security.sios.jp xzのtarボールで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファ…

https://gigazine.net/news/20191105-shining-lasers-hack-voice-assistants/ 音声アシスタントを搭載したデバイスのマイク部分に低出力のレーザーを照射し、音声での指示と同様にさまざまなコマンドを実行させることが可能 (中略) レーザーさえマイク部分へ…

https://www.itmedia.co.jp/news/articles/1906/07/news002_3.html 本題についてはWell Knownなので略。 この「サイバー攻撃のトリガーが、ネットを利用しない自然現象」というアイデアが面白いですね。双方向通信ではなく片方向通信を、レイバーのマイクで…

電子ドア錠安全性試験装置 https://ascii.jp/elem/000/001/862/1862768/ 原理は簡単で、高周波の電磁波を発射するというものだ。この電磁波が、電子ドア錠内部の回路に高圧電流を流し、回路を初期化または破壊してしまう。そのため指紋認証方式のドア錠だけ…

https://pc.watch.impress.co.jp/docs/news/1177812.html 3D XPointは不揮発のフラッシュメモリとなるため、データは電源を切っても保持される。このため、悪意がある人がデータセンターに忍び込み、Optane DC Persistent Memoryのモジュールをスロットから…

https://www.bloomberg.co.jp/news/articles/2019-02-04/PME38Q6KLVR401 Bloomberg - Are you a robot? コットン氏がセキュリティーを常に気にして、創業５年のクアドリガ運営で使用するラップトップや電子メールアドレス、メッセージシステムを暗号化してい…

https://japan.zdnet.com/article/35123791/ https://hashcat.net/forum/thread-7717.html https://nanashi0x.hatenablog.com/entry/2018/08/08/220000 発見されたWiFiハックは、Pairwise Master Key Identifier（PMKID）ベースのローミング機能を有効にした…

http://www.orangeitems.com/entry/2018/04/25/134157 ユーザー側とすれば、SSL証明書頼みとなります。この場合、ドメイン名は正しいので注意が必要です。 http://tech.nikkeibp.co.jp/it/article/COLUMN/20090225/325481/ BGPは主にISPなどの大規模ネットワ…

https://www.expressvpn.com/webrtc-leak-test https://voidsec.com/vpn-leak/ https://24ch.biz/2018/04/06/post-1262/ WebRTCでは仕組み上、複数のコンピュータが直接インターネットで接続されることになります。そのため、対策を行っていないVPNのサービ…

https://pc.watch.impress.co.jp/docs/news/1114037.html http://www.cs.ucr.edu/~nael/pubs/asplos18.pdf Mitigating BranchScope: Software-only solutions can be highly sensitive to the under- lying organization of the branch predictor unit. (中…

http://www.itmedia.co.jp/enterprise/articles/1710/18/news057.html Infineon RSAライブラリのバージョン1.02.013に、RSA鍵のペアが適切に生成されない脆弱性が存在する。攻撃者はこのライブラリで生成されたRSA公開鍵にアクセスするだけで、RSA秘密鍵を計…

http://www.blackhat.com/eu-17/briefings/schedule/#key-reinstallation-attacks-breaking-the-wpa2-protocol-8861 These can be exploited using so-called key reinstallation attacks. Because this is a protocol-level issue, most correct implementa…

https://support.microsoft.com/ja-jp/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 Windows7 PowerShell SMBv1 を無…

https://helpx.adobe.com/jp/flash-player/kb/235703.html http://www.java.com/ja/download/installed.jsp 今更だが、めも

http://csi.sproutgroup.co.jp/archives/000140.html Wi-Fiセンサーを有効にしているユーザーがそのアクセスポイントに近づくと、自動的に接続されるというわけだ。 (中略) 特にモバイルルーターの接続を従量課金としている場合などは、Wi-Fiセンサーの推奨…

http://www.hotfix.jp/archives/word/2005/word05-33.html もともとは、万能であるように見せかけた効能が不明な薬、またはそれを売りつける人の意味である。 (前後変更) 機能を誇大に強調したセキュリティ製品や暗号製品。またはSSLのサンプルとしてインス…

https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition めも、詳細未検証

http://pc.watch.impress.co.jp/docs/column/1month-kouza/20141126_677508.html クラウドストレージは初期設定では非公開(つまりユーザー自身しか見ることができない)になっているが、ほかのユーザーに対して公開する設定も用意されており、非公開から公開…

http://internet.watch.impress.co.jp/docs/news/20141113_675989.html この「CloudyOmega攻撃」では、脆弱性を悪用した一太郎の文書ファイルを、メールの添付ファイルとして標的組織に送信。これを開いてしまうと、文書が表示される裏で不正プログラムが投…

http://www.appletkan.com/nodoka.htm "窓使いの憂鬱"の派生らしい http://d.hatena.ne.jp/applet_at_h/20141008 BadUSBにより悪意のあるキーボードデバイスが作られ、挿されたときの対策あるいは対応にのどかが使えると言うことになるでしょう。もっとも操…

http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/110700106/ BadUSBとは、ひと言で表すと「USBデバイスのファームウエアを不正なものに勝手に書き換えられる」という脆弱性である（略）。ファームウエアの書き換えに対するチェック機構がないというUSB…

http://yro.slashdot.jp/comments.pl?sid=645058&cid=2708991 なんの問題もないが投稿者にとって消されると痛手な動画に対して不正な削除依頼を出し、投稿者の削除に対する異議申立てを待ち、それを転送させるんでしょう。投稿者が何かの手違いか荒らしだろ…

古いネタだがめも。 http://facta.co.jp/article/201407039.html 韓国の国家情報院（旧KCIA）が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析している (中略) システムに直接侵入するのではなく、通信回線とサーバーの間でワ…

米国連邦裁判所が発行する「一方的な仮処分」 http://japan.zdnet.com/security/analysis/20409388/ 「ex parte TRO」と呼ばれる法律原理に注目した。ex parteというのは、相手側に通知しないという意味で、TROは仮差し止め命令の略語だ。相手側に通知するこ…

https://duckduckgo.com/ http://ja.wikipedia.org/wiki/DuckDuckGo プライバシーの保護とユーザーの情報を記録しないことを検索エンジンとしてのスタンスとしている

http://www.nca.gr.jp/ https://www.ntt-cert.org/faq.html Q.CSIRTとCERTの違いは何ですか A.同じと考えて問題ありません．CSIRTはRFCでも定義されている一般名詞ですが，CERTは米国ではCERT/CCの登録商標となっています． めも、未検証 http://www.atmarki…

むしろ逆効果なのではないかという指摘 http://www.slideshare.net/zaki4649/wifi-30693597/34 未評価

http://truecrypt.ch/ https://github.com/DrWhax/truecrypt-archive http://www.softantenna.com/wp/software/true-crypt-must-not-die/ TrueCrypt.chは、TrueCryptが本当に終了したときコードベースを引き継いで開発を継続する(略)ようです。このプロジェ…

古い話だが、めも http://www.ipa.go.jp/security/txt/2011/11outline.html secpol.msc [ソフトウェアの制限のポリシー]-[新しいソフトウェアの制限のポリシー]-[追加の規則]-[新しいパスの規則] 「新しいパスの規則」の画面が出たら、パス（P）の欄に「**」…

http://freshbsd.org/commit/openbsd/e5136d69ece4682e6167c8f4a8122270236898bf Do not feed RSA private key information to the random subsystem as entropy. It might be fed to a pluggable random subsystem.... What were they thinking?! 素敵すぎ…