flag{exploitation_is_easy
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
ハッキングの腕を競うコンテスト「SECCON 2015 決勝大会」が、東京電機大学東京千住キャンパス(足立区)で1月30~31日の2日間にわたって開催されました。4人1チームで戦うこの大会に、男の「友利奈緒」(ともりなお)が4人出場したと話題になっています。 友利奈緒(画像は公式サイトより) 友利奈緒は、テレビアニメ「Charlotte」のヒロイン。星ノ海学園の生徒会長を努めており、任意の1人から姿を消せるという“能力”の所持者です。 お前は一体何を言っているんだと言われてしまいそうですが、つまり男性4人で「友利奈緒」のコスプレをして出場したチームがいたというわけです。チーム名は「TomoriNao」で、出場者の登録名は「TomoriNao」「TomoriNao」「TomoriNao」「TomoriNao」。恐ろしいほどの「友利奈緒」推しです。誰が誰だよ。 ハッキングの大会に現れた4人の友
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
日本年金機構は、年金情報を管理しているシステムに外部から不正アクセスがあり、年金加入者の氏名や基礎年金番号など、およそ125万件の情報が流出したとみられることが先月28日に分かったことを明らかにしました。日本年金機構の水島理事長は記者会見し、「125万件の個人情報が流出したことを深くおわび申し上げる。誠に申し訳ございません」と陳謝しました。 このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのがおよそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのがおよそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのがおよそ5万2000件で、合わせておよそ125万件となっています。日本年金機構では、今のところ、社会保険を支払うためのシステムへの不正アクセスは確認されていないとしています。 日本年金機構の水島理事長は厚生労働省で記者会見し、「125万
暗号化技術を解説した「クラウドを支えるこれからの暗号技術」が公開された。githubよりダウンロードできる。 同資料は、おもに2000年以降に登場した暗号技術を中心に紹介するもので、サイボウズ・ラボの光成滋生氏が執筆した。入門書と専門書の中間の位置づけだという。 共通鍵暗号や公開鍵暗号、乱数、デジタル署名、PKIなど基本的な技術の解説にはじまり、2014年に話題を呼んだ「POODLE」や仮想通貨「Bitcoin」で利用されている楕円曲線暗号などにも言及している。 そのほか、「検索可能暗号」「準同型暗号」をはじめ、「プロキシ暗号」「放送型暗号」「IDベース暗号」「ゼロ知識証明」など、従来の暗号にないあらたな技術を紹介している。200ページほどのPDFファイルで、githubよりダウンロードできる。 (Security NEXT - 2015/03/26 ) ツイート
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
プロセスアカウンティング用に広く利用できる物として "Process Accounting Utility" があります。環境によって、パッケージの名前が、 psacct もしくは acct になっているものです。 $ # インストール (ubuntu) $ apt-get install acct 用意されているコマンド lastcomm: 実行されたコマンドの表示 ac : ユーザの接続時間の表示 sa: 過去に実行されたコマンドの集計/フィルタ ※ 質問の要件を満たすために、一般ユーザーからはこれらのコマンドが実行できないようにしてください。 アカウンティングサービスの実行 $ # サービスの開始 $ /etc/init.d/acct start $ # サービスの停止 $ /etc/init.d/acct stop 実際は、accton コマンドによってプロセス監視が始められます。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く