GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
国家検定「ファイナンシャル・プランニング技能検定試験」の試験問題、Webサイト上で試験前に閲覧可能とになっていた | スラド セキュリティ
1月27日に実施された国家検定「ファイナンシャル・プランニング技能検定」において、検定の実施団体である一般社団法人金融財政事情研究会のWebサイトに事前に試験問題が掲載されていたことが判明した(一般社団法人金融財政事情研究会のお知らせ、厚生労働省の報道資料、毎日新聞、読売新聞)。 試験前日の1月26日、2ちゃんねるのスレッド「1級FP技能士専用の意見交換の場11」の674で
中国製の半導体チップに「バックドア」が発見される | スラド セキュリティ
バックドアが見つかったデバイスの詳細を知りたくてリンク先を見てみたけど、ちょっとタイトルは釣り気味じゃないかなあ。 簡単にまとめると以下のような感じ。ナナメ読みなので間違ってたらすいません。 ・バックドアが見つかったのはActelのProASIC3 [actel.com](及び他のActel製品) ・ProASIC3にはFPGAのコンフィグデータをAESで暗号化する機能があり、暗号キーを知らない第三者にはFPGAのコンフィグを行うことができないようになっている ・しかし暗号キーを知らなくてもFPGAをコンフィグできる特別なキーがあった(これがバックドア) ・Actel(今はMicrosemi?)はアメリカの企業だけどデバイスの製造は中国で行われている ・製造工程で機能を差し替えられても確認するのは困難だよね ・今やICの99%は中国で生産されていますよ ・なのでこれからはICのバックドアな
ロシアのハッカーら、リモートから米イリノイの水道施設を破壊 | スラド セキュリティ
ロシアのハッカーらが、米イリノイ州・Springfield市の水道供給施設のシステムに侵入、リモートからポンプを操作して破壊したそうだ(MailOnline)。 ハッカーらはログイン名およびパスワードを盗み、これを用いてネットワークに侵入(侵入したハッカーが盗んだのか、それともほかの者の手によって流出させられていたかは不明)。ポンプのオン・オフ操作を短期間に繰り返すことでポンプを破壊したと見られている。。また、異なる水道施設のコントロールシステムについてスクリーンショットを撮影・投稿しているハッカーもおり、このような事件は他にも発生する可能性があるという。 この事件は「ハッカーが重要なインフラを米国外からハックして破壊した最初の例である可能性が高い」とのことで、FBIやアメリカ合衆国国土安全保障省が捜査を行っているという。今回問題となっている制御システムはSCADAと呼ばれており、近年セキ
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
クラッカー集団 Anonymous、サイトに侵入されてメンバー情報が流出。 | スラド セキュリティ
「攻撃」の真相 [presstorm.com]はAnonymousのoperatorの一人であったRyan Clearyが自分の所有していた「AnonOps.net」と「AnonOps.ru」を IRCの参加者のログイン名とIPのリストを含むログを掲載した別のページにリダイレクトするように改変したというだけの事で、 横のゆるいつながりしかない集団ではこういう仲間割れというか裏切りというのはよくある話。 ログイン名とIPなんか公開されて困る「個人情報」なのかそもそも疑問だが 「流出」したログ [google.com]を眺めるとIPが「127.0.0.1」なのが多いwそれ以外もどうせプロクシばかりなはず 実際の被害は裏切りに怒った他のAnonymousのメンバーに本当の個人情報(電話番号や住所) [pastebin.com]を流されたRyan Clearyだけだろ。
プライバシーマーク認定の一時停止について (三菱電機インフォメーションシステムズ) | スラド セキュリティ
MDISのプライバシーマーク認定番号は「11820285(03)」で、2010年10月28日が有効期限でした。 (03)の部分が審査クリア回数(認定取得の審査を含む)を指します。 2008年10月29日に2回目の更新審査をクリアし、3回目の更新審査を2010年10月28日までに実施する予定だったわけですね。 MDISが個人情報漏洩についてお詫びを公表したのが2010年9月28日。(発覚したのはさらに前) プライバシーマークを付与された事業者は、個人情報漏洩事件が発覚した場合は速やかに認定機関等に報告することが義務付けられているので、推測ですが、3回目の更新審査の準備中に認定機関に報告したのでしょう。 そして処分が決定したのが2011年1月25日。 プライバシーマーク更新間近に情報漏えいが発覚したので、マークの更新自体を含めて処分を検討していたのかな。 >> という事だが、今回停止された認定
ビックカメラ.com、ユーザーのパスワードをリセットしてサービス再開。しかしパスワードの変更は不可 | スラド セキュリティ
不正アクセスによりユーザー情報が流出、そのためサイトを一時閉鎖していた通販サイトビックカメラ.comが、サービスを再開した。しかし、アカウントを登録していたユーザーに対しては安全性確保のためパスワードのリセットが行われ、新パスワードがメールで送られてきたのだが、そのパスワードでログインした後にパスワードの変更が行えないという、常識では考えられない運用になっている。 会員メニューによると、 下記の個人情報表示に制限を設けています。 段階的に、制限の解除を行っていく予定になっております。(現時点では未定です) ご不便をおかけしますが、ご了承くださいませ。 万一、情報の変更が必要の場合、当社サポートセンターにご相談をよろしくお願いします。 [制限事項] 「登録内容の変更」:ご利用いただけません。 「パスワードの変更」:ご利用いただけません。 「住所録」:ニックネームのみの表示/変更・削除不可(追
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた | スラド セキュリティ
もう食傷気味かもしれないが、先月誰でもログインできる状態になっていたことが判明したえびの市民図書館のFTPサーバーにて、1993~97年にかけてえびの市民図書館を利用した1800人の個人情報と、督促状作成用のテキストデータに含まれていた110余名の個人情報が公開状態になっていたことが明らかになったそうだ。 この記事は昨日の朝日新聞名古屋本社版に掲載されたとのことで、実際の漏洩データの概要についてはたりき氏のまだあった!図書館利用者情報漏洩 - たぬきん貧乏日記でまとめられている(個人情報は掲載されていない)。 そのたりき氏の昨日のつぶやきによれば、えびの市民図書館側よりコンタクトがあって「漏洩した個人情報の削除依頼があったので快諾した」一方、たりき氏の本名や電話番号を知っているはずの「MDIS,岡崎からは何も言ってこない」そうだ。 客先に導入したシステムを無断配布した上管理を容易にするため
図書館Webサイトへのクローラを実行して逮捕された男性、不起訴に | スラド セキュリティ
先日、図書館のウェブサイトに3万3千回アクセスした男が業務妨害容疑で逮捕されたという事件があったが、その後逮捕された男性は不起訴処分(起訴猶予処分)となったそうで、本人が事情を説明するサイトを立ち上げている(Librahack : 岡崎市立中央図書館HP大量アクセス事件まとめ)。 男性は問題となった岡崎市立中央図書館のヘビーユーザーであり、図書館の新着図書ページが使いにくかったために図書館のWebサイトをスクレイピングして自分用に使いやすいデータベースを作成することが目的だったとのこと。また、サーバー側の負荷も考えてクロールする頻度等を決めたとのこと。おなじみ高木先生のコメントなどを含むTogetterまとめはこちら。
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
コンピュータウィルスを人間の体に感染させる実験 | スラド セキュリティ
やや旧聞となるが、英国の科学者が「コンピュータウィルスに感染した最初の人間になった」と主張しているそうだ(本家/.記事)。 元ネタのTechWorldの記事によると、この発表を行ったのはUniversity of ReadingのDr Mark Gasson。「感染」といっても、コンピュータウィルスが生物的な何かになったというわけではなく、彼の手にコンピュータウィルスに感染したコンピュータチップをインプラントし、そこからPCにマルウェアを移動させることで、マルウェアが人間とコンピュータ間で移動することを証明した、ということらしい。 この件はInternet Watchの記事でも報じられているが、Gasson氏にインプラントされたコンピュータチップは高機能なRFIDチップで、「大学の建物や携帯電話に接続できる。また、チップの情報を用いてGasson氏を追跡したり、認識することも可能」という代
Google、パスワード管理システムのコードを盗まれていた | スラド セキュリティ
ストーリー by reo 2010年04月22日 12時30分 サマーウォーズの Blu-ray をまだ観ていなかった 部門より 昨年 12 月に Google が中国から受けたという大規模サイバー攻撃で、侵入者は Google は基幹システムにアクセスできる状態になっていた。開発チームのリポジトリの管理権限まで掌握され、盗まれた情報にはパスワード管理システムのコードも含まれていた、とのことだ (The New York Times の記事、japan.internet.com の記事、本家 /. 記事より) 。 Gaia と呼ばれるパスワード管理 (認証統合) システムは Google のほぼ全てのサービスへの認証を管理する同社の基幹システム。侵入を受けた後、Google は直ちにシステムへの変更を加えたとのこと。当初発表した通り 2 件の Gmail アカウントへの不正アクセスはあった
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
米国でクレジットカード情報が大量に流出 | スラド セキュリティ
ストーリー by hayakawa 2009年01月22日 11時12分 「業界最先端の暗号化」っていったい何? 部門より USA TodayやInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systemsが「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。 Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。
米国のコンビニATMに不正アクセス、暗証番号が盗まれる | スラド セキュリティ
米国のセブンイレブンに設置されたCitibankのATMが不正アクセスされ、暗証番号(PIN)が盗まれるという事件が発生した(AP通信の記事)。 このATMはOSとしてWindowsが採用されており、トラブルの発生時にインターネット経由でリモートアクセスして操作/修復が行えるように設定されていたとのことだ。さらに、暗証番号は暗号化して扱うことが課されていたにも関わらず、いくつかのATMオペレーターは暗証番号の暗号化を行っていなかった。そのため、通信経路で暗証番号を盗聴することが可能だった模様だ。 また、今回不正アクセスを受けたATMはCitibankではなく、Cardtronics社という別の企業が所有しており、またATMの運営についてはFiserv社という、これまた別の企業が行っていた(一部のATMはCardtronics社も運営していた模様)。 現在、不正アクセスを行った容疑者は逮捕さ
GmailのCAPTCHAが破られている | スラド セキュリティ
ストーリー by nabeshin 2008年02月29日 11時59分 hotmailやYahoo同様にGmailもデフォルト拒否のサービスが増えてしまうか 部門より 本家ストーリーより。WebsenseによるとGmailのCAPTCHAが破られ、成功率2割でボットがアカウントを作っているとのこと。Websenseのレポートに詳細が載っているが、それによるとボットネット内の2つのコンピュータを組み合わせて処理が行われている模様。第二のホストの役割は、第一のホストが失敗した場合のバックアップか、もしくは何らかの精度チェックをしている可能性があるとのこと。さらに、ボットはCAPTCHAを解読している間ヘルプを読むふりをしてタイムアウトを防いでいるという。
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
