脆弱性関連

マルウェア

個人情報の保護・漏洩

暗号化

セキュリティ関連ツール

セキュリティ一般

  • Linuxセキュリティ標準教科書(Ver1.0.0) 2013.10.1
    • 本教材を学校教育や企業研修において活用していただき、OSS/Linuxにおけるセキュリティ教育の質向上の一助としていただければ幸いです。
    • また、本教材は、セキュアなシステム設計・サーバ構築のスキルを認定する「LPICレベル3 303試験(LPI-303 Security Exam)」の教育および学習にも役立ちます。
  • PS3 呆気無く陥落
    • 何で、そんな大事な private key が解析されてしまったのでしょうか?。
    • カンファレンスにおける fail0verflow の説明によると、ECDSA(楕円曲線暗号デジタル署名) でキーの生成に使う乱数がなんと「固定値」になっているということで、private key の探索範囲が一挙に縮まり、どうやら private key の奪取に成功したようです。
    • これはもう人災ですね。カンファレンスでも、「これはプログラムの不具合ではなく、PS3 の実装を使っただけですから」どか言われてるし…。
  • ボットネットの新たな温床になりかねないネットワーク・プロセッサ 2008.7.31
    • NPUネットワーク・カードが普及し,さらに同カードを悪用するボットが登場したとしよう。悪質なソフトウエアが同カードに攻撃を仕掛け,パソコン本体のプロセッサやOSに影響を与えずに同カードを完全に掌握する可能性がある。ボットがNPUを管理下に置いてしまえば,このパソコンで送受信しているすべてのネットワーク・データが盗聴される上,ほかのパソコンのNPUネットワーク・カードも攻撃対象になりかねない。加えて,これらの攻撃はすべて,通常のウイルス対策ソフトから検知されずに実行できるのだ。
  • SQLインジェクション攻撃の波が再来、通常の70〜100倍に 2008.3.13
    • ASPを用いて開発されたアプリケーションは、企業の要件に応じて個別に開発されることが多いが、その「バグが作り込まれやすいところを狙ってきている。このため、一概にパッチの適用で修正できるというわけではなく、対処が困難だ」と新井氏は指摘。Webサーバを運用している企業や組織は、パッケージ製品だけでなく、外注しているアプリケーションについても改めて診断を受け、修正を施すべきだと述べた。
  • 無線LANのMACアドレス制限の無意味さがあまり理解されていない 2007.11.2
    • パケットの中にMACアドレスは暗号化されずに入っている
    • WPAによる暗号化が有効に働いていれば、鍵を知る者以外には接続できないのだから、MACアドレス接続制限をする必要性は全くない。それなのに、なぜか、「暗号化で秘匿」「MACアドレスで接続制限」の両方が必要だと勘違いした解説がたくさん出回っている。
  • McAfeeによる2007年におけるセキュリティ問題ベスト10 2006.11.30
    1. 偽のサインインのページを使って人気のあるオンライン・サービスの
      IDやパスワードを盗むWebサイトが増加する
    2. スパムの量,とくに画像を使ったスパムが引き続き増加する
    3. オンラインのビデオ共有サービスの人気により,攻撃者が悪意のあるコードを
       配布する手段としてMPEGファイルを利用するようになる
    4. 携帯電話が多機能化してインスタント・メッセージング,BlueTooth,WiFi,USBなどを通じて
       接続性が高まるにつれて,携帯電話をターゲットとする攻撃が増加する
    5. 商用のPUP(Potentially Unwanted Program:不審なプログラム)の増加に続き,アドウエアも増加する
    6. コンピュータの盗難,バックアップの損失,情報システムへの侵入などによる
       個人情報の盗難やデータ損失が引き続き社会的な問題となる
    7. ボットを使った攻撃が増加する
    8. ディスク上の既存のファイルを書き換える寄生型のマルウエアまたはウイルスが復活する
    9. 32ビット・プラットフォームをターゲットとするルートキットが増加する
    10. 公開されるぜい弱性が増加する

認証・パスワード

SSH

関連サイト

  • The AKE Protocol Zoo
    • The AKE Protocol Zoo は、安全な通信インフラに不可欠な認証および鍵交換(AKE, Authentication and/or Key Exchange)の主要な暗号プロトコルの現時点の安全性が一目で分かる画期的なポータルサイトです。
  • ttp://www.zone-h.org/ (念のため直リンせず)

用語説明

  • ISMS
    • ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。
    • 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用)
    • ●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。
    • ●完全性:資産の正確さ及び完全さを保護する特性。
    • ●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 
  • サイドチャネル攻撃
    • サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。
    • 白熱電球の例えがわかりやすい。電球の明滅の情報だけでなく、消した後に残る熱からどの電球が点いていたかの情報を得るのがサイドチャネル攻撃に相当する。

解析・リバースエンジニアリング


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-03-11 (月) 20:42:00 (76d)