TL;DR 「オペレーティングシステム?知ってるよ。WindowsとかMacのことだよね」というぐらいの知識だった私が、二週間ほどひたすらWikipediaでインプットしまくったクソ浅い情報を共有します。 最初の動機 「Go言語が対応しているアーキテクチャってなんだろ?」 Go言語には環境変数をコンパイラに渡すことで、出力されるバイナリの対応するOSとアーキテクチャを変えることができます。 GOOS がオペレーティングシステム(OS)、 GOARCH がアーキテクチャです。 こんな感じにビルドすると、 linux というオペレーティングシステムで、 ppc64 というアーキテクチャに対応したバイナリが出力されます。 なるほど。 じゃあ、 Go言語が対応しているOSとアーキテクチャって何があるの? と疑問が湧いてきますね。 その疑問に応えるコマンドが go tool dist list です
社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
GitHubの運用を「会社」にしていく話
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
サイバー攻撃の脅威はなぜ増え続けるのか? 相次ぐ個人情報の大規模漏洩、米・中・露による国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア… IT社会が急速な発展を続ける一方で、私たちの「情報」を取り巻く状況は日に日に悪化している。 数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けている。 今日の情報セキュリティが抱える致命的な〈脆弱性〉は、どこから来たのか? コンピュータの誕生前夜から現代のハッキング戦争まで、半世紀以上にわたるサイバー空間の攻防を描いた、情報セキュリティ史の決定版。 【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 受賞】 「私たちが今日直面するセキュリティ問題の多くは、何十年も前に下された愚かな決定によってもたらされた。本書は、ITの黎明期から現代の
インターネット上の保護されていないデータベースのほぼすべてが削除され、「Meow(ニャー)」というネコの鳴き声だけが書き残される「Meow Attack(ニャー攻撃)」が報告されています。記事作成時点で既に4000近くのデータベースがニャー攻撃によって削除されてしまったとのことです。 New ‘Meow’ attack has deleted almost 4,000 unsecured databases https://www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/ Ongoing Meow attack has nuked >1,000 databases without telling anyone why | Ars Techn
USに移住して4か月経った 入社直後から希望していたUS移籍を会社にサポートしていただき、去年の9/21にビザつきの状態で入国して、その後出張で出国は挟みつつもシリコンバレーで生活し始めてかれこれ4か月経った。 移住後の最初の2か月は右も左もわからず大変だったが、色々な人に助けられて今では落ちついて暮らせる状態になった。 自分用のメモを兼ねつつ、運が良ければ識者から知見が集まるよう、僕がどこで困ったか本記事に書いておく。US移住に興味がある人の参考にもなると思う。これはUSだとスーパーでかなり安く手に入る Ribeye ステーキ。 cooked 🥩 by myself for the first time pic.twitter.com/0UjWrlUlzu— k0kubun (@k0kubun) January 13, 2020 US生活ブートストラップ問題 クレジットヒストリー US
AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 ソリューションアーキテクト – プロフェッショナル(AWS Certified Solutions Architect – Professional)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 ソリュ
2021年7月9日、ニップンは社内でウイルス感染に起因したシステム障害が発生したと公表。8月16日時点で完全復旧に至っておらず、早期復旧が困難だとして第1四半期の決算報告を延期する対応がとられました。ここでは関連する情報をまとめます。 専門家が「例がない」と評価した攻撃 ニップンビジネスシステムが運用、管理を行っているネットワーク上の一部のサーバー、端末に対して、同時に暗号化(一部のみのケースもあり)が行われるサイバー攻撃が発生。ニップンの従業員の指摘により、複数のシステムで障害が起きていることが確認された。 調査にあたった外部セキュリティ専門家から本事象の影響でシステム起動が不可な状態であること、サーバーおよびデータの早期復旧に有効な技術的手段が現状確認されてないことが報告された。 ニップン社内のサーバー上に保管されていた企業情報、個人情報の一部(詳細は8月16日時点で公表されていない)
こんにちは、2019年7月よりトレタにJOINした @aibou です。 本記事はトレタ Advent Calendar 2019の16日目の記事です。 趣味はNFL観戦とボルダリングです。NFLは今年11月にマイナス気温の屋外で現地観戦してきました。 最近リードクライミングの講習を受けまして、ガシガシと岩を登っております。 さて、今回はAWSアカウントとAWS SSOのお話をしようと思います。 既に社内エンジニアへの共有や社内WikiにAWS SSOの利用マニュアルを残していますが、経緯や変遷について記載していないので、トレタ社員の方にも読み物として読んでいただければなと思っています。 免責事項 本記事を参考に実施したことで発生した金銭・セキュリティ等あらゆる問題について責任を負いかねますので、自己責任のもと実施していただくよう、よろしくお願いいたします。 また、誤り等あればはてブ等でご
Amazon Linux 2 のインスタンスを作成する時に必ずやっておきたい事 | DevelopersIO
はじめに こんばんは、菅野です。 Amazon Linux 2 への移行は終わりましたか? Amazon Linux 2 へ移行するには新しいインスタンスを作成する必要がありますが、その時におすすめしたい設定があります。 ※2020-07-08に「注意点 その2」を追記しました。 おすすめの設定 セッションマネージャーを利用できるようにすること メモリ使用率とディスク使用率を CloudWatch で見れるようにすること これらを設定しておくと、今後の運用が楽になります。 セッションマネージャーを使うメリット メリットとしては、SSH 接続をしなくても EC2 のコマンドが実行できるようになりますので、セキュリティグループで SSH を解放する必要が無くなりセキュリティの向上につながります。 この画像はマネジメントコンソールから EC2 にログインした時のものですが、AWS Systems
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
シードデータで動作確認して大丈夫だったのに、本番反映してみたら想定してなかった挙動・エラーが出た😱そんな経験はありませんか。 恥ずかしながら私は今までに何回もありました。機能開発だけじゃなくバッチやマイグレーションなんかでも発生しがちなコレ。またはシードデータで動作確認できても、本番データでも通用するか検証ができないままプルリクを作る、なんていうこともあると思います。今回はこちらを無くす試みをしたお話です。 「もう本番DBで開発しちゃえばいいじゃない」の問題点 この課題を解決するには、極論すると本番DBで開発するしかないのですが、そうなると言うまでもなく以下の問題が出てきます。 レビュー通過してないコードが本番に影響を与える トライ&エラーができない 個人情報をはじめとするセンシティブな情報が開発者の端末に漏れる データ量が多すぎてローカルに持ってこれない しかし言い換えると、これらをク
Microsoft、安全で高効率のプログラミング言語として「Rust」を高く評価:メモリ破壊バグを避けるには Microsoft Security Response Center(MSRC)は、ソフトウェアのセキュリティ確保と効率性の両方の要件を満たす最も有望なシステムプログラミング言語の一つとして、「Rust」を高く評価した。メモリ破壊バグをそもそも作り込まないことでセキュリティを確保できるという。
IIJ Technical NIGHTは、2020年9月11日にオンラインで開催した技術勉強会です。ここで熊坂氏が、SOC(Security Operation Center)のアナリストを支援するインシデント調査システム「CHAGE(チャゲ)」を社内で開発した理由と、その実装について紹介しました。 IIJのインシデント調査システム 熊坂駿吾氏(以下、熊坂):IIJの熊坂から、社内で作成しているインシデント調査システムに関して紹介いたします。「インシデント調査システムが内製すぎる件」というところで、IIJの中で作成しているCHAGE(チャゲ)を紹介します。 まず私は2015年にIIJに新卒入社しまして、2018年度からSOCで業務を行っています。アナリスト的なことは詳しくやっていなくて、どちらかというとアナリストたちが業務を行うための環境の整備をしています。 具体的には、Windowsのメ
セキュリティ研究者のJonas L(@jonasLyk)氏が、たった1行でNTFS形式のストレージを破壊させうるコマンドの存在を明らかにしました。Jonas氏とIT系ニュースサイトBleeping Computerの調査の結果、このコマンドを利用した「見ただけでストレージが壊れるショートカット」も確認されています。 Windows 10 bug corrupts your hard drive on seeing this file's icon https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/ 問題のコマンドが以下。以下は報道のために記載しているもので、実際にコマンドプロンプトから実行するとストレージが破損してア
令和にもなって自分でメールサーバーを作ってみたのでメモ。 OS は Ubuntu 22.04。 パッケージ更新後に自動的に再起動 メールとは関係ないけど apt で再起動が必要な更新があった場合は自動的に再起動するようにした。 /etc/apt/apt.conf.d/50unattended-upgrades: Unattended-Upgrade::Automatic-Reboot "true"; Lets Encrypt TLS 証明書を作るために certbot をインストール。自分はさくらのクラウドのDNSを使ってるのでそれ用のモジュールも追加。 # apt install certbot python3-certbot-dns-sakuracloud https://certbot-dns-sakuracloud.readthedocs.io/en/stable/ に従って /r
freee株式会社は、2020年12月1日(火)から、原則としてメールによるパスワード付きファイルの受信を廃止させていただきます。パートナー及びお取引先の皆様にはご理解とご協力のほどよろしくお願いいたします。 ■方針決定の背景 パスワード付きファイルはメール受信時のマルウェア検査を迂回させるため、結果的にパスワード無しのファイルと比較して社内のセキュリティリスクを増大させています。 また、最近のマルウェアの大半を占めるというemotetの拡散(※1)を、いわゆるPPAP(※2)と呼ばれているものをはじめとしたパスワード付きファイルを送受信する運用が助長させていると考えられており、米国CISAでもパスワード付きファイルの受信をブロックすることをemotet感染の緩和策として提示しています(※3)。 こうした背景を踏まえ、お客様の大切なデータをお預かりする当社としては更なるセキュリティ向上のた
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
How I built a modern website in 2021September 29th, 2021 — 34 min read For over half of 2021, I worked on a complete rewrite of kentcdodds.com. You're reading this on the rewrite of this site! Are you using dark mode or light mode? Have you signed in and selected your team yet? Have you tried to call into the Call Kent Podcast? This blog post isn't about these and other features of the new site, b
「のどの痛みが多い」「嗅覚・味覚の異常は少ない」 新型コロナ オミクロン株の症状の特徴は?(忽那賢志) - エキスパート - Yahoo!ニュース
2022年1月現在、全国で第6波を迎えており、新型コロナウイルス感染症の新規感染者が増加しています。 オミクロン株による感染ではこれまでとどういった違いがあるのでしょうか。 新型コロナの典型的な症状、持続期間、重症化のリスクなどについて現時点での知見をまとめました。 オミクロン株の感染から発症までの期間は?従来の新型コロナウイルス、オミクロン株、インフルエンザの潜伏期の違い(筆者作成) 新型コロナでは感染してから発症するまでの期間(潜伏期)は約5日とされていました。 これはインフルエンザの約2日と比較して長い潜伏期になります。 しかし、オミクロン株ではこの潜伏期が従来の新型コロナウイルスよりも短くなっているようです。 アメリカのネブラスカ州、そしてノルウェーからの報告では、オミクロン株による感染者に接触し後に発症した人の潜伏期は約3日でした。また韓国からも平均潜伏期間は3.6日であったと報
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
(第三者)検証可能な形で情報の非改ざんを保証することブロックチェーン技術の登場により、「情報が改ざんされずに検証できる形で残る」という機能が注目を集めている。しかし、ブロックチェーン技術の文脈でこの機能との関係を考える時に、多くの議論において技術史を踏まえない曖昧な議論が散見され、これが様々な場面で無用なディベートを生み出しているように見られる。そこで、この機能についての歴史を紐解きながら、「いわゆるブロックチェーン」をどう理解したらいいのかを述べたい。 この節のタイトルのように、第三者検証可能な形で情報の非改ざんを保証すること、という要請はもちろん古くから存在する。その多くは、信頼される第三者機関が、ある時点で文書が存在したことを証明するというもので、日本では法務省が所轄する公証制度が存在する[1]。[1]では、公証制度のことを以下のように書いている。 公証制度とは,国民の私的な法律紛争
ffmpeg.wasmffmpeg.wasm is a pure WebAssembly / JavaScript port of FFmpeg enabling video & audio record, convert and stream right inside browsers! Data Securityffmpeg.wasm runs only inside your browser, data security is gaurantee as no data is sent to remote server. Powered by WebAssemblyffmpeg.wasm transpiles ffmpeg source code to WebAssembly code using Emscripten to achieve optimal performance.
侵入型ランサムウェア攻撃を受けたら読むFAQ
ランサムウェアを用いた攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。本FAQでは、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃の被害に遭った場合の対応のポイントや留意点などをFAQ形式で記載します。 JPCERT/CCでは、こうした攻撃を他のランサムウェアを用いた攻撃と区別し、「侵入型ランサムウェア攻撃」と呼びます。 ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった、自組織から窃取されたとみられるファイルを暴露する投稿が行われた、または攻撃者から通知が届いたなどの状況を確認している場合、この攻撃の被害を受けている可能性があります。被害に遭われた企業や組織のCSIRTおよび情報セキュリティ担当の方は、インシデント対応を進める上での参考
[2020年版]AWSセキュリティのための10のことが発表されました # reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、AWSセキュリティやってますか?(挨拶 今回は開催中のre:Invent 2020にて発表された「AWSセキュリティのための10のこと」最新版について紹介します。 前置き 「AWSセキュリティのための10のこと」は実は昨年行われたre:Invent 2019にてAWSのCISOであるスティーブ・シュミット氏が発表していました。 その時の内容は以下AWSブログでも紹介されています。 AWS アカウントのセキュリティを改善するための 10 個の項目 | Amazon Web Services ブログ 上記では「AWSアカウントのセキュリティを改善するための10個の項目」というタイトルですが、長いので私は「AWSセキュリティのための10のこと」と勝手に表現しました。決して公式の表現ではないのでご容赦を。 で、上記は以下の10項目になっています。 アカウント情報を
![[2020年版]AWSセキュリティのための10のことが発表されました # reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8b09ac73d05018444c5e420efd3318c0ab4176f6/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F12%2F001_10places.png)
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 米テキサス大学サンアントニオ校と米コロラド大学コロラドスプリングス校に所属する研究者らが発表した論文「Near-Ultrasound Inaudible Trojan(NUIT): Exploit Your Speaker to Attack Your Microphone」は、スマートフォンやスマートスピーカーの音声アシスタント(Siri、Google Assistant、Alexa、Cortana)に対する不可聴攻撃を提案した研究報告である。 その手口は、インターネット(動画や音楽、Web会議など)を通じて、人間には聞こえない音を流し、リモートでス
本章では、HTTP/3がTCPに代わって下位層で用いるQUICについて解説します。 QUICはトランスポートプロトコル QUICはトランスポートプロトコルです。QUICの説明に入る前に、トランスポートプロトコルついておさらいします。 TCP/IPの4階層モデル プロトコルは階層で役割を分担しています。TCP/IPの4階層モデルでは、アプリケーション層、トランスポート層、インターネット層、ネットワークインタフェース層に分かれます(図1)。 図1 TCP/IPの4階層モデル アプリケーション層に分類されるアプリケーションプロトコルは、クライアントやサーバで動作するアプリケーションの動作に関するデータやメッセージの通信ルールを規定します。たとえばSMTP(Simple Mail Transfer Protocol)は、メールを送信する通信ルールを規定しています。HTTPはこの層に属します。
QUIC is now RFC 9000
QUIC is now RFC 9000QUIC is a new latency-reducing, reliable, and secure internet transport protocol that is slated to replace TCP, the most commonly used transport today. We’ve talked before about how we love QUIC and are deeply invested in making it a success because it aligns with our mission to build a faster, more resilient, and more trusted internet. In fact, we believe so much in the promis
TLSが難しい?RustとLinuxカーネルで実装しよう!
TLS(Transport Layer Security)が難しすぎると、お嘆きのセキュリティファースト世代の皆様、RustでLinuxカーネルを実装しながら学んでみましょう! カーネルモジュールの実装は難しい?それは誤解です。TLSをアプリケーションとして実装しようとすると、各種のライブラリを検索していたつもりが、SNSを眺めていて、一日が終わっていることありますよね。カーネルモジュールを実装するために使えるのはカーネルの機能だけです。検索する必要はなく、雑念が生じる余地はありません。その集中力があれば、カーネル開発は難しくありません。 TLSとLinuxカーネル皆様の中には、LinuxカーネルはTLSをサポートしているのでは?と思っている方がいるかもしれません。TLSは実際のデータの送受信の前に、ハンドシェイクと呼ばれる、暗号鍵の合意や相手の認証を実施します。ハンドシェイク後、Linu
東京大学と九州大学マス・フォア・インダストリ研究所、日本電信電話(NTT)の研究チームは11月24日、量子コンピュータでも解読できない新たなデジタル署名「QR-UOV署名」を開発したと発表した。 この署名は、既存の技術よりも署名と公開鍵のデータサイズが小さいのが特徴。多項式の割り算の余りを使って新しい足し算や掛け算ができる代数系「剰余環」を公開鍵に使うことで、安全性とデータの軽減を両立しているという。 現在普及している暗号技術には、 Webブラウザに使われる「RSA暗号」や、画像の著作権保護や暗号資産に使われる「楕円曲線暗号」がある。これらは、大規模な量子コンピュータが実現した場合、解読されるリスクがあるという。そのため、量子コンピュータが大規模化した時代でも安全に利用できる技術の開発が進んでいた。 中でも、1999年に提案され、20年以上にわたり本質的な解読法が報告されていない「UOV署
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
A Yale Professor Suggested Mass Suicide for Old People in Japan. What Did He Mean?
His pronouncements could hardly sound more drastic. In interviews and public appearances, Yusuke Narita, an assistant professor of economics at Yale, has taken on the question of how to deal with the burdens of Japan’s rapidly aging society. “I feel like the only solution is pretty clear,” he said during one online news program in late 2021. “In the end, isn’t it mass suicide and mass ‘seppuku’ of
オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse Foundationらが異議を表明
欧州連合(EU)の政策執行機関である欧州委員会は、サイバー攻撃による社会的な被害が大きくなってきていることを背景に、現在広く普及しているさまざまなデジタル製品やサービスのセキュリティをより高める目的で、サイバーレジリエンス法案(CRA:Cyber Resilience Act)を検討しています。 この法案が目指すところは、より脆弱性の少ないデジタル製品が市場に投入されるようにすること、市場に投入後も製造者が製品のライフサイクル全体を通じてセキュリティに真剣に取り組むことを保証すること、そしてユーザーもセキュリティを考慮した製品を選択できるようにすること、などです。 欧州委員会では同時に製造者責任法の改定案も検討中です。これは従来の製造者責任法ではカバーされていなかったデジタル関連の製品やサービスに対しても製造者責任を問えるようにするものです。 しかしこれらの法案ではオープンソースの開発者が
AWSは、AWSのさまざまなサービスからのメッセージをSlackもしくはAWS Chimeへ通知してくれる「AWS Chatbot」をベータ版として発表しました。 具体的には以下のサービスからのメッセージを扱うことができます。 Amazon CloudWatch AWS Health AWS Budgets AWS Security Hub Amazon GuardDuty AWS CloudFormation AWS Chatbotはこれらから送られてきたメッセージをAmzon SNS経由で受け取り、SlackもしくはAmazon Chimeへ通知します。AWS Chatbotを利用するための追加料金などは発生しません。 ITシステムの開発や運用の現場では、Slackのようなチャットサービスを人間同士のコミュニケーションに使うだけでなく、ビルドやデプロイなどシステムに対する操作や、その結
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
11種類のオペレーティング・システムについてまとめてみた - Qiita
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
情報セキュリティの敗北史|白揚社 -Hakuyosha-
データベースの中身がほぼ削除されてネコの鳴き声だけが書き残される謎の「ニャー攻撃」が活発化
US移住とブートストラップ問題 - k0kubun's blog
BCP想定を上回ったニップンへのサイバー攻撃についてまとめてみた - piyolog
入社後にAWSアカウントの整理とAWS SSOを導入した話 - トレタ開発者ブログ
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
毎日本番DBをダンプして、ローカルと開発環境で利用して生産性を上げてる話
Microsoft、安全で高効率のプログラミング言語として「Rust」を高く評価
「よろしい。ではDBも内製だ」 IIJのインシデント調査システムが内製すぎる件
たった1行でストレージを即時破損させうるコマンドが見つかる、「見ただけでストレージが壊れるショートカット」の存在も
Ubuntu 22.04 でメールサーバーを作ったのでメモ - tmtms のメモ
freee、メールによるパスワード付きファイルの受信を廃止 | プレスリリース | フリー株式会社
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
How I built a modern website in 2021
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
タイムスタンプの再発見と「いわゆるブロックチェーン」
ffmpeg.wasm | ffmpeg.wasm
Free Wi-Fi(00000JAPAN)は安全なのか? - Qiita
YouTubeで“聞こえない音”を流し、スマホを遠隔操作する攻撃 音声アシスタント機能を悪用
第2章 詳解QUIC ~ TCPに代わり下位層で使用する新しいトランスポートプロトコル | gihyo.jp
量子コンピュータでも解読できない暗号技術、東大らが開発
Google 公式ウェブ開発者向けリソースのご紹介
AWS Chatbot発表、CloudWatchのアラートなどをSlackへ通知。無料で利用可能