Dockerコンテナ内からホストマシンのルートを取る具体的な方法(あるいは/var/run/docker.sockを晒すことへの注意喚起) 2015/11/04 dockerの -v オプションを使ってホストマシンのディレクトリをマウントするときは、マウントする範囲に注意が必要(特に/var/run/docker.sockをマウントしてはならない)という話を書きます。 元ネタは@lvhが書いてるDon't expose the Docker socket (not even to a container)という記事で、1ヶ月前くらいにHacker Newsで話題になってて知りました。 この元記事で紹介されているいくつかの危険なマウントのパターンに関する情報が、最近dockerを使い始めた自分に有用な情報だったので、自戒も込めて要点を書いておきます。 TL;DR /var/run/docke
米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ
この脆弱性は2016年2月17日に対策済みバージョンと共に公開されました。内容としては getaddrinfo の呼び出しにおいてスタックバッファオーバーフローが発生する物です。公開時点で以下の通り、PoC を含めた技術的な詳細が公開されています。本記事では、脆弱性が発生するまでの処理と、回避策について解説したいと思います。 CVE-2015-7547 — glibc getaddrinfo() stack-based buffer overflow Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow 脆弱性に至るまで 今回の脆弱性は getaddrinfo の呼び出しに起因しています。脆弱性のある箇所までの関数呼び出しは以下の様になっています。 getaddri
iPhoneで「60分以内にパスコードを変更してください」という怪しいメッセージが出た。 追記:次に画像の36分という表示になった。が、60分と36分以外のバリエーションはなさそうだ。時間の経過には関係なく36分みたいだ。 画像引用元:「iPhoneのロック解除パスコードを36分以内に変更してください。」って乗っ取り?それともデマ?単なる愉快犯? 下記の記事を見て、同様にAppleに問い合わせた。 危険!スマホをのっとられそうになった話(防止策シェア) 誰かの参考になるかもしれないのでメモしておく。 Appleのサポート窓口ご担当者の回答: OSでそのような挙動はしないので、怪しい。 パスコードが盗み取られても、遠隔で端末をどうにかすることはできない。あくまで端末の画面ロックを解除するものなので、端末とセットで盗まれない限りは問題はない。 Appleでも同様の事例は把握している。原因となる
はじめてスマートフォンを持った衛(まもる)くんは、クラスのマドンナ守美(もりみ)ちゃんからのメールに導かれて異世界に迷い込みます。妖精セキュと一緒に、衛くんは無事に大好きな守美ちゃんを見つけ、異世界から帰ってこられるでしょうか? 気になる 全編 はダウンロードしてお読みください。 また、本日、メールの暗号化や認証に関する情報を表示する機能を Gmail に導入しました。Gmail でメッセージをやり取りする場合、その通信は毎回暗号化され、認証により「なりすまし」を防止しています。ただ、メールのやり取りには必ず相手があるものですから、やり取りされた情報を安全に保つには、相手が利用しているサービスも、同じだけの対策が施されている必要があります。 本日のアップデートにより、Gmail で暗号化されていないメッセージを受信したり、送信先のメールサービスが TLS による暗号化 をサポートしていない
KDDIは12日に春の新商品発表会を開催したばかりだ大手携帯電話会社のKDDIが手がける「au」販売代理店の元従業員が、女性客のメールを転送して、自分の携帯電話でのぞき見していたとして警視庁に逮捕された。 警視庁の調べによると、容疑者は一昨年8月から9月にかけて、顧客の情報管理システムにアクセスして、20代女性のメールを自分の携帯電話に転送する設定をしたという。のぞき見したメールは1200通にも及び、また女性の写真を閲覧したり、女性の友人になりすまし、SNSにもアクセスしていたようだ。容疑者は「性的欲求を満たすためだった」と供述している。 このニュースを見て、「本当に携帯ショップ店員はメールをのぞき見できるのか」と不安に感じた人も多いだろう。 筆者は、警察発表資料だけでなく、KDDIやメディア関係者などを取材。ユーザーとショップ店員との信頼関係を揺るがす犯行の手口が浮かび上がってきた。 そ
Rasberry Piはデフォルトでハードウェア乱数生成器が無効になっているので、初回起動時にSSH鍵が作成される時にエントロピーが足りないため、秘密鍵が推測可能。心配の方は再生成して下さいね。https://t.co/0Cm9o02xdM
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報
2019/10/16 初心者向けCTFのWeb分野の強化法 CTFのweb分野を勉強しているものの本番でなかなか解けないと悩んでいないでしょうか?そんな悩みを持った方を対象に、私の経験からweb分野の強化法を解説します。 How to strengthen the CTF Web field for beginners !! Although you are studying the CTF web field, are you worried that you can't solve it in production? For those who have such problems, I will explain how to strengthen the web field based on my experience. (study group) https://yahoo-osa
F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。 にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。 この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。 事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。 疑問点1:どうやって情
皆さん、GoogleやEvernote、Dropboxなどといった便利なWebサービスを利用するにあたり 2段階認証 って利用していますか?私は以前にこのブログのログインアカウントに不正アクセスされそうになったことがあり、それ以降、2段階認証が利用できるサービスではすべて設定をするようにしています。 これまでこの2段階認証を利用するためのワンタイムパスワード管理アプリはGoogleのGoogle認証システム(Google Authenticator)を利用していたいのですが、先日IIJmio meetingにいった際に見つけたとあるアプリを試してみたところ、Google認証システムよりも格段に使いやすいものだったので即効で乗り換えました。ということで今回は IIJ製のワンタイムパスワード管理アプリ「IIJ SmartKey」 を紹介します。 IIJ SmartKeyの機能 IIJ Smar
iOSアプリに混入したとして騒がれているXcodeGhostに関連するリンクをまとめます。 XcodeGhostとは何か 9月17日に中国のiOS開発者が発見したiOSアプリに混入するマルウェア。外部のサーバーへ情報送信を送信する機能が確認されている。 Appleのアプリストアで配信されている正規のアプリ(主に中国語圏のアプリ)がXcodeGhostの影響を受けることが確認されており、通常利用しているアプリがこの対象となる場合、利用者の情報が外部のサーバーへ送信される可能性がある。 解析記事 Xcode Ghostの解析記事は次の通り。 XCode编译器里有鬼 – XCodeGhost样本分析 (drops.wooyun.org) Malware XcodeGhost Infects 39 iOS Apps, Including WeChat, Affecting Hundreds of
森中うみちゃん🍬 @Umic_Y_ANG おにいたんたちは賢いのでWIndowsとかのOSが特権モードと一般モードで動いてることは知ってると思います。で、Windowsだと特権モードがRing 0で、一般モードがRing 3です。1と2は使ってません。OS/2とかだともうちょっと細かかったかもしれない。 2015-08-10 22:40:26 森中うみちゃん🍬 @Umic_Y_ANG しかしCPUにはRing 0より高い特権モードがあります。一つはうみっくも知ってたハイパーバイザーモード。VT-xとかの仮想化でつかうやつです。これがRing -1。で、その上にRing -2というのがあります。ja.wikipedia.org/wiki/%E3%82%B7… 2015-08-10 22:41:38
2015.08.04 サイボウズCSIRT、JPCERT/CCより感謝状を受領 脆弱性報奨金制度による自社製品の脆弱性情報の調査、公表が ソフトウェアのセキュリティを高める模範活動と評価される サイボウズ株式会社 Tweet 15080401.pdf(213KB) サイボウズ株式会社(本社:東京都中央区、社長:青野 慶久、以下 サイボウズ)の社内セキュリティ組織である「サイボウズ株式会社CSIRT」(以下、Cy-SIRT)は、サイバーセキュリティ対策の取り組みを評価され、2015年8月3日(月) に一般社団法人JPCERTコーディネーションセンター様(以下、JPCERT/CC)より感謝状を受領いたしました。 ■ 感謝状受領の背景 JPCERT/CCは、日本国内における情報及び制御システムの円滑な運用とコンピューターセキュリティインシデントによる被害の最小化を目的として、情報収集、分析、注意
シンジです。cloudpackのセキュリティ対策の一環として、USB充電器を大量買いした、そしてなぜこの製品を買ったのかという話の経緯です。 あくまでも抑止力業務性質上、スマホやタブレットを社内に持ち込ませないということが出来ません。むしろ、お客様がリリースされたゲームやアプリが正常にAWSと通信できているかを確認するためなどなどで、日常的に利用されています。 会社が支給するデバイスについては、別途MDMを行うなどの対策を行うものの、個人のデバイスについては「充電目的でパソコン・Macに接続される」ことが多々あります。 シンジチームではiPhoneなど全てのデバイス接続を検知している会社のネットワークに接続される全業務端末では、Thunderboltも含め、USBデバイスが接続されると、全ての通信が記録されます。同時に、デバイスへの通信制御も自動的に行う仕組みとなっています。ついでにアラー
たかぴっぴ @silver1031 どうも食中毒って「よく火を通せば大丈夫」「新鮮なモノを食べれば大丈夫」「腹を壊す程度でまぁ死にはせんだろ」みたいな感じで一般の人どころか、料理人の中でも軽視してるのを見かける事があって色々アレ。まぁ調理師免許がザル免許だしってのもあるかもしれんが。菌によって全然違うのに。 2015-05-27 22:24:42 たかぴっぴ @silver1031 例えばo-157とかは最初から体内に付着してるし、鮮度関係なく菌の数が少数でもやられる。セレウス菌なんかは加熱しても強い抵抗力あるし、ウェルシュ菌なんかは100度で1時間加熱しても耐えるし、逆に加熱する事によって他の菌が居なくなって酸素が薄くなると増殖するし。 2015-05-27 22:30:00
便利になる分、トレードオフも。 アップルの新MacBookとかグーグルの新Chromebook Pixelのおかげで、USBの新規格USB-Cが注目を集めています。充電にも端末同士の接続にも同じケーブルが使えるなんて夢みたいですが、便利さの裏にはトレードオフがあります。楽になる分だけ、我々のコンピューターはハッカーとか政府の監視機関などからのマルウェア攻撃に曝されやすくなるんです。 このUSB-Cの問題点は、そもそもUSB自体あんまり安全じゃないってとこから来ています。去年、研究者が電話の充電ケーブルとかUSBメモリ経由でコンピューターに侵入するBadUSBというマルウェアの存在を明らかにしました。BadUSB、または同様の仕組みのマルウェアを含むUSBメモリをコンピューターに接続したら最後、こっそり乗っ取られてしまいます。このマルウェアはUSBデバイスのコントローラチップのファームウェア
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
