タグ

securityに関するKoshianXのブックマーク (338)

  • Dockerコンテナ内からホストマシンのルートを取る具体的な方法(あるいは/var/run/docker.sockを晒すことへの注意喚起) | 48JIGEN *Reloaded*

    Dockerコンテナ内からホストマシンのルートを取る具体的な方法(あるいは/var/run/docker.sockを晒すことへの注意喚起) 2015/11/04 dockerの -v オプションを使ってホストマシンのディレクトリをマウントするときは、マウントする範囲に注意が必要(特に/var/run/docker.sockをマウントしてはならない)という話を書きます。 元ネタは@lvhが書いてるDon't expose the Docker socket (not even to a container)という記事で、1ヶ月前くらいにHacker Newsで話題になってて知りました。 この元記事で紹介されているいくつかの危険なマウントのパターンに関する情報が、最近dockerを使い始めた自分に有用な情報だったので、自戒も込めて要点を書いておきます。 TL;DR /var/run/docke

    KoshianX
    KoshianX 2016/06/06
    まだ docker 使ってないけど気をつけよう……
  • 連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ

    米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ

    KoshianX
    KoshianX 2016/03/08
    ようやくこういう声明も出るようになってホントよかった。定期変更が必要なほどパスワード盗難が相次ぐなら盗難そのものに対処すべきなんだよね。
  • CVE-2015-7547 glibc における getaddrinfo の脆弱性について – IIJ Security Diary

    この脆弱性は2016年2月17日に対策済みバージョンと共に公開されました。内容としては getaddrinfo の呼び出しにおいてスタックバッファオーバーフローが発生する物です。公開時点で以下の通り、PoC を含めた技術的な詳細が公開されています。記事では、脆弱性が発生するまでの処理と、回避策について解説したいと思います。 CVE-2015-7547 — glibc getaddrinfo() stack-based buffer overflow Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow 脆弱性に至るまで 今回の脆弱性は getaddrinfo の呼び出しに起因しています。脆弱性のある箇所までの関数呼び出しは以下の様になっています。 getaddri

    CVE-2015-7547 glibc における getaddrinfo の脆弱性について – IIJ Security Diary
    KoshianX
    KoshianX 2016/02/19
    まあ対応は終わらせたけど後学のためにあとで読む。
  • iPhoneで「60分以内にパスコードを変更してください」という怪しいメッセージが出た。 - kokepiの日記

    iPhoneで「60分以内にパスコードを変更してください」という怪しいメッセージが出た。 追記:次に画像の36分という表示になった。が、60分と36分以外のバリエーションはなさそうだ。時間の経過には関係なく36分みたいだ。 画像引用元:「iPhoneのロック解除パスコードを36分以内に変更してください。」って乗っ取り?それともデマ?単なる愉快犯? 下記の記事を見て、同様にAppleに問い合わせた。 危険!スマホをのっとられそうになった話(防止策シェア) 誰かの参考になるかもしれないのでメモしておく。 Appleのサポート窓口ご担当者の回答: OSでそのような挙動はしないので、怪しい。 パスコードが盗み取られても、遠隔で端末をどうにかすることはできない。あくまで端末の画面ロックを解除するものなので、端末とセットで盗まれない限りは問題はない。 Appleでも同様の事例は把握している。原因となる

    iPhoneで「60分以内にパスコードを変更してください」という怪しいメッセージが出た。 - kokepiの日記
    KoshianX
    KoshianX 2016/02/12
    うーん、パスコード変更を要求する機能自体はあるとのことで、なんらかの原因でそれが動いちゃったってことなのかねえ。
  • まんがで学ぼう「セキュリティ入門」

    はじめてスマートフォンを持った衛(まもる)くんは、クラスのマドンナ守美(もりみ)ちゃんからのメールに導かれて異世界に迷い込みます。妖精セキュと一緒に、衛くんは無事に大好きな守美ちゃんを見つけ、異世界から帰ってこられるでしょうか? 気になる 全編 はダウンロードしてお読みください。 また、日、メールの暗号化や認証に関する情報を表示する機能を Gmail に導入しました。Gmail でメッセージをやり取りする場合、その通信は毎回暗号化され、認証により「なりすまし」を防止しています。ただ、メールのやり取りには必ず相手があるものですから、やり取りされた情報を安全に保つには、相手が利用しているサービスも、同じだけの対策が施されている必要があります。 日のアップデートにより、Gmail で暗号化されていないメッセージを受信したり、送信先のメールサービスが TLS による暗号化 をサポートしていない

    まんがで学ぼう「セキュリティ入門」
    KoshianX
    KoshianX 2016/02/12
    うーん、これ役立つかなあ……。
  • 携帯ショップ店員は客のメールを簡単に盗み見することができるのか(石川温) - エキスパート - Yahoo!ニュース

    KDDIは12日に春の新商品発表会を開催したばかりだ大手携帯電話会社のKDDIが手がける「au」販売代理店の元従業員が、女性客のメールを転送して、自分の携帯電話でのぞき見していたとして警視庁に逮捕された。 警視庁の調べによると、容疑者は一昨年8月から9月にかけて、顧客の情報管理システムにアクセスして、20代女性のメールを自分の携帯電話に転送する設定をしたという。のぞき見したメールは1200通にも及び、また女性の写真を閲覧したり、女性の友人になりすまし、SNSにもアクセスしていたようだ。容疑者は「性的欲求を満たすためだった」と供述している。 このニュースを見て、「当に携帯ショップ店員はメールをのぞき見できるのか」と不安に感じた人も多いだろう。 筆者は、警察発表資料だけでなく、KDDIやメディア関係者などを取材。ユーザーとショップ店員との信頼関係を揺るがす犯行の手口が浮かび上がってきた。 そ

    携帯ショップ店員は客のメールを簡単に盗み見することができるのか(石川温) - エキスパート - Yahoo!ニュース
    KoshianX
    KoshianX 2016/01/15
    パスワード聞いてくる店員は絶対に信用しない、というのをリテラシーとして徹底したいところではある。
  • https://jp.techcrunch.com/2015/12/23/20151222google-begins-testing-password-free-logins/

    https://jp.techcrunch.com/2015/12/23/20151222google-begins-testing-password-free-logins/
    KoshianX
    KoshianX 2015/12/23
    パスワードレスログインは絶対必要だとはずっとまえから思ってたんだけど、ようやく実現してくれる企業が出てきたか。スマホへの連絡を偽装なんかへの対策が必要になるけど、パスワードよりはずっと安全だろう
  • 田中ザック / Zach Mathis on Twitter: "Rasberry Piはデフォルトでハードウェア乱数生成器が無効になっているので、初回起動時にSSH鍵が作成される時にエントロピーが足りないため、秘密鍵が推測可能。心配の方は再生成して下さいね。https://t.co/0Cm9o02xdM"

    Rasberry Piはデフォルトでハードウェア乱数生成器が無効になっているので、初回起動時にSSH鍵が作成される時にエントロピーが足りないため、秘密鍵が推測可能。心配の方は再生成して下さいね。https://t.co/0Cm9o02xdM

    田中ザック / Zach Mathis on Twitter: "Rasberry Piはデフォルトでハードウェア乱数生成器が無効になっているので、初回起動時にSSH鍵が作成される時にエントロピーが足りないため、秘密鍵が推測可能。心配の方は再生成して下さいね。https://t.co/0Cm9o02xdM"
    KoshianX
    KoshianX 2015/11/26
    む、これしらなかった
  • DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か

    DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報

    DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か
    KoshianX
    KoshianX 2015/11/24
    Windows のマシンどこのメーカーなら安心して使えるのか
  • バグハンターの哀しみ

    12. 調査方法 ❶ URLの#以降にU+2028とDOM based XSSが起き得る文字列をつけて まわる ❷ 変なエラーがでないかみる http://host/#[U+2028]'"><svg/onload=alert(1)> 13. すると Benesseのサイトにメチャ普通のDOM based XSSがあった https://web.archive.org/web/20130723155109/http://manabi.benes se.ne.jp/#"><svg/onload=alert(1)> function writeAccesskeyForm(){ var htm = ''; var ownURI = location.href; //略 htm+= '<input type="hidden" name="backurl" value="' + ownURI + '"

    バグハンターの哀しみ
    KoshianX
    KoshianX 2015/11/21
    回線止められちゃうのか……。まあ原理的にはバグ直したほうがいいに決まってるけど怪しいアクセスが来た段階で止めるのも予防にはなるか。しっかしうっかり作りこんじゃいそうなもんがいっぱいだ……。
  • セキュリティ会社元社員の個人情報流出事件の疑問点

    F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。 にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気にわない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。 この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。 事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。 疑問点1:どうやって情

    セキュリティ会社元社員の個人情報流出事件の疑問点
    KoshianX
    KoshianX 2015/11/17
    スクレイピングして公開になってた人たちの情報だけ集まったみたいな話かと思ってたけどそうでもないのかしら?
  • 2段階認証のパスワード管理は「IIJ SmartKey」で決まり!Google認証システムより圧倒的に便利

    皆さん、GoogleEvernote、Dropboxなどといった便利なWebサービスを利用するにあたり 2段階認証 って利用していますか?私は以前にこのブログのログインアカウントに不正アクセスされそうになったことがあり、それ以降、2段階認証が利用できるサービスではすべて設定をするようにしています。 これまでこの2段階認証を利用するためのワンタイムパスワード管理アプリはGoogleGoogle認証システム(Google Authenticator)を利用していたいのですが、先日IIJmio meetingにいった際に見つけたとあるアプリを試してみたところ、Google認証システムよりも格段に使いやすいものだったので即効で乗り換えました。ということで今回は IIJ製のワンタイムパスワード管理アプリ「IIJ SmartKey」 を紹介します。 IIJ SmartKeyの機能 IIJ Smar

    2段階認証のパスワード管理は「IIJ SmartKey」で決まり!Google認証システムより圧倒的に便利
    KoshianX
    KoshianX 2015/11/05
    お、これは便利そう。あとでためそう
  • XcodeGhost関連情報を集めてみた - piyolog

    iOSアプリに混入したとして騒がれているXcodeGhostに関連するリンクをまとめます。 XcodeGhostとは何か 9月17日に中国のiOS開発者が発見したiOSアプリに混入するマルウェア。外部のサーバーへ情報送信を送信する機能が確認されている。 Appleのアプリストアで配信されている正規のアプリ(主に中国語圏のアプリ)がXcodeGhostの影響を受けることが確認されており、通常利用しているアプリがこの対象となる場合、利用者の情報が外部のサーバーへ送信される可能性がある。 解析記事 Xcode Ghostの解析記事は次の通り。 XCode编译器里有鬼 – XCodeGhost样分析 (drops.wooyun.org) Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of

    XcodeGhost関連情報を集めてみた - piyolog
    KoshianX
    KoshianX 2015/09/21
    ここの情報を収集してどうしようとしたのかが気になるな……。
  • 14さいの

    森中うみちゃん🍬 @Umic_Y_ANG おにいたんたちは賢いのでWIndowsとかのOSが特権モードと一般モードで動いてることは知ってると思います。で、Windowsだと特権モードがRing 0で、一般モードがRing 3です。1と2は使ってません。OS/2とかだともうちょっと細かかったかもしれない。 2015-08-10 22:40:26 森中うみちゃん🍬 @Umic_Y_ANG しかしCPUにはRing 0より高い特権モードがあります。一つはうみっくも知ってたハイパーバイザーモード。VT-xとかの仮想化でつかうやつです。これがRing -1。で、その上にRing -2というのがあります。ja.wikipedia.org/wiki/%E3%82%B7… 2015-08-10 22:41:38

    14さいの
    KoshianX
    KoshianX 2015/08/11
    キツイな……
  • サイボウズグループ | ニュース | サイボウズCSIRT、JPCERT/CCより感謝状を受領

    2015.08.04 サイボウズCSIRT、JPCERT/CCより感謝状を受領 脆弱性報奨金制度による自社製品の脆弱性情報の調査、公表が ソフトウェアのセキュリティを高める模範活動と評価される サイボウズ株式会社 Tweet 15080401.pdf(213KB) サイボウズ株式会社(社:東京都中央区、社長:青野 慶久、以下 サイボウズ)の社内セキュリティ組織である「サイボウズ株式会社CSIRT」(以下、Cy-SIRT)は、サイバーセキュリティ対策の取り組みを評価され、2015年8月3日(月) に一般社団法人JPCERTコーディネーションセンター様(以下、JPCERT/CC)より感謝状を受領いたしました。 ■ 感謝状受領の背景 JPCERT/CCは、日国内における情報及び制御システムの円滑な運用とコンピューターセキュリティインシデントによる被害の最小化を目的として、情報収集、分析、注意

    KoshianX
    KoshianX 2015/08/04
    こういうのが広まって脆弱性発見だけでメシが食えるエンジニアとか出てくるくらいになるといいねえ。
  • 社内のセキュリティ対策としてUSB充電器を大量に買った - ロードバランスすだちくん

    シンジです。cloudpackのセキュリティ対策の一環として、USB充電器を大量買いした、そしてなぜこの製品を買ったのかという話の経緯です。 あくまでも抑止力業務性質上、スマホやタブレットを社内に持ち込ませないということが出来ません。むしろ、お客様がリリースされたゲームやアプリが正常にAWSと通信できているかを確認するためなどなどで、日常的に利用されています。 会社が支給するデバイスについては、別途MDMを行うなどの対策を行うものの、個人のデバイスについては「充電目的でパソコン・Macに接続される」ことが多々あります。 シンジチームではiPhoneなど全てのデバイス接続を検知している会社のネットワークに接続される全業務端末では、Thunderboltも含め、USBデバイスが接続されると、全ての通信が記録されます。同時に、デバイスへの通信制御も自動的に行う仕組みとなっています。ついでにアラー

    KoshianX
    KoshianX 2015/06/26
    うん、こういうの大事だろうな……。
  • IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」:IPA 独立行政法人 情報処理推進機構

    IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、実際の標的型攻撃メールを基にした例を用いて、その見分け方を解説したレポート「標的型攻撃メールの例と見分け方」を2015年1月9日からIPAのウェブサイトで公開しました。 下記より「標的型攻撃メールの例と見分け方」についてのレポートPDF版をダウンロードしてご利用いただけます。

  • 料理人たかさんが語る「食中毒と菌のはなし」

    たかぴっぴ @silver1031 どうも中毒って「よく火を通せば大丈夫」「新鮮なモノをべれば大丈夫」「腹を壊す程度でまぁ死にはせんだろ」みたいな感じで一般の人どころか、料理人の中でも軽視してるのを見かける事があって色々アレ。まぁ調理師免許がザル免許だしってのもあるかもしれんが。菌によって全然違うのに。 2015-05-27 22:24:42 たかぴっぴ @silver1031 例えばo-157とかは最初から体内に付着してるし、鮮度関係なく菌の数が少数でもやられる。セレウス菌なんかは加熱しても強い抵抗力あるし、ウェルシュ菌なんかは100度で1時間加熱しても耐えるし、逆に加熱する事によって他の菌が居なくなって酸素が薄くなると増殖するし。 2015-05-27 22:30:00

    料理人たかさんが語る「食中毒と菌のはなし」
  • あなたのパスワード、バレてます

    KoshianX
    KoshianX 2015/04/01
    これだけサービスが多いと本当にパスワードを守るのは難しい。もうパスワード認証の時代は終わりにできないものか。
  • USB-Cで高まるリスク、NSAは大歓迎

    便利になる分、トレードオフも。 アップルの新MacBookとかグーグルの新Chromebook Pixelのおかげで、USBの新規格USB-Cが注目を集めています。充電にも端末同士の接続にも同じケーブルが使えるなんて夢みたいですが、便利さの裏にはトレードオフがあります。楽になる分だけ、我々のコンピューターはハッカーとか政府の監視機関などからのマルウェア攻撃に曝されやすくなるんです。 このUSB-Cの問題点は、そもそもUSB自体あんまり安全じゃないってとこから来ています。去年、研究者が電話の充電ケーブルとかUSBメモリ経由でコンピューターに侵入するBadUSBというマルウェアの存在を明らかにしました。BadUSB、または同様の仕組みのマルウェアを含むUSBメモリをコンピューターに接続したら最後、こっそり乗っ取られてしまいます。このマルウェアはUSBデバイスのコントローラチップのファームウェア

    USB-Cで高まるリスク、NSAは大歓迎