・ドローンに狙いを定め電波妨害して撃退する
アンチドローンライフル銃「Dronebuster」 (2016/05/23)
・マイクロソフトがHoloLensを軍事利用する計画を公表するものの突如として非公開に (2016/05/22)
May 30, 2016
無線LANのSSIDを隠すのは効果ある?
・無線LANのSSIDを隠すのは効果ある?
(3/3)実験4 (日経BP 2016/05/27)
ユーザーは、アクティブスキャンのパケットにSSIDを含めてAP に発信する...
そのパケットを解析ツールがキャッチすると、SSID...がわかる。 誰も接続していない状況なら解析ツールを使ってもSSIDはわからない この事実を認識し、セキュリティ対策としては、強度の高い暗号方式や パスワードによるユーザー認証などを使用...
メモ、オバマさんの演説
日経の訳が個人的に一番しっくり来た。以下リンクメモ
・8月6日の記憶 消えてはならない オバマ氏の演説全文 (2016/05/27)
http://www.nikkei.com/article/DGXLASGM27H6X_X20C16A5FF1000/
・(4/23)オバマ米大統領の核軍縮演説内容(全文)
オバマ米大統領の演説(チェコ・プラハのフラッチャニ広場)2009年4月5日
http://www.nikkei.co.jp/senkyo/us2008/news/20090423u0c4n000_23.html
・8月6日の記憶 消えてはならない オバマ氏の演説全文 (2016/05/27)
http://www.nikkei.com/article/DGXLASGM27H6X_X20C16A5FF1000/
・(4/23)オバマ米大統領の核軍縮演説内容(全文)
オバマ米大統領の演説(チェコ・プラハのフラッチャニ広場)2009年4月5日
http://www.nikkei.co.jp/senkyo/us2008/news/20090423u0c4n000_23.html
May 24, 2016
世界で最もパスワードを変更しない日本人、だそうです
・世界で最もプライバシーを気にしているのに、
世界で最もパスワードを変更しない日本人 (2016/05/23)
異論の有る『定期的にパスワードを変更』だけ未実施ならまだしも
『個人情報が含まれる文書をシュレッダーに』
『SNSなどのプライバシー設定をカスタマイズ』
『携帯電話やタブレット等のパスワード保護』
の実施ポイントが最下位 May 20, 2016
今日のグーグル、いろいろ
・Google、メッセージアプリ「Allo」とビデオ通話アプリ「 Duo」発表 (2016/05/19)
・グーグル、「Daydream」ヘッドセットを独自に開発へ
「Unity」「Unreal」のサポートも発表 (2016/05/20)
・Googleってこんなに多彩な企業なの?
「Google I/O 2016」のキーノート発表まとめ (2016.05.19)
「Google I/O 2016」のキーノート発表まとめ (2016.05.19)
・Google、独自の人工知能アクセラレータを発表
~ストリートビューやAlphaGoなどで利用、
7年分の技術進歩に相当する高効率 (2016/05/19)
7年分の技術進
・インストールなしでアプリを実行するAndroid Instant Apps発表。
リンクを踏んで起動、終了すれば消去 (2016/05/19)
http://japanese.engadget.com/2016/05/18/android-instant-apps/
グーグルホーム、こんな未来予想
https://youtu.be/862r3XS2YB0?t=2182
これは欲しいね
グーグルホーム、こんな未来予想
https://youtu.be/862r3XS2YB0?t=2182
これは欲しいね
今すぐLinkedInのパスワードの変更を
・LinkedIn、2012年のハックで漏洩したメールとパスワード 1.17億人分がネットに公開(2016/05/19)
> もし自信がなければ、とにかくパスワードを変更すること。
> 同じパスワードを使っているかもしれない他の重要なサイトも同様だ。
今すぐLinkedInのパスワードの変更を (2016/05/19)
May 19, 2016
パスワードを定期的に変更させるシステム仕様には問題がある
・パスワードを定期的に変更させるシステム仕様には問題がある (2016/05/01)
覚えやすいものにして、結果的に弱いパスワードになるのだとか。
納得できる説明だね。
---> 2016/05/30 追記
・定期的なパスワード変更は危険?
World Password Dayに英諜報機関が警告 (2016/05/25)
英国デジタル諜報機関GCHQ...の組織、CESG...
私たちの脳には限界があるので、数多くのログイン用の複雑なパスワードを一つひとつ記憶し、 それを定期的に変更することができない。それでも変更を強要されれば、結果として私たちは、 これまで使ってきたパスワードに少しだけ変化を加えた文字列を設定したり、 パスワードをどこかに書き留めてしまったり、ひとつの「新しいパスワード」を複数の認証で利用したりする。 あるいは、設定したばかりの新しいパスワードをユーザーが忘れることで、 システム担当者たちは頻繁にパスワードのリセットを行わなければならなくなる。 それらのすべてが攻撃者にとって都合のよい脆弱性となるので、「定期的に(頻繁に)パスワードを変更させることは逆効果だ」と彼らは主張している。 CESGは組織の管理者に対して、「アカウントの不正利用を検出する効果的な防御システムの実装」を 考慮してほしいとアドバイスしている。
いろいろ 5/19
・FBI vs アップルは他人事ではない!
日本の捜査機関はどこまでスマホを覗けるか、全貌に迫る (4/5)(2016/05/13)
> ロックを解除できなくても、
> きょう体を開けてフラッシュメモリーのチップをデバック用端子(JTAG-ICE )に
> 接続するか、チップ自体を基板から取り外して物理データを取り出す「チップオフ解析」を
> 行うことで、消去済みファイルを含めたデータを取り出せる。
> Androidには、OSレベルではデータを暗号化する機能があり、
> この場合はチップオフ解析を行ってもデータは取り出せない。
> ただ「実際には、メーカーが暗号化機能をオンにしているケースはまれ」
> iPhoneからのデータ取り出しを決定的に難しくしているのが、
> iPhone 5sのプロセッサ「A7」で初めて導入された暗号化機能「Secure Enclave 」
・Squid Proxy Cache Security Update Advisory SQUID-2016:7 (2016/05/06)
Squid Proxy Cache Security Update Advisory SQUID-2016:9 (2016/05/06)
・パスワードをかけていないVNCサーバーのスクリーンショットをまとめた「 World of VNC」 (2016/05/13)
・Verizon社のデータ漏洩/侵害調査報告書が重要である理由 (2016/05/12)
・ドイツ「Industrie 4.0」現場レポート (2016.01.29)
「6週間で270万回の攻撃を受けたハニーポット」のくだりは興味深い
May 17, 2016
いろいろ 5/17
・Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定 (2016/05/17)
←ついに
--->5/19追記ここから
Adobe Flash Player の脆弱性 (APSB16-15) に関する注意喚起 (2016/05/13-16)
> 本脆弱性の悪用した攻撃を確認しているとのことです。
> 早期のアップデートをお勧めします。
--->5/19追記ここまで
・Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化して Windows Updateと一体化、
キャンセル方法はコレ (2016/05/17)
←ついに
ってこれは凶悪だ
・<通信事業者指針>改正へ 携帯位置情報を通知なく捜査利用 (2015/05/25)
JVN、メモ
・JVNVU#91176422
NTP daemon (ntpd) に複数の脆弱性 (2016/04/28)
・JVNVU#93163809
OpenSSL に複数の脆弱性 (2016/05/06-11)
←先日のCVE-2016-2108(任意のコード実行)を含む
> 本脆弱性を修正した OpenSSL 1.0.1t および 1.0.2h がリリースされています。
> 開発者が提供する情報をもとに、最新版へアップデートしてください。
May 12, 2016
メモ、US-CERTのアラート
・Alert (TA15-337A)
Dorkbot
Original release date: December 03, 2015
・Alert (TA16-091A)
Ransomware and Recent Variants
Original release date: March 31, 2016 | Last revised: May 06, 2016
・Alert (TA16-105A)
Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced
Original release date: April 14, 2016
> The only mitigation available is to uninstall QuickTime for Windows.
←はて、抜いたはずだが、チェックするか
・で、アンインストールするには
Uninstall QuickTime 7 for Windows
・Alert (TA16-132A)
Exploitation of SAP Business Applications
Original release date: May 11, 2016
---> 2016/05/17追記
JVNTA#91951276
SAP 製品に対する攻撃 (2016/05/12)
> SAP 社の SAP Security Note 1445998 の適用と Invoker Servlet の無効化を推奨
---> 2016/05/19追記
・[ERPSCAN-16-008] SAP NetWeaver 7.4 (ProxyServer servlet) – XSS vulnerability (2016/02/10)
は見やすい感じ。時々見ておくと良さそう
May 11, 2016
ランサムウェア
・法人・個人向けに「ランサムウェア 無料ご相談窓口」を開設 (2016/05/10)
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20160509020249.html
> 開設期間は、5月10日から8月31日まで
> ●個人のお客様のお問合せ先:0570-783586 (ナビダイヤル) ※ 土日祝日含む
> ●法人のお客様のお問合せ先:03-5334-1447 ※ 平日のみ
・ランサムウェア「CryptXXX」が暗号化したファイルを元に戻すには (2016/05/10)
https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/
> 元のバージョン(暗号化されていない状態のファイル)が、最低1つ必要
・ランサムウェア過去のメモ
http://akasaka-taro.blogspot.jp/2015/06/blog-post.html
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20160509020249.html
> 開設期間は、5月10日から8月31日まで
> ●個人のお客様のお問合せ先:0570-783586 (ナビダイヤル) ※ 土日祝日含む
> ●法人のお客様のお問合せ先:03-5334-1447 ※ 平日のみ
・ランサムウェア「CryptXXX」が暗号化したファイルを元に戻すには (2016/05/10)
https://blog.kaspersky.co.jp/cryptxxx-ransomware/11181/
> 元のバージョン(暗号化されていない状態のファイル)が、最低1つ必要
・ランサムウェア過去のメモ
http://akasaka-taro.blogspot.jp/2015/06/blog-post.html
May 10, 2016
SSH, SSL, Linux Kernel
openssh -- openbsd
|
The do_setup_env function in session.c in sshd in OpenSSH through 7.2p2, when the UseLogin feature is enabled and PAM is configured to read .pam_environment files in user home directories, allows local users to gain privileges by triggering a crafted environment for the /bin/login program, as demonstrated by an LD_PRELOAD environment variable.
|
2016-04-30
|
openssl -- openssl
|
The ASN.1 implementation in OpenSSL before 1.0.1o and 1.0.2 before 1.0.2c allows remote attackers to execute arbitrary code or cause a denial of service (buffer underflow and memory corruption) via an ANY field in crafted serialized data, aka the "negative zero" issue.
|
2016-05-04
|
linux -- linux_kernel
|
The redirect_target function in net/ipv4/netfilter/ipt_
|
2016-05-02
|
Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明 (2016/05/06)
> 気になった人は念のためパスワードを変更しておいたほうが良さそう
> 流出したアドレスはMail.ruが5700万件、Yahoo!が 4000万件、
> Hotmailが3300万件で、Gmailが2400万件となっており、
> この他にもドイツや中国のメールサービスのアドレスも含まれているとのこと
Subscribe to:
Posts (Atom)