Agile Cat — in the cloud

Enterprise Mobile の調査: セキュリティとインテグレーションが心配だが、乗り遅れるのも怖い ー Gartner

Posted in On Monday, Security by agilecat.cloud on November 23, 2015
Enterprise Mobility: Gartner Cites Top Concerns of Security, Integration, and Rapid Change
Dick Weisinger – November 18th, 2015
http://formtek.com/blog/enterprise-mobility-gartner-cites-top-concerns-of-security-integration-and-rapid-change/
_ formtek
Gartner recently reported at their Symposium that among IT decision makers the top concerns with enterprise mobility are:
 
Gartner が先日に開催した、IT デジション・メーカーのためのシンポジウムにおいて、エンタープライズ・モビリティにおける懸念材料が明らかになった:
 
  • Sisley_2Security – More than two-thirds say that security, hacking, and malware is number one
  • Integration – 46 percent say that they’re concerned with integrating their enterprise data and applications
  • Rapid Change –  Slightly less than half worry that  their businesses won’t be able to keep up with the rapid changes in technology
 
  • Security – 2/3 以上の参加者が、セキュリティ/ハッキング/マルウェアを No.1 に挙げていた。
  • Integration – 46% の参加者が、エンタープライズとして、すでに運用しているデータおよびアプリケーションとの統合について、懸念していると述べていた。
  • Rapid Change –  半分弱の参加者が、急速に変化していくテクノロジーを、自身のビジネスが追いつくかどうかを心配している。
 
Natalie Lambert, senior director of product marketing at Citrix, commented on the Gartner numbers to CMSWire, saying that “organizations that achieve full mobility will unlock huge potential in their workforce and drive business growth; organizations that adopt a philosophy to protect and control application and data access across locations, networks and devices can address privacy, compliance, and risk management priorities without compromising end-user productivity; and organizations that realize true business agility will be ready to adapt to changes, like mergers and acquisition, globalization, and facilities and infrastructure changes in real time.”
 
Citrix の Senior Director of PM である Natalie Lambert は、Gartner から CMSWire に提供された上記の数値について、「完全なモビリティを実現しようとする組織は、労働の効率を高め、また、事業の成長を促進していくために、ロックを解除する方向へと向かっている。また、ロケーション/ネットワーク/デバイスを横断するかたちで、アプリとデータへのアクセスを制御/保護するというコンセプトの組織は、プライバシー/コンプライアンス/リスクの管理を再優先にしながらも、エンド・ユーザーの生産性を損なわないように努力するだろう。そして、ビジネスの敏捷性を本質から追求しようとする組織は、合併/買収、および、グローバル化、施設とインフラの変更といった変化に、リアルタイムで適応する方向へと進んでいくだろう」と、述べている。
 
But despite the potential benefits that mobility can bring, IT decision maker concerns may be causing decision makers to hold back spending.  Only 18 percent of budget spending is going towards mobility.
 
しかし、モバイビリティがもたらす、このような潜在メリットにもかかわらず、デジション・メーカーたちが考える支出を、情シスの判断が押し留めるという、ケースも多いようだ。なぜなら、モバイビリティに費やされる支出が、全体の 18% に過ぎないからだ。
 
ーーーーー
On Monday昨日ですが、Facebook のエンタープライズ・メッセージングである、Work Chat に関する記事をポストしました。 そして、前提となる Facebook At Work の、ユーザー・サイドでのテストも進んでいるようです。これなどは、完全にモバイルありきのサービスであり、BYOD を一挙に前進させるものになるのでしょう。昨年の今ごろに、シャドウ IT で使われるアプリをリスト・アップしていますが、文中で少なすぎると指摘されている、エンタープライズ・モバイビリティに対する支出は、このように補完されているのだと思えてきます。_AC Stamp
ーーーーー
<関連>
IoT の調査: これからの5年間で7兆ドルの市場に成長するが、セキュリティが難題となる
IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半だ
Development の調査:Google の 85TB リポジトリは、20億行のコードで満たされている!
Innovation の調査: ビジネスとテクノロジーを破壊/再生していく四大要因とは?
Cloud の調査: クラウド・ポリシーの運用に関して、適切な戦略をもつ企業は1%にすぎない
 

Comments Off on Enterprise Mobile の調査: セキュリティとインテグレーションが心配だが、乗り遅れるのも怖い ー Gartner

Facebook の セキュリティ 5−STEP には、なんと! 遺書コンタクトまで含まれている!

Posted in .Selected, Facebook, Privacy, Security, Social by agilecat.cloud on November 20, 2015
5 things that Facebook’s security guru says every user should do to be safe online
Jillian D’Onfro – Sep 19, 2015
http://www.businessinsider.com/facebook-security-rules-2015-9
 
_ Business Insider
 
Facebook has over 1.49 billion monthly active users, with people in the US spending a staggering 27 hours on the social networking site every month.
 
Facebook には、グローバルで  ⒈499 億人の MAU がいる。 そして、US に関して言えば、このソーシャルネットワーキングサイト上における平均消費時間は、1ヶ月あたり 27時間という驚異的な数字になるという。
 
The company thinks that that kind of sky-high usage and engagement gives it certain responsibilities.
 
この企業が考えているのは、空をも突き抜けるような高い使用率と、エンゲージメントに見合ったレベルで、一定の責任を担うことである。
 
Facebook Log-In“Because people interact with Facebook so often, we’re spending a lot of time thinking about how we can play a role in helping increase security literacy overall across the internet,” Facebook security product manager Melissa Luu-Van tells Business Insider.
 
「 人々は Facebook と頻繁に対話している。したがって、私たちは、インターネット全般において増加しているセキュリティ・リテラシーを、どのようにサポートしていけるのかという視点で、多大な時間を費やしながら検討している」と、Facebook の Security Product Manager である Melissa Luu-Van は述べている。
 
The company recently released a new “Security Check-up” feature for users and continues to try to find ways to get people thinking about security, Luu-Van says. In some emerging markets in particular, Facebook could be people’s first on-ramp to the internet, through its Internet.org efforts.
 
最近になって同社は、ユーザーに対して最新の「Security Check–up 機能」を提供し、人々がセキュリティについて考える機会を作り出そうとしていると、Luu-Van は述べている。とりわけ、いくつかの途上国の市場では、Facebook がインターネットの入り口となる可能性があり、また、そのための努力が Internet.org を介して展開されている。
 
“We want to help people develop that muscle memory and start thinking about security in a different way,” she says. “Good security practices are important for all your accounts and services.”
 
「 私たちが望むことは、これまでとは異なる方法で、人々がセキュリティについて考え始め、また、それを記憶に焼き付けるように、手助けすることに尽きる。つまり、適切なセキュリティ対策は、すべての人々のアカウントとサービスにとって重要なのである」と、彼女は発言している。
 
Melissa Luu-VanFacebook security product manager Melissa Luu-Van
 
Luu-Van — who says that Facebook is trying to spread the gospel that good security is proactive versus reactive —outlined five things principals that internet users should be thinking about whenever they sign up for a new internet service:
 
Luu-Van が言うには、Facebook が広めようとしているゴスペルは、先見性と受容性の対比が、優れたセキュリティをもたらすというものだ。そのために列挙する5つの原則は、新しいインターネットサービスにサインアップする際に、ユーザーが必ず考えるべきものとなる。
  
1. Always use good password practices
 
On the one hand, duh. On the other, picking a strong, unique password sounds obvious, but people are notoriously pretty bad at it.
 
安易に考えては行けないというのは、分かりきったことである。その一方で、強固でユニークなパスワードを選ぶことが、明らかに大切という声があるが、それはそれで、別の問題を孕んでいる
 
Although memorizing different passwords for all your account feels like a big hassle, having the same one for multiple accounts is needlessly dangerous.
 
つまり、すべてのアカウントごとに異なるパスワードを記憶するのは、大きな労力になるが、同じものを複数のアカウントに適用するのは、不要にリスクを背負い込むことになる
 
Luu-Van says she recommends thinking of fairly long passwords that wouldn’t be obvious to anyone but you, or using a password manger (here are a few options). So, no “password” as your password please.
 
Luu−Van は、他者に推測されない、かなり長めのパスワードを使うべきとしているが、パスワード・マネージャの利用もあると述べている。(here are a few options) もちろん、「password」がパスワードなどというのは論外である。
 
2. Login approvals — also called two-factor authentication — is a must
 
“You should always add this extra layer of protection to your account,” Luu-Van says.
 
「あなたのアカウントを守るために、もう1つのセキュリティ・レイヤを、常に加えるべきだ」と、Luu-Van は述べている。
 
Two-step verification is a way for websites to confirm that you are who you say you are when you try to log in, usually through a code that gets texted to you.
 
Web サイトが、あなたを確認するための方法として、二段階認証がある。それにより、ログインしようとするときに、あなたが本人であることが確認される。通常は、その時々に取得するコードを介して、本人確認が行われる。以下の記事を参照してほしい。
Here’s how to set it up for Facebook, Google, Microsoft products, and more.
 
3. Know what sort of “permissions” you’re giving apps
 
You’re probably familiar with that box that shows up whenever you download a new app, asking you to give it access to parts of your phone or information on the account your using to sign in with (for example, if you login with your Facebook account). You should actually pay attention to it.
 
新しいアプリをダウンロードするたびに表示される、ボックスについては、よく知っているだろう。そこでは、あなたがログインしているアカウントで用いられる、携帯の電話番号や情報などへアクセスが要求される。こうした要求に対しては、充分に注意する必要がある。
 
You should routinely check what you’re giving different apps access to, deleting permissions for ones that you don’t use anymore and making sure that your comfortable with how your data is being taken, by whom.
 
必要なことは、日常的なチェックである。そして、アクセスを許している個々のアプリケーションを確認していくべきだ。続いて、すでに使用しないアプリへのアクセス許可を削除し、また、誰にデータを渡すことで、Facebook を快適に使えるのかを確認すべきだ。
 
“We’re hoping that people will become more accustomed with reviewing the information they share with apps,” Luu-Van says.
 
「 私たちの願いは、アプリで共有する情報を確認することに、人々が慣れてくれることだ」と、LUU-Van は述べている。
 
4. Set up “trusted contacts” in case you do get locked out of your account
 
Instead of writing your password down somewhere so you don’t forget it (since any physical or digital documentation could fall into the wrong hands!), you should set up a trusted contact who can help you if you’re in a bind. Many services now allow you to set a back-up email or phone number to send special codes to that you can use if you’re locked out. That contact doesn’t actually get your password: Just a code to help you reset yours.
 
パスワードを忘れないようにするために、どこかに書き留める人もいるだろう。そして、それが、物理的あるいはデジタル的に、悪者の手に渡ってしまうこともあり得るのだ! そのような困った状況に陥ったときに、あなたを助けることが可能な、信頼できるコンタクト先を設定しておくべきだろう。いまでは、数多くのサービスが提供されており、もしロックアウトされている場合であっても、送信されてくる特殊コードを使用することで、あなたの電話番号や電子メールなどを、もとに戻すことが可能だ。また、ここで用いるコンタクト先に、あなたのパスワードを渡す必要もない。つまり、取得するコードを用いるだけで、あなたのアカウントをリセットできるのだ。
 
“Forgetting your password happens to the best of us, from time-to-time,” Luu-Van says. “The bigger picture here is being really proactive about making sure that you can get back into your account in case something happens.”
 
「 あなたがパスワードを忘れても、その時々で、私たちはベストな方法を提供できる。つまり、あなたが本人であることを確認するための、あらゆる手段が積極的に運用され、何かが起こっても、あなたは確実にアカウントを取り戻せる」と、LUU-Van は述べている。
 
5. Make sure you have a legacy contact
 
This is the most morbid of Luu-Van’s tips, but no less important than the other ones: You should make sure that there is someone ready to take care of your digital accounts when you die.
 
これは、LUU-Van のティップスの中で、最も考えたくないことであるが、他にも増して重要な事柄である。つまり、あなたに死が訪れたときに、あなたのデジタル・アカウントのことを考えてくれる誰かを、しっかりと準備しておくべきだという話である。
 
“This stuff is super important to consider, even if it’s not something you want to be thinking about day-to-day,” Luu-Van says. “Do you want someone to be able to access these things and manage them on your behalf? You need to set up a way for someone to take care of your affairs if something happens to you.”
 
「そのようなことを、毎日のように考えたくないのは分かるが、きわめて重要な検討事項である。見ず知らずの誰かが、あなたのように振る舞い、あなたのアカウントを利用するような状況は望まないだろう。あなたに、何かが起こったときに、あなたのアカウントのことを考え、適切な処理をしてくれる、信頼できる誰かを設定しておく必要がある」と、LUU-Van は述べている。
 
Learn how to set up your Facebook legacy contact — and see exactly what they can do — here.
 
あなたの Facebook 遺書コンタクトを設定する方法は、ここに記されている。あなたが選んだ人に、どのような権限が受け渡されるのか、しっかりと確認してほしい。
 
SEE ALSO: Here’s a look at Facebook’s plan to kill unicorn startup Slack
 
ーーーーー
facebookAgile Cat の場合には、1 はパス・フレーズの組み合わせ:2 は Google の二段階認証: 3 アプリは使わないが定期的に掃除:4 この仕組みができた時に対応済・・・ と、それなりにセキュリティを考えてきました。 しかし、5 の遺書コンタクトは初めて知りました。 まぁ、それ以前に、グループやページのアドミンを、他の人と共有していくことを、優先して進めなければなりませんが、ほんと「遺書コンタクト」も重要ですよね。 考えなくては! _AC Stamp
ーーーーー
<関連>
Facebook Timeline は、新しいプライバシーを試すのか? – 2011
Facebook でプライバシーを護るための、8種類のプロテクション – 2011
Facebook のプライバシー : 知っておくべき 5つのポイント!
Facebook と Google によりソーシャル・ログインの 80% が占有されている
クッキーは死んだ:そして Facebook/Google/Apple の広告が激変している
 

Comments Off on Facebook の セキュリティ 5−STEP には、なんと! 遺書コンタクトまで含まれている!

最凶の Android マルウェアが発見された: 感染すると root 権限を取得し、ファクトリ・リセットでも削除できない!

Posted in .Selected, Google, Mobile, Security by agilecat.cloud on November 11, 2015
This Android malware is so bad, you might be better off buying a new phone
Stan Schroeder – Nov 6, 2015
http://mashable.com/2015/11/06/android-malware-auto-rooting/#5dhLduWw2Gqx
 
_ Mashable
We’ve seen Android malware that takes your photos and videos for ransom, and there’s one that can mimic your phone’s shutdown process and spy on you even though the phone appears to be off.
 
これまでにも、フォトやビデオをロックした後に身代金を要求する、Android のレンサム・マルウェアを確認してきた。 また、その類として、シャットダウン・プロセスを実行するものや、電源が OFF になっていてもスパイ行為を働くものなどもある。
 
Android MalwareImage: Flickr Andrew Mason
 
But a new family of malware, detailed by security firm Lookout on Wednesday, is probably the scariest we’ve heard of: It’s so hard to remove that, in some cases, victims might be better off just buying a new device.
 
しかし、この水曜日(11/5)に、セキュリティ会社である Lookout が詳細を説明した、新しいマルウェア・ファミリは、これまでの中で、最も凶悪なものだと言えるだろう。つまり、感染してしまうと、その削除がきわめて難しいのだ。被害者によっては、新しいデバイスを購入したほうが、良いかもしれないというケースも、あり得るのだ。
 
Lookout’s researchers have found 20,000 samples of three pieces of malware, named Shedun, Shuanet, and ShiftyBug, which share a lot of the same code and use similar tactics to infect the victim’s phone. Once installed — usually from a third-party app store — these apps root the victim’s device, embed themselves as system-level services, and shapeshift into legitimate, popular apps, including Facebook, Candy Crush, Twitter, Snapchat, WhatsApp and others.
 
Lookout の研究者たちは、Shedun/Shuanet/ShiftyBug 名前の、3種類のマルウェアに関して、20,000 件の感染例を発見している。それらのマルウェアは、数多くの同じコードを共有し、被害者のスマホに潜入する方式も似通っている。大半のケースで、感染源はサードパーティのアップ・ストアである。そして、一度インストールされると、そのデバイスのルートをたどり、自身をシステム・レベルのサービスとして埋め込んでしまう。続いて、Facebook/Candy Crush/Twitter/Snapchat/WhatsApp などを含む人気アプリを、合法的に変容させていく。
 
What makes these apps especially ominous is their relatively tame level of activity. Once they repackage a legitimate app, they leave most of its functionality intact. The idea is that, with root privileges, this malware could be used for delivering other types of adware and malware onto users’ devices.Besides that, having a rogue piece of malware with system-level access on your phone is extremely dangerous for both your online security and privacy.
 
それにより、アプリケーションに生じる脅威はというと、このマルウェアが、相対的に従順なアクティビティを持つ点にある。したがって、合法的なアプリを再パッケージしても、その機能の大部分が無傷で残ってしまう。このマルウェアの、root 権限を悪用する方式により、対象となるユーザーのデバイスを、他のアドウェアやマルウェアで感染させることも可能になってしまう。それに加えて、スマホのシステム・レベルに、不正にアクセスするマルウェアを、あなたのスマホに抱え込むということは、オンラインにおけるセキュリティとプライバシーの両面で、きわめて危険なことである。
 
Even worse, once infected, it’s very hard to remove these types of malware. “For individuals, getting infected with Shedun, Shuanet, and ShiftyBug might mean a trip to the store to buy a new phone,” wrote Lookout’s Michael Bentley in a blog post.
 
さらに悪いことに、この種のマルウェアに感染してしまうと、その削除がきわめて困難になる。Lookout の Michael Bentley は、「個人ユーザーが、Shedun/Shuanet/ShiftyBug に感染すると、新しいスマホを購入するために、ショップを駆けまわることになるだろう」と、ブログに書いている
 
Bentley does not go into details, except to suggest that seeking out professional help to remove the malware might do the trick. In a reply to a user comment on his post, however, he does claim that a factory reset of an infected device would not remove this malware. In a discussion on Ars Technica’s comment section, several users suggested one way to get rid of it would be reflashing the device’s ROM chip, but most users don’t have the technical prowess to do so.
 
Bentley は詳細に触れていないが、専門家の技に助けを求めて、このマルウェアの削除するという手段だけは提示している。ただし、彼のブログ・ポストへのユーザー・コメントに対しては、デバイスを工場出荷状態に戻すファクトリ・リセットでは、このマルウェアを削除できないと答えている。また、Ars Technica のコメント・セクションでは、デバイスの ROM チップ・リフラッシュにより削除するという方式が、何人かのユーザーの間で盛んに議論されているが、ほとんどのユーザーは、そのための技術力を持っていない。
 
Interestingly enough, even though this type of malware spreads through third-party app stores, Lookout has found the greatest number of infections in the United States and Germany (where users typically install apps from Google Play), as well as Iran, Russia, India, Jamaica, Sudan, Brazil, Mexico, and Indonesia.
 
前述のとおり、この種のマルウェアは、サードパーティ・アップ・ストアを介して拡散していく。しかし、興味深いことに、United States と Germany の感染数が最大だと(ここでは Google Play の利用率が高い)、Lookout の調査結果が示している。また、Iran/Russia/India/Jamaica/Sudan/Brazil/Mexico/Indonesia でも感染例が見つかっている。
 
If you have an Android phone, the best course of action is to avoid third-party app stores and only install apps from Google Play.
 
あなたが、Android スマホを使っているなら、サードパーティ・アップ・ストアを避け、Google Play のみからアプリをインストールすることが、最善の予防策となる。
 
 
ーーーーー
research_55かなりの騒ぎになっているようです。 11日の16時30分の時点で、「Android Malware」をググってみたら、以下のニュースがトップに表示されていました。 Agile Cat も、ROM のフラッシュなんて出来ないので、感染したら買い替えになります。 とにかく、感染の可能性のある経路を、遮断していくのが良いと思います。 この際だから、使っていないアプリを、ごっそりと削除するつもりです。 _AC Stamp
 
New Family Of Android Malware Virtually Impossible To Remove
Tech Times  – 2 days ago
New Android Malware Could Be Fatal For The Phone
Science Times  – 22 H ago
XcodeGhost malware set to fuel rise in iOS attacks, security experts warn
Inquirer  – 15H ago
ーーーーー
<関連>
Facebook で Zuck をフォローすると、本当に ブロックできなくなるの?
米諜報機関 NSA は、どのようにして暗号を解析したのか? その手法が明らかになってきた!
クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!
VW スキャンダル が、IoT のセキュリティに対して、新たな論点を投げかける
IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半だ!
 

Comments Off on 最凶の Android マルウェアが発見された: 感染すると root 権限を取得し、ファクトリ・リセットでも削除できない!

IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半を占める

Posted in IoT, On Monday, Security by agilecat.cloud on November 9, 2015
Internet of Things Security: Most Early-entry IoT Devices have Weak Security at Best
By Dick Weisinger – November 6th, 2015
http://formtek.com/blog/internet-of-things-security-most-early-entry-iot-devices-have-weak-security-at-best/
_ formtek
The IoT security market is expected to grow from $6.89 billion to $28.90 billion by 2020, according to Markets and Markets.  Gartner, Inc. estimates 4.9 billion “Things” will be used this year and that should reach 25 billion by 2020.
 
Markets and Markets によると、IoT セキュリティのマーケットは、2020年までに $6.89 billion から $28.90 billion へと成長するようだ。また、Gartner は、今年には 49億個の Things が使用され、2020年には 250億個に到達するはずと推定している。
 
Klimt_2While growth in the market is explosive, many worry about the security of the devices.  The FBI released a report that warns consumers that putting any of these devices on the Internet is very risky.  The FBI report warns of UPnP vulnerabilities, unchanged default passwords, denial-of-service attacks, and can potentially even result in physical harm.  The warning applies to a wide variety of devices, including  closed-circuit TVs to Wi-Fi, thermostats, garage doors, smart appliances, office equipment, TVs, and home healthcare and medical products.
 
このマーケットの成長は爆発的であるが、数多くの人々が、デバイスのセキュリティについて心配している。 FBI がリリースしたレポートには、インターネット上にデバイスを安易に配置することは、きわめて危険だという、消費者に対する警告が記されている。 この FBI のレポートが、具体的に指摘するのは、UPnP の脆弱性および、デフォルト・パスワードの利用、サービス拒否攻撃などに関するものであり、その結果として、物理的な被害が生じる可能性も否定できないというものだ。 この警告が対象とするデバイスは、TV と Wi-F を結ぶ閉回路や、サーモスタット、ガレージドア、スマート家電、オフィス機器、テレビ、ホーム・ヘルスケア、医療機器などを含む、きわめて多様なものとなる。
 
The FBI report found that “deficient security capabilities and difficulties for patching vulnerabilities in these devices, as well as a lack of consumer security awareness, provide cyber actors with opportunities to exploit these devices.  Criminals can use these opportunities to remotely facilitate attacks on other systems, send malicious and spam e-mails, steal personal information, or interfere with physical safety.”
 
この FBI レポートには、「これらのデバイスの脆弱性にパッチを適用しようとしても、セキュリティ機能の欠落や、対応の困難さが障害となる。また、消費者におけるセキュリティ意識の欠如により、それらのデバイスを悪用する機会が、サイバー・アクターたちに提供されてしまう。犯罪者たちは、転がり込んできたチャンスを悪用することで、他のシステムへのリモート攻撃を容易に実現し、悪質なメールやスパム・メールを送信し、個人情報を盗み出すだろう。 そして、最終的には、物理的な安全性をも侵害する」と記述されている。
 
Shankar Somasundaram, senior director of Internet of Things Security at Symantec, said that “as IoT innovation and adoption continues to grow, so has the opportunity for new cybersecurity risks. This is the next frontier. In the automotive industry, hackers can literally steer the car and ‘hit the brakes’ from their keyboards.”
 
Symantec の Senior Director of IoT である Shankar Somasundaram は、「IoT が革新され続け、その適用が広がるにつれて、サイバー・セキュリティにおける、新種のリスクが生じてくる。 つまり、次の未開拓な分野へと進んでいくわけだ。 たとえば、自動車という世界においては、ハッカーたちは、キーボードからハンドルを乗っ取り、ブレーキを攻撃することもあり得るのだ」と述べている
 
The main problem is that vendors are trying to rush products to market without taking the time to consider security.  An HP Fortify study found, for example that 100 percent of smartwatches tested had significant vulnerabilities.  A study by Rapid7 looked at the security of baby monitors and found that of the ten products selected, all failed except one product that scored a “D”.
 
最も重要な問題は、セキュリティを検討するための、充分な時間を確保することなく、ベンダーたちが急いでマーケットに、プロダクトを提供してしまうことだ。 HP Fortify の調査によると、たとえばスマート・ウォッチをテストすると、100% の確率で重大な脆弱性が見つかるという。また、Rapid7 はベビー・モニタのセキュリティをチェックしているが、10 種類のプロダクトをサンプリングしてテストしたところ、1つのプロダクトを除いて、すべてが失格だっという。 ただし、テストを通過したプロダクトも、その評価は「D」クラスだったという。
 
ーーーーー
On Monday今年の1月にポストした、IoT の調査: これからの数年のうちに顕在化する、10 の現象を予測するという抄訳には、「IoT データへの侵害は、確実に起こるだろう。 2年以内に、IoT システムの 90%が、セキュリティ侵害に遭遇するだろう」と記されています。IoT により、便利で効率の良い社会が実現されていくはずですが、それとは裏腹に、たくさんの心配事も生じてくるようです。 IoT のデバイスには、データを送信するだけのものと、インターネットを介して受信した指示から、なんらかの装置などを制御するものに、大別されるはずです。 そして、後者のケースでは、侵害による物理的な被害も起こり得るわけです。 たとえば、インターネット経由で送られてくる、それぞれの指示を分析するだけではなく、それらを実行していった結果を、デバイス自体が自律的に判断し、異常であればセーフガードを動かすといった、新たな種類のセキュリティ対策が必要になるのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Development の調査:Google の 85TB リポジトリは、20億行のコードで満たされている!
Innovation の調査: ビジネスとテクノロジーを破壊/再生していく四大要因とは?
Cloud の調査: クラウド・ポリシーの運用に関して、適切な戦略をもつ企業は1%にすぎない
Quanta の コンバージド・インフラが登場:OpenStack/VMware/Microsoft に対応!
CloudFlare は ”Cisco as a Service” :Google/Microsoft/Baidu/Qualcomm が支援!
 

Comments Off on IoT Security の調査: 黎明期の IoT デバイスは、セキュリティを考慮しないものが大半を占める

Facebook で Zuck をフォローすると、本当に ブロックできなくなるの?

Posted in .Chronicle, Facebook, Security, Social, Weekend by agilecat.cloud on November 7, 2015
Why you can’t block Mark Zuckerberg on Facebook
The Independent – Nov 6, 2015
http://timesofindia.indiatimes.com/tech/computing/Why-you-cant-block-Mark-Zuckerberg-on-Facebook/articleshow/49688880.cms
 
_ Times of India
 
You can try as hard as you want, but you can’t block Mark Zuckerberg on Facebook. There’s been a rash of stories lately about this, but Zuck has been unblockable for years.
 
どんなに頑張って、トライし続けようとも、Facebook 上で Mark Zuckerberg をブロックすることは不可能だ(注記:フォローしてしまうと)。 このところ、そんな話が、よく聞かれるが、何年にもわたって Zuck はブロックされていない。
 
Zuck FacebookMark Zuckerberg is known for his long-term vision for Facebook and for bringing the internet to billions of people around the world….
 
Flickr
SOCIALisBETTER
 
Disappointingly, it’s not a joke by Facebook’s engineers, down to Zuckerberg’s vanity, or because he needs to keep an eye on you.
 
あなたが、Zuck の鼻をへし折ろうと思っても、目を引こうと思っても、残念ながら、それは叶わない。 なぜなら、Facebook エンジニアが、「ジョークではない」と言っているからだ。
 
According to Mashable, it’s the product of a safeguard built in to the site to prevent trolling campaigns against certain people.
 
Mashable が、タネを明かしてくれた。 つまり、このサイトには、特定の人物に対するトローリング・キャンペーンを防止するための、セーフガード機能が組み込まれているのだ。
 
If one account has been blocked a lot in a short space of time, the safeguard will kick in and prevent any more blocks, just in case the person is being targeted by bullies or a viral campaign.
 
特定のアカウントに対して、短時間に大量のブロック・リクエストが送られた場合に、このセーフ・ガードが起動して、それ以上のブロックを防ぐことになる。 なぜなら、イジメが行われているか、ウイルスの標的になっているかだと、システム的に判断すべき状況だからだ。
 
Facebook says the system is there to “protect the experience for people targeted by these campaigns.” So there’s nothing too nefarious going on there, it’s just an automatic block-blocker.
 
Facebook によると、そのような不当キャンペーンのターゲットを保護するために、これまでの経験がシステムに反映されているという。 したがって、なんらかの意図があるわけではなく、ブロック・ブロッカーが動作するだけのことなのだ。
 
It does tell us one thing, however — there’s a lot of people who are constantly trying to block Mark Zuckerberg on Facebook. But with one of the most popular accounts on the site (he’s got over 40 million followers), that’s not too surprising.
 
しかし、そこから、ある事が読み取れる。Facebook 上で Mark Zuckerberg を、定期的にブロックしようと試みている人が、たくさん居るということである。 とは言え、このサイトで、トップクラスの人気を誇るのアカウントであれば(4000万 フォロワー)、それほど驚くべきことでも無いのだろう。
 
ーーーーー
facebookWikipedia からの抜粋ですが、、、「ハーバード大学の学生だった Zuck は、ハッキングした女子学生の身分証明写真をインターネット上に公開し、顔を比べて勝ち抜き投票させるゲームを考案した。 それが大学内で問題となり、半年間の保護観察処分を受けるに至った」と記されています。 まぁ、一言でいうと、彼にはハッカーとしての素養が、充分に備わっているようです。 そして、たくさんの敵を作りながら成長していく過程で、さまざまな攻撃を受けたはずですが、そのころのエクスペリエンスが、Facebook の免疫性を高めているのでしょう。 このタイトルを見て、久々のゴシップ・ネタだと喜んだのですが、とても勉強させて頂きました、ハイ。ほんとうは、試しにフォローしてみたいのですが、きっと機関銃のようにポストが飛んでくるので、怖くてダメです。でも、Agile Cat の FB トモには、それくらいヘッチャラな人がたくさんいるので、きっと誰かが試してくれるはずだと信じています。 オネガイ! _AC Stamp
ーーーーー
<関連>
Facebook の AI アシスタントは[M]:Messenger と組み合わせるテストが始まった
Facebook at Work が、10万人規模の 英銀行に導入される! 他にも 300社が テスト中!
Facebook と Open Switch 市場: その具体的な戦略と、Cisco の反応
Facebook での感情表現:[イイネ]のほかに、[6つの絵文字ボタン]が提供される!
Apple の 広告ブロックは、Facebook に対して無力である:その関係を整理しておこう 
 

Comments Off on Facebook で Zuck をフォローすると、本当に ブロックできなくなるの?

米諜報機関 NSA は、どのようにして暗号を解析したのか? その手法が明らかになってきた!

Posted in Government, Microsoft, Privacy, Security, Strategy by agilecat.cloud on October 20, 2015
Researchers claim to have solved NSA crypto-breaking mystery
Juha Saarinen – Oct 16 2015
http://www.itnews.com.au/news/researchers-claim-to-have-solved-nsa-crypto-breaking-mystery-410560
 
_ it news
 
Able to decrypt almost a fifth of top million HTTPS websites.
 
Top-Million HTTPS Web サイトの、ほぼ 1/5 の暗号は解析されるだろう。
 
ーーーーー
 
Researchers believe they have worked out how the United States National Security Agency (NSA) is able to break digital encryption used on the internet and intercept potentially trillions of connections.
 
ある研究者たちのグループが、United States National Security Agency (NSA) について、インターネット上で用いられるデジタル暗号を解読し、何兆にもおよぶコネクションの傍受を可能にしていたとする、調査結果をまとめた。
 
A team of computer scientists from US and French universities alongside Microsoft looked into rumours that the NSA has in recent years been able to crack present encryption.
 
US および France の大学に所属するコンピュータ・サイエンティストと、Microrsoft によるチームは、この数年にわたって NSA が暗号を解読してきたという、ウワサについて調査した。
 
ImageResizer.ashxRalph Merkle, Martin Hellman and Whitfield Diffie, who developed the first public-key crypto exchange, in 1975. Source: Stanford University.
 
They studied the Diffie-Hellman method of exchanging digital keys between internet-connected computers to encrypt virtual private networking, website, email and other traffic.
 
彼らは調べたのは、インターネット接続されたコンピュータと、暗号化された VPN/Web Site/eMail などの間で交換される、トラフィックを保護するための Diffie-Hellman というディジタル・キーの方式である。
 
Diffie-Hellman has until now been thought to be safe against encryption breaking and protect against mass surveillance, if keys larger than 512 bits are used.
 
これまで、512 Bit 以上のキーを用いているなら、Diffie-Hellman は暗号破壊と監視社会に対して、安全性を担保できると考えられてきた。
 
The D-H protocol negotiation starts with the client and server agreeing on a large prime number with a particular form, which would require a vast amount of computational effort to calculate.
 
この DH プロトコルのネゴシエーションは、その計算に膨大なコンピューティング・リソースが必要となる大きな素数を、クライアントとサーバの間において、特定のフォーマットで一致させることでスタートする。
 
However, a paper entitled Imperfect Forward Secrecy: How Diffie-Hellman Fails In Practice [pdf] points to an implementation weakness within many clients and servers that means they reuse the same prime numbers.
 
しかし、Imperfect Forward Secrecy: How Diffie-Hellman Fails In Practice [pdf]  というタイトルの論文は、数多くのクライアントとサーバーにおいて、同じ素数を再利用するという、実装上の弱点を指摘している。
 
Two of the researchers, Alex Haldeman and Nadia Heninger, said that for 1024-bit primes, the most common D-H key strength used currently, a special-purpose hardware-equipped computer would cost a few hundred million US dollars to build.
 
Alex Haldeman と Nadia Heninger という二人の研究者は、現時点で最も一般的に用いられている、1024 Bit 素数による D-H キーの強度について、数億ドルをかけた専用ハードウェア・コンピュータに、ほぼ匹敵すると述べている
 
It’s a sum well within the NSA’s computer network exploitation budget of US$1 billion in 2013.
 
そして、この金額は、2013年に NSA が計上した、コンピュータ・ネットワーク活用という名目の、予算内に収まるのだ。
 
Such a system would be able to break one Diffie-Hellman prime a year.
 
このようなシステムを1年も運用すれば、1つの Diffie-Hellman 素数を破壊できるだろう。
 
Researcher Nicholas Weaver of the International Computer Science Institute in Berkeley, California, analysed the paper, and said the scientists were “almost certainly correct that the technique they describe is used by the NSA, in bulk, to perform a massive amount of decryption of internet traffic.”
 
International Computer Science Institute in Berkeley, California の研究者である Nicholas Weaver は、その論文を分析した後に、ほぼ間違えのない内容だと述べている。 つまり、そこに記載されている技法を、NSA はバルクで利用し、インターネット・トラフィックに含まれる、大量の暗号を解析したことになる。
 
Weaver noted that while an NSA supercomputer could break 1024-bit Diffie-Hellman, longer keys like 3072-bit, elliptic curve D-H and RSA encryption could not be cracked in the same way.
 
そして Weaver は、NSA のスーパー・コンピュータについて、1024 Bit の Diffie-Hellman は破壊できるだろうが、たとえば 3072 Bit のロング・キーや、楕円曲線 D-H、そして RSA 暗号などについては、同じ手法でクラックできないだろうと指摘している。
 
For the NSA, being able to break commonly used encryption would have an enormous payoff, the researchers said.
 
そして研究者たちは NSA にいて、莫大な予算さえ費やせば、一般的に使用される暗号は解読ができるだろうと述べている。
 
“Breaking a single, common 1024-bit prime would allow NSA to passively decrypt connections to two-thirds of VPNs and a quarter of all SSH servers globally,” they wrote.
 
彼らは、「一般に用いられる単一の 1024 Bit 素数を破壊することで、グローバルにおける VPN の 2/3 および、SSH サーバ の 1/4 に対する接続暗号を、NSA は受け身のかたちで解読できただろう」と言っている。
 
“Breaking a second 1024-bit prime would allow passive eavesdropping on connections to nearly 20 percent of the top million HTTPS websites. In other words, a one-time investment in massive computation would make it possible to eavesdrop on trillions of encrypted connections.”
 
そして、「第二の 1024 Bit 素数を破壊することで、Top-Million HTTPS Web サイトの 20% 近くに対して、その接続暗号を受け身で盗聴できるようになる。つまり、大量のコンピュータ・リソースに対して、集中的に資金を投入することで、無数の接続暗号の盗聴が可能になるだろう」と続けている。
 
While the researchers said they could not prove for certain that the NSA is breaking internet encryption and eavesdropping and intercepting traffic, they believe their analysis of the weaknesses in Diffie-Hellman implementations fits what is known already about the spy agency’s decryption abilities better than other explanations.
 
研究者たちは、NSA がインターネット暗号を破壊し、トラフィックを傍受/盗聴してきた方式について、確実に証明することはできないと述べている。その一方で、彼らが分析した Diffie-Hellman 実装の弱点と、この諜報機関の解読能力に関する情報は一致しており、その他の推測よりも適切だと確信しているようだ。
 
The NSA working as both the poacher and game keeper when it comes to encryption is problematic, Haldeman and Heninger said. It means the agency could be exploiting weak Diffie-Hellman while only taking small steps to fix the problems.
 
NSA の機能は、暗号化に問題が生じるときに、密猟者と猟場の番人という二面性を持つことになると、Haldeman と Heninger は述べている。 そして、この諜報機関は、Diffie-Hellman の弱点は利用するが、問題の修正のためには努力しないだろう。
 
“This state of affairs puts everyone’s security at risk. Vulnerability on this scale is indiscriminate—it impacts everybody’s security, including American citizens and companies—but we hope that a clearer technical understanding of the cryptanalytic machinery behind government surveillance will be an important step towards better security for everyone,” they wrote.
 
そして彼らは、「 この不安定な状態は、すべての人々に、セキュリティ上のリスクをもたらす。そして、このスケールの脆弱性は無差別なものとなり、アメリカの市民と企業を含む、全体的なセキュリティに悪影響をおよぼす。その一方で、この政府による監視の背景となる、暗号解読の手法を技術的に理解することで、すべての人々のための、より良いセキュリティへと向けた、重要な一歩が記されることを、私たちは願っている」と述べている。
 
Weaver said it was critical that users who wish to protect themselves from “Applied Kleptography” or stealing of digital keys for mass surveillance move away from 1024-bit Diffie-Hellman.
 
Weaver のマトメは、Applied Kleptography や監視社会のデジタル・キー盗難から身を守りたいユーザーは、1024 Bit Diffie-Hellman を捨てるべきというものだ。
 
Devices deployed today will be in use for a decade, the researchers wrote, which is as long as adverseries can use the above-mentioned techniques for eavesdropping and interception.
 
現時点でマーケットに供給されているデバイスは、これからの 10年に渡って使用されていくだろう。ただし、それは、前述の盗聴や傍受のテクニックに対して、それらが対抗できる場合に限るというのが、研究者たちの結論である。
 
ーーーーー
research_55この記事を、昨日の夕方に見つけてから、どうしたものかと悩みましたが、自分の中でもくすぶっていた疑問だったので、とにかく、再優先で訳してみました。 重たいテーマなので、ちょっと疲れましたが、分からなかったことが、少しでも明らかになると、これからウォッチすべきものも見えてきます。 それにしても、この記事を書いた  Juha Saarinen さんは素晴らしいジャーナリストですね。 先月にポストした「クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!」という抄訳も、オリジナルは彼のものです。文中で参照している Nicholas Weaver さんのサイトなどを、おそらく毎日のように、チェックしているのだと思います。こうして分かりやすく書いてもらえるので(訳は苦労しますが)、とても助かります。 _AC Stamp
ーーーーー
<関連>
BitTorrent と DDoS 攻撃の関連性: 放置すると、その UDP が悪用されるかもしれない
Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?
Cloud Storage の調査: エンタープライズで Box や Dropbox を安全に使うために!
IoT の調査: セキュリティ/プライバシーの問題と、米下院での論点について
VW スキャンダル が、IoT のセキュリティに対して、新たな論点を投げかける
 

Comments Off on 米諜報機関 NSA は、どのようにして暗号を解析したのか? その手法が明らかになってきた!

VW スキャンダル が、IoT のセキュリティに対して、新たな論点を投げかける

Posted in IoT, Security, Strategy by agilecat.cloud on October 6, 2015
Volkswagen scandal raises new IoT security issues
John C. Tanner – October 02, 2015
http://www.telecomasia.net/blog/content/volkswagen-scandal-raises-new-iot-security-issues
 
_Network Asia
 
One of the interesting side effects about the Internet of Things is that telecoms journalists like me find ourselves writing about things we wouldn’t normally write about.
 
Internet of Things がもたらす副次的な効果として興味深いのは、私のようなテレコム関連のジャーナリストが、普段では思いもつかないような論点を、自分自身で見つけ出すことかもしれない。
 
Like VolkswagenFlickr
eric shoemaker
 
Like Volkswagens.
 
たとえば、Volkswagens だ。
 
You’ve heard by now that Volkswagen has been caught cheating on emissions tests for its diesel cars, and now faces up to $18 billion in fines in the US, while investigations have been opened in other countries. Cheating on such tests isn’t new – what’s interesting is how they did it.
 
あなたも聞いているように、Volkswagen は利益のために、ディーゼル車の排ガス試験をごまかしたとして、US で $18 billion もの罰金を課せられそうな状況に陥っている。そして、同じような調査が、その他の国々にも広がりそうな勢いだ。この、試験におけるごまかしは、いまに始まったものではない。 そして興味深いのは、同社がとった方法である。
 
Volkswagen reportedly preprogrammed its cars’ computers with an algorithm that would allow them to detect when an emissions test was being carried out, and then temporarily change the engine’s performance so it seemed to be running up to 40 times cleaner than it was. And Volkswagen did this for six years before it was caught.
 
伝えられるところによると、Volkswagen の車載コンピュータには、あるアルゴリズムが事前にプログラミングされており、排ガス試験が実施されている状況を、検知できるようになっていたという。そして、エンジンのパフォーマンスを、一時的に変更することで、実際よりも 40倍もクリーンに見せかけていた。 つまり、この件が発覚するまで、Volkswagen は 6年間にわたり、ごまかし続けてきたのだ。
 
Clever. And it’s something we can expect to see more of as we start making more and more “things” smart, software driven and connectable, says security expert and Resilient Systems CTO Bruce Schneier:
 
「賢いじゃないか。 そして、より多くの Things を、ソフトウェア・ドリブンとネットワーク・コネクティビティを用いて、さらにスマートなものにしようと思い始めたときから、それこそが、期待されてきた結果だろう」と、Resilient Systems で CTO と Security Expert を兼任する Bruce Schneier は述べている:
 
The Internet of Things is coming. Many industries are moving to add computers to their devices, and that will bring with it new opportunities for manufacturers to cheat. Light bulbs could fool regulators into appearing more energy efficient than they are. Temperature sensors could fool buyers into believing that food has been stored at safer temperatures than it has been. Voting machines could appear to work perfectly — except during the first Tuesday of November, when it undetectably switches a few percent of votes from one party’s candidates to another’s.
 
Internet of Things の時代がやってくる。数多くの産業において、自社のデバイスにコンピュータを加えようという動きが加速しているが、それはそれで、計器によるごまかしという、新たなチャンスを生み出していくだろう。LED メーターを用いる測定器は、実際よりも効率よくエネルギーが利用されていると、規制当局をだませるだろう。温度センサーの表示情報を用いれば、実際よりも低温で食品が保存されていると、消費者をだませるだろう。 投票マシンは完璧に動作しているように見えるが、11月の第1火曜日だけは、別のプログラムが走る。そして、検出できない範囲で、ある候補者から別の候補者へと、数パーセントの得票率を付け替えるだろう。
 
This also raises a new vector for IoT security. Computer security is typically concerned with keeping bad guys out. Consequently, when we talk about IoT security, we think in terms of protecting the “things” from being compromised by outsiders. But what happens if they’re compromised by design? And how do you prove it was a feature rather than a bug?
 
そして、このような論点が、IoT セキュリティに関する新しいベクトルを生みだす。一般論として、コンピュータのセキュリティでは、悪者を締め出すことが重視されている。したがって、IoT のセキュリティにおいても、外部からの侵害に対して、どのように Things を保護すべきかという議論から始まるだろう。しかし、デザインの時点で、すでに侵害が仕組まれていたら、いったい、どうなるのだろう? そして、それがバグではなく、意図的なものであったと、どうすれば証明できるのだろう?
 
Readmore here.
 
Related content
 
 
ーーーーー
IoTいま、問題となっている VW ディーゼル車の車載コンピュータには、つまり、Bosch から供給されている ROM には、動かぬ証拠となるコードが焼かれているのでしょう。 しかし、IoT の時代になると、それらのコードは常にオンラインから供給されるため、不正の証拠としておさえることが、とても困難になると思われます。 その意味で、この John C. Tanner さんと Bruce Schneier さんの主張は、IoT を推進する側が答えを用意すべき点を、とても鋭く突いていますね。 企業のモラルに訴えているだけでは、今回のような不正が繰り返されるのかもしれません。 その反対に、行き過ぎた情報開示の要求は、競争原理を否定するものに成りかねません。 とは言え、地球というリソースを、大切に利用するためには、IoT が不可欠です。なんというか、人類の知恵が試される時代に差し掛かっているのでしょうね。 _AC Stamp
ーーーーー
<関連>
IoT の調査: セキュリティ/プライバシーの問題と、米下院での論点について
Industry 4.0 の調査: この製造業のイノベーションと、IoT との関係を説明しよう
IoT と 自動車損保:明確な Win Win モデルが実現するだろう
IoT 開発でトップを走る APAC! 開発環境としては Azure の支配が始まったようだ!
Google セルフ・ドライブ・カーの、もらい事故レポート: 追突されて4人が イテテ!
 

Comments Off on VW スキャンダル が、IoT のセキュリティに対して、新たな論点を投げかける

クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!

Posted in .Selected, Advertising, Asia, Huawei, Microsoft, Security, Strategy by agilecat.cloud on September 30, 2015
Cookies can bypass HTTPS in web browsers
Juha Saarinen – Sep 25 2015
http://www.itnews.com.au/news/cookies-can-bypass-https-in-web-browsers-409617
 
_ it news
The US Computer Emergency Response Team (CERT) has issued a vulnerability note warning that cookies in web browsers could allow remote attackers to bypass secured sessions and reveal private information.
 
US CERT (Computer Emergency Response Team) が発行した、脆弱性に関する新たな警告ノートが示すのは、Web ブラウザ内に保持されているクッキーが、セキュア・セッションをバイパスするリモート攻撃を許し、さらには、個人情報を流出させるという可能性である。
 
Cookies are small text files with data sent to web browsers that servers and applications use to keep track on what users do during their sessions.
 
クッキーとは、Web ブラウザに送り込まれる小さなテキスト・ファイルのデータであり、それをサーバーやアプリケーションから参照することで、ユーザー・セッションでの行動を追跡するというものである。
 
CookiesFlickr
mackenzie
Fundamental flaw in state management feature could bust open secured web browsing.
 
They have long been thought to contain potential security issues, as the RFC 6265 specification does not give mechanisms for isolation and integrity guarantees, CERT said its 804060 notice.
 
これまでの長期にわたり、セキュリティ上の潜在的な問題を、クッキーは持っていると考えられてきた。そして、RFC 6265 スペックについては、分離性と完全性を保証するための、メカニズムを与えるものではないと、CERT が Note 804060 で述べている。
 
A group of researchers from the University of California, Tsinghua University, Huawei and Microsoft found that thanks to the lack of integrity guarantees, an attacker with a man in the middle position on a plain-text HTTP browsing session could inject cookies that will be used for secure HTTPS encrypted sessions.
 
University of California/Tsinghua University/Huawei/Microsoft の研究者で構成されるグループが、クッキーの完全性が保証されないことで、ある問題を生じることを発見した。つまり、HTTP ブラウジング・セッション(プレーン・テキスト)を行っている人を攻撃者が悪用することで、セキュアな HTTPS 暗号セッションで使用することになるクッキーに侵入できてしまうのだ。
 
This, the researchers wrote in the Cookies Lack Integrity: Real-World Implications paper [pdf], can be achieved even if the “secure” flag is set to the state-management feature, indicating the files should only be sent over an HTTPS connection.
 
この問題は、Cookies Lack Integrity: Real-World Implications という論文 [pdf] に記載されている。それによると、HTTPS 接続されているときだけに、送信されるべきファイルを示す “secure” フラグが、”state-management” 機能に対して設定されている場合であっても、上記の方式は成立してしまう。
 
Cookie attacks can be performed with most modern web browsers such as Apple Safari, Google Chrome, Mozilla Firefox and Microsoft Internet Explorer.
 
クッキーによる攻撃は、Apple Safari/Google Chrome/Mozilla Firefox/Microsoft Internet Explorer といった、最新の Web ブラウザでも防ぐことができない。
 
“We found cookie injection attacks are possible with very large websites and popular open source applications including Google, Amazon, eBay, Apple, Bank of America, BitBucket, China Construction Bank, China UnionPay, JD.com, phpMyAdmin, and MediaWiki, among others,” the researchers wrote.
 
この研究者のグループは、「きわめて大規模な Web サイトや、人気のオープンソース・アプリケーションであっても、このクッキー侵入攻撃が成立することを発見した。具体的に言うと、Google/Amazon/eBay/Apple/Bank of America/BitBucket/China Construction Bank/China UnionPay/JD.com/phpMyAdmin/MediaWiki などであっても、その標的になってしまうのだ」と述べている。
 
Several types of attacks are possible with cookie injection, they said, including cross-site scripting, leaking of private data, cross-site request forgery (CSRF), fraud and theft of user account details.
 
このクッキー侵入を用いるとこで、いくつかのタイプの攻撃が成り立つと、研究者たちは説明している。そして、そこには、cross-site scripting/leaking of private data/cross-site request forgery (CSRF)/fraud and theft of user account details などが含まれるという。
 
To demonstrate the vulnerability, the researchers devised two exploits against Google, hijacking the Gmail chat gadget, and invisibly stealing a user’s search history.
 
研究者たちは、この脆弱性を実証するために、Google に対して2つの裏ワザを仕掛けてみた。それは、Gmail のチャット・ガジェットをハイジャックし、ユーザーに気づかれずに検索履歴を盗み出すというものだ。
 
This was possible because the base google.com domain is not fully protected by HTTP strict transport security (HSTS), which allows a server to tell a client to only ever communicate over HTTPS.
 
ベースとなる google.com ドメインが、HSTS(HTTP strict transport security)により完全に保護されているわけではないので、この擬似的な攻撃が成立してしまった。ちなみに、HSTS が機能していると、サーバーが通信するクライアントを、HTTPS を介するものだけに限定できる。
 
The researchers also found a corner case affecting shared domains used by content delivery networks such as Cloudflare, CacheFly and Microsoft’s Windows.net/msecnd.net Azure that permitted cookie injection attacks.
 
また、研究者たちは、CDN(content delivery networks)で利用される共有ドメインにおいても、稀に影響をが生じることを発見した。それらは、CloudFlare/CacheFly/Microsoft Windows.net/msecnd.net Azure などであり、このクッキー侵入攻撃を許してしまった。
 
Mitigation measures against cookie injection attacks include full HSTS protection, a public suffix list of top-level and shared domains, defensive cookie practises such as frequently invalidating them, and anomaly detection to ensure the state-management settings are valid.
 
このクッキー侵入攻撃に対する緩和策としては、完全な HSTS プロテクション/トップレベル・ドメインと共有ドメインに関するサフィックス・リストの公開/その機能を定期的に無効にしていくようなクッキー防御のプラクティス/ステート・マネージメント設定が有効性を確認するための異常検出などが挙げられる。
 
HSTS is however, problematic – Google, for instance, cannot fully deploy the security measure because it is required to support non-HTTPS access for mandatory adult content filtering in schools and other locations.
 
ただし、HSTS の運用には問題が残される。たとえば、Google のケースにおいても、完全なセキュリティ対策の導入は困難だ。なぜなら、学校などのロケーションにおいて、アダルト・コンテンツをフィルタリングするために、non-HTTPS アクセスのサポートが必要とされるからだ。
 
Social networks Facebook and Twitter cannot support HSTS fully either on all subdomains, and the researchers suggested a number of workarounds to prevent cookies being replaced or inserted secretly.
 
Facebook や Twitter などのソーシャル・ネットワークにおいても、すべてのサブ・ドメインまでを含めて、完全に HSTS をサポートすることは難しい。そして、クッキーの置き換えや挿入を防止するためには、かなりの作業量が必要になると、研究者たちは示唆している。
 
ーーーーー
research_55文中で参照されている pdf を見ると、この問題は、8月中旬に開催された 24th USENIX Security Symposium で公表されたようです。そして興味深いのは、この研究者グループに、精華大学と Huawei が参加している点です。 先日の、習近平首相のアメリカ訪問時に、米中間におけるサイバー・セキュリティに関する合意が形成されたようですが、このクッキーに関する共同研究も、その伏線になっているのでしょうか。 そして、そうだとしたら、Microsoft のファイン・プレーです! それにしても、厄介な問題です・・・  以前に、「クッキーは死んだ:そして Facebook/Google/Apple の広告が激変」という抄訳をポストしましたが、セキュリティーの面でも、クッキーの次を考えるというトレンドが、加速していきそうですね。 _AC Stamp
ーーーーー
<関連>
CloudFlare は ”Cisco as a Service” :Google/Microsoft/Baidu/Qualcomm が出資!
BitTorrent と DDoS 攻撃の関連性: 放置すると、その UDP が悪用されるかもしれない
IoT の調査: セキュリティ/プライバシーの問題と、米下院での論点について
Cloud Storage Gateways の調査: エンタープライズで Box や Dropbox を安全に使う!
Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?
Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!
 

Comments Off on クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!

%d bloggers like this: