標準教科書シリーズ お問い合わせ窓口
CTFとは、世界的に有名な旗取り合戦(Capture The Flag)のことで、セキュリティ技術を競うコンテストの総称です。出題ジャンルは、暗号、バイナリ、ネットワーク、Web、プログラミングなど多岐に渡り、クイズ形式の問題の謎を解いたり、実験ネットワーク内で疑似的な攻防戦を行ったりするものです。セキュリティだけでなくプログラミングに関する知見も問われ、攻撃技術、防御技術、解析技術、暗号の知見、ネットワーク技術など、広範な知識と経験が必要となっています。CTFは総合的な問題解決力を磨く最適な競技と言えるでしょう。 CTFには既に20年近い歴史があり、ラスベガスのDEFCONでCTFが開催されたことをきっかけに、今やヨーロッパやアジア、オセアニアや南米など、各国で頻繁に競技会が開催されています。国際大会も多く、元祖DEFCONを筆頭に、マレーシアHack in the BOXや、韓国COD
You are accessing this page via HTTP. We recommend you using HTTPS: https://ksnctf.sweetduet.info/ コンピュータセキュリティに関する問題を出題します。 各問題からFLAG_123456xyzという形式の答え(flag)を探してください。 Twitterでログインすると、ランキングに参加できます。 ctfq.u1tramarine.blue 以外への攻撃はしないでください。 Attacks are only allowed to ctfq.u1tramarine.blue. Tweet
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
よくわからない人のための事前知識 イメージ的にはこんなかんじです。 ・銀行(パソコン)にお金(画像)が保管してあります ・これを盗まれる(ハッキング)のを防ぐのが目的です ・ところが番組側が用意した銀行の建物はボロボロ(バージョンが古い)です ・そんな建物なので侵入経路(脆弱性・セキュリティホール)だらけです ・セキュリティ的には補修工事(パッチをあてる)をしたかったものの、番組が面白くなくなるので不可 ・そこで、銀行自体に侵入されるのは諦めて、お金を保存する金庫を頑丈にしました(TrueCryptで暗号化) ・そして勝負開始、思ったより銀行に侵入するだけでも結構時間がかかっていたようです ・とはいえ、そこは脆弱性を残したままのシステムであり、案の定銀行には侵入されてしまいました ・金庫も見つかってしまいました ・ところが金庫を破るのが非常に難しかったため、時間制限もありギブアップ …とい
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。 筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。 まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダ
米国の大手検索サービス「グーグル」が、大手サイトを含む複数のWebサイトへのアクセスをブロックしていることが5日、わかった。グーグル日本法人によると、ユーザーの安全確保策の一環として自動で行われているという。ブロックされている大手サイトには、「毎日jp」や「マイナビニュース」が含まれている。 グーグル日本法人によると、これは「セーフブラウジング機能」といい、そのサイトにアクセスすると、パソコンやスマートフォンが損害を受ける可能性があると判断した場合に、アクセスをブロックするという。「いくつあって、何が問題だったかは個別には説明できない」(広報部)という。 対象となるのは、パソコン用のグーグル検索だけでなく、アンドロイド仕様のスマートフォンもグーグル検索を使うため対象となる。 5日午後の時点で複数ある対象サイトに「毎日jp」や「マイナビニュース」は含まれている。実際にグーグルで日本語検索して
ウェブテクノロジのサーバやネットワークのお守りをしている yone です。今後、社内で実際に使っているソフトウェア・設定・構成などの豆知識のご紹介をしていきたいと思っています。巷にある情報の再掲になりますが、実稼働事例の一つとしてご参考になれば幸いです。 1. お金のかかる証明書は要らない HTTPS を使ったウェブサイトを立ち上げるとき、SSL サーバ証明書屋さんからサーバ証明書を購入するのが普通です。 ところが、会社内や特定のメンバー内だけで利用するサーバであれば、必ずしも証明書屋さんから証明書を購入する必要はないのです。 今回は、証明書屋さんから買わずに自前で証明書屋さんを作って自前で証明書を発行し、HTTPS サイトを立ち上げる方法をご紹介します。 その証明書の正式名称は、自己署名証明書ですが、本稿ではオレオレ証明書と表記することにします。(笑) 試しに、「オレオレ証明書」で検索し
まず、OpenSSLがインストールされているとして進めます。 本来、信頼のある認証局に認証してもらいますが 今回は、自分で認証するための自己認証局を作成します。 CAの作成は、/usr/local/ssl/CAに行います。 あらかじめディレクトリを作成しておきます。 OpenSSLがインストールされているディレクトリにある miscディレクトリにCA.shというスクリプトがあります。 このスクリプトで認証局を構築することができます。 CA.shをCAの作成場所にコピーします。 cp CA.sh /usr/local/ssl/CA 構築する場所等を変更するためスクリプトを少し修正します。 openssl.cnfの[CA_default]-dirも同様に修正します。 DAYS="-day 3650" CATOP=/usr/local/ssl/CA CAKEY=./cakey.pem CACER
用途やコスト、目的からSSLサーバー証明書の選び方 最短即日発行から信頼性の高いEV証明書まで、ぴったりのSSLがわかる! 目的から選ぶ
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
ユーザー名やパスワード等の機密情報をWebブラウザから入力する場合、盗聴される恐れがあるため、Webサーバー間の通信内容を暗号化する。 ここでは、Webサーバーにmod_sslを導入して、URLをhttp://~ではなく、https://~でアクセスすることによって、Webサーバー間の通信内容を暗号化するようにする。 なお、Webサーバーとの通信内容を暗号化するには、サーバー証明書を発行する必要があるが、ここでは、自作サーバー証明書を発行して各クライアントにインポートする。 ※サーバー証明書を各クライントへインポートしなくても暗号化通信は行えるが、クライアントが通信するたび(Webブラウザ起動毎)にセキュリティの警告が表示されてしまう [root@centos ~]# cd /etc/pki/tls/certs/ ← ディレクトリ移動 [root@centos certs]# sed -i
■OpenSSLのインストール OpenSSLはデフォルトでは、/usr/local/ssl にインストールされます。デフォルトのインストール先を変更する場合は、--openssldir で指定します。ここでは、オプションを指定せずにインストールを行います。 $ cd /usr/local/src $ tar xzvf openssl-0.9.7d.tar.gz $ cd openssl-0.9.7d.tar.gz $ ./config $ make $ make test $ su # make install ■mod_ssl の組み込み mod_ssl を組み込むにはApache のソースパッケージが置いてあるディレクトリに移動し、再コンパイルします。configure オプションには、SSLが使えるように、--enable-ssl を付け加えます。その他、必要なモジュールがあれば各
Outbound Port 80 blocking ⽵竹 <takesako@shibuya.pm.org> http://www.janog.gr.jp/meeting/janog31/program/OP80B.html [ ] � MacBook Air ⾏行行 � [ ] � ⾏行行 ⼈人 � [ ] � ⼊入 � [ ] � ⼈人 � [ ] � ⽤用 Google Wireshark ⾯面⼈人 Firesheep � 2010 10⽉月 �Firefox � �Eric Butler⽒氏 � LAN facebook Twitter ⽂文 HTTP Cookie � �PoC⽰示 Firesheep ⾯面 Eric Butler⽒氏⽤用 Firesheep � Web �Amazon.com CNET dropbox Evernote Facebook Flickr Gith
Google2段階認証を設定した後、iPhoneでGmailを受信できなくなった場合の対処法2012.12.26 20:308,397 前回ギズモードではGoogleの2段階認証プロセスの設定方法について取り上げました。セキュリティ強化のために実際にこのプロセスを設定してみた、という人も多いと思います。私も実際に設定したのですが、その直後にiPhoneでGmailを受信できなくなってしまいました。Googleのヘルプ動画を見ると、まだ2段階プロセスに対応していないアプリ(例:iPhoneのGmailやOutlookなどのメーラー)があるようで、これらのアプリで2段階認証プロセスを有効にするには、別途固有のパスワード設定が必要になります。 というわけで、ここではiPhoneのGmailをはじめ、2段階認証プロセス未対応のアプリでの設定方法を説明します。 1.「アプリケーション固有のパスワード
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
