Wi-Fi セキュリティのことはじめ - 記憶力が無い
この記事は Cyber Security Advent Calendar 2022 の 20 日目の記事となります。 はじめに 今や Wi-Fi ルータは多くの家で利用されていますが、 どのような仕組みで安全な無線通信が実現しているかを理解して使っている人は多くはいないと思います。 私もこれまであまりわかっていないまま使ってきました。 今回は、Wi-Fi セキュリティのことはじめとして、通信の暗号化に使用する鍵を決定する手続きである 4way-Handshake について調べてたことをまとめようと思います。 4way-Handshake 家庭用の Wi-Fi ルータで広く採用されているセキュリティ規格である WPA2-PSK では、通信の暗号化に使う鍵を決定するのに 4way-Handshake と呼ばれる手続きを行います。 4way-Handshake では、下の図に示すようにアクセスポ
楕円曲線暗号に 512 bit は存在しない | はったりエンジニアの備忘録
新しい SSH 鍵を作るために ssh-keygen のマニュアルを読んでいたら、おもしろい記述を見つけました。鍵のビット長を指定する b オプションの説明です。 For ECDSA keys, the -b flag determines they key length by selecting from one of three elliptic curve sizes: 256, 384 or 521 bits. 「ECDSA キーの場合、b オプションは 3 つの楕円曲線サイズのいずれかを選択することでキーの長さを決定する」。ここまでは理解できるのですが、示された 3 つ目のビット長が 521 bit なんです。 「えっ、2^9 の 512 bit じゃなくて 521 bit なの?」エンジニアなら違和感を感じて、まずタイポを疑いますよね。自分もタイポだと思って Fedora で試
自然言語処理でトラフィック変化検知 | IIJ Engineers Blog
最近はセキュリティログ解析などに取り組んでいます。何か面白そうな話題があればお声がけください。IIJ/IIJ-II技術研究所所属。 【IIJ 2021 TECHアドベントカレンダー 12/6(月)の記事です】 猫も杓子も深層学習と言っていた時代も一区切りついたように思います。画像処理の分野で一躍(再)注目を浴びた深層学習技術は、自然言語処理や囲碁ゲームなど、他の分野でもめざましい成果をあげました。 我々はインターネット界隈で活動していますが、それらの技術を自分たちの分野に活用できないかと検討をしたものです。何か今までできなかったようなすごいことが、深層学習を使ったら魔法のように実現するのではないか、と夢を見ていた時期もありました。もちろん、トップ研究者の方々がいろんな方面からインターネットへの深層学習の応用を試みて、素晴らしい成果が上がったことに間違いはないと思います。ただ、それらが今のネ
パケット遊び ARP編 - 高速通信計算研究所
この記事は僕の趣味である「パケット遊び」をたくさんの人に知ってもらい、ぜひパケット仲間を増やそう!といった内容の記事です。 What is LibPGEN LibPGEN (りぶ ぴーじぇん) は筆者(@slankdev)がパケット操作を自由に行うために開発した統合パケット操作補助のC++ライブラリです。 簡単なインターフェースで自由にパケットを操作して送受信を可能にしています。 また、既存のパケットを読み込み、ヘッダの値を変えて再度バイナリ生成、などといったことにもできます。 前提知識 今回はARPパケットを使用して遊ぶため、Ethernet, ARPの基礎知識と入門書程度のC++の知識を前提として進めていきます。 一応ARPパケットのおさらい 今回作って遊ぶARPパケットの構造とヘッダについて軽くおさらいします。必要ない人は飛ばしてもらって結構です! ARPはL3のアドレスからL2プロ
CVE-2020-10749(Kubernetesの脆弱性)のPoCについての解説 - knqyf263's blog
少し前ですが、Kubernetesの方から以下の脆弱性が公開されました。 github.com タイトルにはCVE-2020-10749と書きましたが、複数のCNI実装が影響を受ける脆弱性でCVE-2020-10749はcontainernetworking/pluginsにアサインされたものです。他にもCalicoはCVE-2020-13597、DockerはCVE-2020-13401、などとそれぞれCVE-IDがアサインされています。 このIssueの説明を読んで、はいはいあれね完全に理解した、と思って一旦閉じました。ですが、頭で分かった気になって手を動かさないのは一番やってはいけないことと念じ続けてきたのに、しれっと同じことをやりそうになっていた事に気づきました。なので数日経ってからちゃんとPoCを書いてみました。多少知識が増えてくるとついうっかりやってしまいがちなので気をつけなけ
ぼくのかんがえたさいきょうのDNS
本記事に関連した講演が、本日13:45~開催されるIIJ Technical WEEK 2016で行われます。(該当のセッションは16:45~予定の「DNSにまつわるセキュリティのあれこれ」です)ストリーミング中継も行いますので、是非ご覧ください。 このごろ DNS ってこうげきをうけることがおおいんだって。 DNS は「どめいんなまえしすてむ」のことで、ドメインのなまえをきくと IP アドレスをおしえてくれたりするしくみだよ。わるいひとたちが DNS をいじめてつかえないようにしちゃうと、インターネットであそべなくなっちゃう。 だったら、それにまけないつよい DNS をつくればいいよね。 どんな攻撃が来るのか ……すいません、読みにくいですね。漢字使います。なお、漢字で書いたところで中身は「ぼくのかんがえたさいきょう」に違いありません。 DNS に対する攻撃は大きくわけると、2つ。DoS
Nmap 9つの真実
MicrosoftのWebブラウザ、Internet Explorer/EdgeにはXSS攻撃からユーザーを保護するためのXSSフィルターという機能が搭載されている。XSSフィルターは、リクエストにXSS攻撃らしき文字列があり、ページ内にそれに対応する文字列が出力されている場合に、ページ内の対応する文字列の一部を書き換えることによりユーザーを保護する。この書き換え動作は安全に行われているのだろうか?答えはNoだ。今回私は、XSS脆弱性のないありふれたページで、XSSフィルターの動作を利用することで、保護するどころかXSS脆弱性を作り出すことができる手法を発見した。本講演では、XSSフィルターを利用したXSS攻撃の可能性について技術的な詳細を述べるとともに、サイト管理者はこのXSSフィルターの悪夢とどう向き合うべきかについて提案する。
トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita
トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べたAPIOAuthWeb TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方について詳しくはこの記事の下のほうに書いた 要求 トークンを利用した認証・認可機構を持つ API を作りたい クライアントがトークンを HTTP リクエストに含めて送信し、サーバはトークンを検証してリソースへのアクセスを許可したい Authorization: Bearer トークン ヘッダでトークンを送る API あるよね、ああいうやつ 疑問 Authorization: Bearer ヘッダは OA
Goによるプライベートネットワークへのアクセスを禁止するHTTPクライアントの実装 - はこべにっき ♨
クローラのように、ユーザからの入力に応じて任意のURLにHTTPリクエストを発行するソフトウェアは、誤ってプライベートネットワークへのリクエストを処理しないようにする必要があります。悪意のあるユーザが故意にプライベートなネットワークに対してリクエストして、内部情報にアクセスするといった攻撃を行う可能性があるからです。 PerlではLWPx::ParanoidAgentやLWPx::ParanoidHandlerといったモジュールが便利です。これらのモジュールは、リクエスト先のURLをチェックしてプライベートネットワークへのリクエストを禁止してくれます。単にIPアドレスをチェックするだけでなく、ホスト名をDNSで解決して得られたIPアドレスをチェックしたり、リダイレクト先のURLをチェックしたりしてくれます。まさに偏執的です。 このLWPx::ParanoidAgentと同様の機能をもったG
malware-traffic-analysis.net
A source for packet capture (pcap) files and malware samples... I started this blog in 2013 to share pcaps and malware samples. I've archived all blog posts from 2013 through 2020, so those posts are no longer avialable as pages on this site. However, anything originally posted from 2013 through 2020 is now contained in password-protected zip archives by year in the archived section. Tutorials C
「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性
「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性:DNSの基本仕様のあいまいさに根本原因、対策は修正版へのアップデート BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在する。対策は最新版へのアップデートだ。 日本レジストリサービス(JPRS)は2014年12月9日、BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在することを明らかにし、注意を呼び掛けた。JPCERTコーディネーションセンター(JPCERT/CC)も同日、BIND 9に関する注意喚起文書を公表している。 JPRSによるとこの脆弱性は、少なくとも全てのバージョンのBIND 9とUnbound、
CentOS flow-toolsの設定
ホーム CentOS6 OTRSのインストール CentOS6 VNC Serverのインストール CentOS6 iperfでスループット計測 CentOS6 IPv6アドレスの設定および無効化 CentOS6 IPv6のスタティックルートの追加 CentOS6 スタティックルートの追加 CentOS6 2TB以上のHDを使う カーネル起動の視覚化 カーネル起動オプション CentOS6 Quota CentOS6 Mondorescue CentOS6 NTP CentOS6 Kdump CentOS6 NIC Bonding CentOS6 SNMP Trap Manager CentOS6 ext4ファイルシステム CentOS6 yum CentOS6 リソース管理 CentOS6 iptablesによるパケットフィルタ CentOS6 Tripwire CentOS6 chkr
dotless domainとccTLDの話:Geekなぺーじ
昨年12月に、Informational RFCとして、RFC 7085「Top-Level Domains That Are Already Dotless」が発行されました。 そこでは、TLD(Top-Level Domain)そのものにAレコード、AAAAレコード、MXレコードが登録されている、いわゆる「ドット無しドメイン」の一覧が紹介されていますが、一部界隈では「晒し上げRFC」と揶揄されています。 なお、このRFCで「晒し上げられている」TLDはすべてccTLDで、gTLDは一つもありません(その理由を、今回の記事で紹介します)。 要は、「ここで晒されているccTLDは、運用を見直せば?」という圧力の意味合いもあるようです。 ここでポイントなのは、「直せ」と直接的に言っているのではなく、「ドット無しは有害です」「これがドット無しのTLDの一覧です」ということがたんたんと記載されて
Tor and HTTPS | Electronic Frontier Foundation
Click the "Tor" button to see what data is visible to eavesdroppers when you're using Tor. The button will turn green to indicate that Tor is on. Click the "HTTPS" button to see what data is visible to eavesdroppers when you're using HTTPS. The button will turn green to indicate that HTTPS is on. When both buttons are green, you see the data that is visible to eavesdroppers when you are using both
政府認証基盤(GPKI)のホームページ
当ホームページは、リンク・フリーです。 なお、リンクを設定される際は、「政府認証基盤(GPKI)」のホームページへのリンクである旨明示をお願いいたします。 また、当ページの利用規約はこちらです。
認証局を立ててぼろもうけしたいんですが>無理な理由を理解しよう - Qiita
SSLの認証局とか証明書とか勉強し始めはホント難いよね このへんのSSL/TLSの仕組みって勉強し始めの頃は凄く難しく感じるのよね。分かりやすく解説してくれてるサイトってあんま見たこと無いし。 んで、 >>300,304 みたいなことは僕も昔考えたことあったわー、と懐かしみを覚えたのでレスってみた。 証明書を発行できるかどうかは証明書のフラグで決まっている、という >>303 の指摘も重要よね。 以下2chスレより引用 丁寧過ぎると評判のレスをしてるID:UyEJo1f2が僕なわけだがw 2chだとそのうち倉庫に行っちゃうかもしれないのでここにメモ。 【認証局】SSLに関するスレ 2枚目【ぼろ儲け】 http://hayabusa6.2ch.net/test/read.cgi/mysv/1286532904/298-309 298 :DNS未登録さん:2013/05/31(金) 13:31
ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする : DSAS開発者の部屋
KLab はコンテンツの開発と共に運用も日々担っていますが,その活動の全ての拠点は社内のシステムです.そのため,社のシステムにはいつでも外からアクセスできる必要があります.システムへのアクセスは ssh を使うのですが,この ssh へのアクセスは前記の理由で世界中からアクセスできる必要があります.こういった公開されている ssh のポートへは日々飽きもせずに brute force アタックが繰り返されています.sshd はこのような成功するはずのないアタックであっても律儀にログを出力してくれます.しかしながら,無意味なログの羅列は,重要なログが埋もれる結果になって嬉しくありません.それに,アタックによるログインの試行のために CPU 時間を無駄に費やすのもばかばかしいことです. ログの出力や CPU 時間の浪費を低減するには,これらの攻撃パケットをフィルタリングしてやればいいのですが,
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選 - builder by ZDNet Japan
iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかをスクリプトにまとめておくことで、管理作業をずっと容易にすることができるのだ。 こういったことを念頭に置き、コマンドを10個見ていくことにしよう
SSHGuard
SSHGuard protects hosts from brute-force attacks by: Monitoring system logs Detecting attacks Blocking attackers using a firewall Fast, simple, secure, and protects a wide range of services out of the box! Internet-connected hosts are subject to constant probing and attacks from malicious actors. Brute-force attacks represent a large threat to account compromise for hosts and their networks. Block
Linuxで作るファイアウォール
今回からiptablesの具体的な設定を解説する。iptablesの使い方はやや複雑だが、理屈を理解すれば難しいものではない。前半で紹介する知識を利用して、まずはNATを実現しよう。 前回はiptablesを使用するためのカーネル再構築とルールの設計を行いました。これを基にファイアウォールを構築していきます。今回はiptablesの概要とNATの設定を行いましょう。 なお、前回紹介したルールはあくまでも参考なので、実際には自分の環境に合わせて作成してください。ただし、ルールの作成方法は基本的に変わらないので参考になると思います。 iptablesの仕組みと機能 これから本格的にファイアウォールを構築していくわけですが、その手段であるiptablesを理解していなければ目的を達することはできません。少々回り道になりますが、iptablesについて学んでおきましょう。 iptablesを理解す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
