セキュリティ
今回は、立命館大学の上原哲太郎先生による、マイナンバーのお話でした。マイナンバーの話となると、 マイナンバーを管理するはめになった企業向けの話。 プライバシーに関するマイナンバー制度の問題。 といった2つのパターンのが多いと思いますが、もちろ…
AWS で、マネージメントコンソールや API 等で AWS 上のリソースの操作を特定の IP アドレスからしか実行できないようにするために、IAM ポリシーの aws:SourceIp を使って制限する、というのは常套手段として知られていると思います。AWS管理コンソールへの…
久しぶりに参加したせきゅぽろの勉強会は、Google に名前を入れると、広島出身のテクノポップアイドルの名前がサジェスチョンされる、辻 伸弘さんでした。辻さんは何度かせきゅぽろにいらっしゃっているはずですが、私個人は初めてでした。テーマはまず最初…
Chrome のパスワード管理で、平文のパスワードが見えると大騒ぎになっているようです。Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ | ギズモード・ジャパンこれ、2つの論点が混ざっていて、 平文のパスワードが表示できる。 平文の…
標的型攻撃に関して 一つ目のテーマは、トレンドマイクロの平原 伸昭さんによる、標的型攻撃に関するお話でした。2、3年前までは遠い海の向こうの話、というイメージだった標的型攻撃も、最近は日本でも標的型攻撃だと思われる事例が報道されたり、すっか…
まずは、昨年、シマンテック社主催で開催された高校生向けの CTF、「シマンテック サイバーセキュリティチャレンジ」に参加した札幌国際情報高校の「もやしーず」と、ネットエージェントの松田和樹さんのパネルディスカッション、だったんですが、全編オフレ…
このサイトで過去 90 日間に Google がテストした 3532 ページのうち 266 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2013-03-05 で、この…
大手サイトが Google Safe Browsing でブロックされたニュースがありました。「毎日jp」など「不正なソフトウェアが存在する可能性」でGoogleからブロック - ITmedia NEWS文中に Googleがブロックしている理由は不明だが、 と書かれていますが、診断画面をよ…
OpenLDAP で userPassword アトリビュートにパスワード情報を保存する場合、推奨はソルト付き SHA(SSHA)とされていると思います。実際、CentOS Ver 6.3 上の OpenLDAP に付いてくる slappasswd コマンドは、オプションを指定しないデフォルトは、SSHA の形…
LDD13is(LOCAL DEVELOPER DAY'13/Infra & Security)に行ってきました。 IT エンジニアの将来 - 吉田 パクえ 基調講演として、co-meeting の吉田パクえさん(本名で紹介されなかった)から、インフラ・エンジニアのクラウドとのつきあい方に関してお話があ…
グラフィックコントローラの中枢である GPU を、通常の計算処理用に使わせる GPGPU というのがあります。これを使うと、並列計算が通常の CPU に比べて飛躍的に速くなります。これを、パスワードクラッキングに使う動きが、幾つか出ていました。パスワードク…
前回に引き続き、今回も豪華2本立てでした。 マルウェア解析 LAC の新井 悠さんによる、マルウェア解析のお話ですが、まずは時事ネタとして、誤認逮捕で大騒ぎになった iesys.exe に関する話から始まりました。iesys.exe 自体は、素人の自分から見ても、技…
DEFCON で、PPTP の認証方式として一番ポピュラーな MS-CHAPv2 をクラックするツールが登場した事が、大きな話題になりました。DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表 - CNET JapanDEFCON というと、一介のエンジニアには遠い存在で…
Google Public DNS の登場辺りから、DNS サーバを ISP や回線業者のお仕着せの DNS サーバではなく、別の DNS サーバを使うとレスポンスがよくなる、といった具合の話を、ちょくちょく見かけるようになっていますが、その極めつけとして、「お使いの回線で、…
今回のせきゅぽろは、Yahoo JAPAN の戸田さん。テーマがフィッシング対策ということで、Web 周りのテクニカルな話題が中心かな、と思っていたのですが、もっと総合的な話でした。フィッシング詐欺が「かたる」ときの対象とされやすい、Yahoo 側での対策に限…
試しに、各 ISP でのメールに対するパスワードに関して、ちょっと調べてみました。以下はすべて、2011-8-27 現在のものです。 @nifty ログインパスワードとメールパスワードは、どんな文字で何桁まで設定できますか。 | 会員サポート > Q&A(よくあるご質問…
以前、とある記事に関して書いた時、「全てのパスワード」って何? - JULYの日記 今時、パスワード長8文字までは、かなり少数派でしょう。 と、書きましたが、見つけてしまいました。パスワード長8文字までのものを。先日、友人がメールアドレスを変更した…
IT Media のビジネス寄りの「誠 Biz ID」に、Ophcrack の紹介記事がありました。忘れてしまったWindowsマシンのパスワードを解析する - ITmedia エンタープライズこの記事だけ読むと、まるで Ophcrack が魔法のツールみたいに読めますが、決してそんなことは…
今回のせきゅぽろは、Microsoft の小野寺さん。テーマは「セキュリティ対策の王道(理想)と現実を考える」ということで、個人的にはこのタイトルだけで、期待感 MAX でした。「理想と現実の間」というのは、自分がセキュリティに関して考える時の最大のテーマ…
昔から、Proxy を通して自分の IP アドレスを隠すことが、「オレ、ちょっとカッコイイ」みたいな雰囲気があって、Proxy のことを「串」などと、隠語めいた呼び方をして悦に入る人を見かけましたが、今でも、そんな風に考える人が結構いるのに、ちょっと驚き…
第2回に参加してから、タイミングを逃し続けてきた「せきゅぽろ」。ほぼ2年ぶりに、第7回せきゅぽろに参加しました。第2回の時は JSOC の川口さんで、今回が LAC の CTO の西本さんと、LAC 続きでしたが、実際のセキュリティ・インシデントの現場を知っ…
徳丸さんが、パスワードの定期変更に関して書いた記事がありました。続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記徳丸さんは、定期的にパスワードを変えた時の効果を計算していますが、文中にある、 「全てのパスワードを試行できる」とい…
question:1299688445 を切っ掛けに、/etc/shadow ファイルのパスワードフィールドを調べてみたら、思いの外、複雑な処理をしているのが分かったので、実際にこの処理を追いかけてみました。近頃の UNIX 系 OS の /etc/shadow のパスワードフィールドは、実際…
以前、Rainbow Table の説明で、ソルトに関してid:JULY:20100515 Windows のパスワードの場合、「ソルト」と呼ばれる、パスワードに付加する乱数が無いので、同じパスワードから必ず同じハッシュ値が得られる、という側面もあります。UNIX 系 OS では「ソル…
エフセキュアブログの記事: エフセキュアブログ : 「SHA-1+salt」はパスワードに十分だと思いますか?SHA の計算が、GPU で効率よく計算できるので、思いの外、ブルートフォースの効率が良い、という話なんだけど、この文中に出てくる「2^52.5ハッシュ」と…
SASL CRAM-MD5 のジレンマ SMTP-AUTH や POP3、IMAP で使われる、認証フレームワークの SASL。SASL という名前よりも「CRAM-MD5」といった、具体的な認証方式の方が有名かもしれません。CRAM-MD5 や、POP3 専用の APOP といった認証方式は、平文のパスワード…
Windows 用のパスワード解析ソフトというと、Ophcrack が有名です。CD ブートさえ出来れば、ほぼ自動的に解析してくれます。ただ、Ophcrack の解析は、Rainbow Table に大きく依存しているところがあります。前回(id:JULY:20100515)、脚注で Rainbow Table …
question:1270750577 の回答で、Ophcrack で 4 分で解析できた結果をもって、LM ハッシュが保存されていなくても同じ、と誤解されそうな雰囲気があったので、ちょっと解説してみます。 LM ハッシュの計算方法 詳細な計算方法は下記のページにある、11 ステッ…
高木浩光さんの docomo-ID に関するブログ記事のはてブで、ID コールされてないけど、ご本人から名指しで怒られてしまいました。はてなブックマーク - 高木浩光@自宅の日記 - docomo IDを作ると生でパスワードを保管されてしまう元記事:高木浩光@自宅の日…