2月28日に米バージニア州で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。従来からの「神話」を見事に崩壊させてしまったのだ。 バージニア州アーリントン発――2月28日の「Black Hat Briefings」に参加していなければ、システムがrootkitの攻撃を受けても、再イメージングによって被害は防げるはずだと、枕を高くして眠れただろう。PCの揮発性メモリ、すなわちRAMは、PCIカードやFireWireバスを介さなければ調べられないと、高をくくっていたかもしれない。 だが、それは間違いだ。 28日に現地で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。まず聴衆に衝撃を与えたのは、Coseincの上級セキュリティ研究者であるジョアンナ・ルトコウスカ氏が発表した、ソフトウェアを使用するシステ
Websenseによると、Google Mapsがトロイの木馬に利用され、感染マシンの所在地把握に使われているという。 ニュース速報を装ったメールで感染を広げているトロイの木馬が、感染マシンの所在地を把握するのにGoogle Mapsを活用しているという。セキュリティ企業のWebsenseが2月19日に公開したアラートで報告した。 豪AusCERTによると、問題のスパムメールは「オーストラリアのハワード首相が心臓発作」など偽のニュース速報を装った件名で届く。メールには、ニュースサイトに見せかけた悪質なサイトへのリンクが含まれている。 Websenseによれば、このスパムメールから感染するトロイの木馬は、感染マシンにWebサーバをインストールして、マシンがネット接続している時に攻撃者がアクセスできる状態にしている。 攻撃者のコントロールパネルでは、感染マシンのIPアドレス、国名、感染マシンに
ふぃぎゅぎゅぎゅぎゅぎゅっと急接近!(`Д´)素体実態実物大! 電波ソングのあるべき姿と言えばそれまでだがかなりすごいな(;´Д`) 正直前半はどうでもいいんだが後半の1分間が異常(;´Д`)狂ってる(褒め言葉) Baby hips (ホットミルクコミックス 169) 作者: チャーリーにしなか出版社/メーカー: コアマガジン発売日: 2004/03メディア: コミック クリック: 11回この商品を含むブログ (8件) を見る買ったヽ(´ー`)ノ http://d.hatena.ne.jp/kyoumoe/20051223#1135313247 で探していた作品がちゃんと掲載されてたよヽ(´ー`)ノどこからどう見ても小学生です シム宇宙の内側にて まん延する 「他にも悪いことしてる子はいるのに、どうしてぼくちゃんだけ怒られるの~!!」 メソッド 何だこれ。 暴言はあまり好きではありませんが
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
「Fun With Google Code Search」によると、 Google Code Searchを使って脆弱なソフトウェアを見つけられてしまうそうです。 実際に、Google Code Search経由で発見されてサーバを乗っ取られた事例が「How Hackers Are Using Google To Pwn Your Site」という記事で紹介されています。 ShoeMoneyが乗っ取られた事例では、恐らくWebサーバの設定ミスで.phpファイルの関連付けを行わない状態で、Google Sitemapsに登録してしまったため、Google Code Searchに自作コードが載ってしまい、それを見たクラッカーがサイトを乗っ取ったのであろうと思われます。 バッファオーバーフロー strcpy : strcpy\((\w+,\w+) lang:c sprintf : (sprin
Many of you have raved about my "Google Hacking" and "No-Tech Hacking" books and talks, and many of you have encouraged me to put together a training class on the subjects. It's taken me a while, but I'm happy to say I've taken your advice and I'm making my training debut with a No-Tech Hacking training course! In this one-day course, I'll show you many techniques from the best-selling book, and
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
阿部重夫主筆ブログ「最後から2番目の真実」 2006年12月22日 [ソニーの「沈黙」]もういちど「ソニー病」4――屁のつっぱり 弱った魚は目で分かる。ソニーは非接触型ICカード「フェリカ(FeliCa)」のセキュリティについて、コメントを発表した。 感想の1/なんだか弱々しい否定である。弊誌はもちろん掲載前にソニーに取材し、彼らの言い分も載せている。だからなのか、わが社には何の反論も来ていない。 感想の2/このコメントは日経プレスリリースで読めるが、ソニーグループのサイトの「プレスリリース」の項ではなぜか見当たらない。新聞社用で、他には見せたくないコメントなのでしょうか。ここらも何だか姑息。 さて、「ケータイWatch」のサイトでも弊誌報道に対するソニーの否定談話が載った。こちらは「FACTA」の名すら出していないし、弊誌に電話さえしない一方的なものだが、独立行政法人「情報処理推進機構」
We prove that a carefully written spy-process running simultaneously with an RSA-process, is able to collect during one \emph{single} RSA signing execution almost all of the secret key bits. つまり,RSAによる暗号化処理を行っているのと同じマシンで解読プロセスを走らせられることが大前提,という時点で攻撃手段はそれなりに絞られるかと. 逆に言えば,例えば一人だけが使うPCのブラウザでRSAアルゴリズムを使ってSSL通信をやるとして,その暗号鍵がそのPC上でこの方法で破られるリスクは小さい(そもそもそのPC上でそんなやばいプロセスが動作できてしまう環境自体が問題)と考えられます. 勿論, Moreover
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
■ 三井住友カードのCAPTCHA風無意味画像は月替わり? 8月10日の日記「飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき」で書いた、三井住友カードの「会員番号・暗証番号でのログイン方法」は、その後8月15日に利用したときには、数字画像の背景が黄色になり、パターンが別のセットに切り替わっていた。 あいかわらず、ひとつの数字に1つの画像しかないものであり、これは全く何の解決にもなっていない。色を変えたのは、何がしたいのかまったく意味不明だ。 日替わりか? 週替わりなのか? と気にかけていたが、いつ利用しても変化がなく、同じパターンが使われていた。それが、9月25日に利用した際に、今度はピンク色の背景の別のパターンセットに切り替わっていた。そしてその後から今日まで、同じピンク色バージョンが使われている。 しかも、これら3色のセットはいずれも、CAPTCHA風味を醸し出す曲
Elbereth曰く、"JVNにて、gzipの脆弱性についていくつか報告があがっています。 JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性 JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性 JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性 JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性 JVNVU#381508: gzip の make_table() の配列処理における脆弱性 2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるも
http://dynabook.com/assistpc/download/makeula/makemod.cgi?filename=http://d.hatena.ne.jp/kudzu/ 上のURLを見て、ページを見てもらえばなんとなく想像できると思うけど、「同意する」のリンクをクリックした後に接続する先のURLを任意のURLにできる。 つまり、 適当なウェブサーバにトロイ(本物の実行ファイルにウィルスをつけるとかすると凶悪)を置く 上記URLのfilename=の項目をトロイのURLにする URLをSPAMなりなんなりでばらまく これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロードなんて絶対しない! URL自体はdynabook.comなわけで、相当な人がだまされると思うんだけど。これ
これからのWebサイト制作は「Studio」で! 発売日: 2025/3/21 好評発売中 Web作成・マーケティング 詳細を見る
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く