Agile Cat — in the cloud

木曜日の夕方に生じた Facebook のダウンは、中国からの DDoS 攻撃だったのか?

Posted in Facebook, Research, Security by Agile Cat on June 21, 2014

Facebook outage may have been hacker attack
http://wp.me/pwo1E-7AQ

ninemsn staff – 9:42am June 20, 2014
http://news.ninemsn.com.au/technology/2014/06/20/09/42/facebook-outage-may-have-been-hacker-attack

This visualisation shows the moment Facebook was temporarily shut down due to being the target of a ‘denial-of-service’ attack from China.

このビジュアライゼーションは、China からの DDoS 攻撃となった Facebook が、一時的にシャットダウンされた様子をを示している。

_  space

_  space

Facebook’s website and app were both unavailable for 31 minutes on Thursday evening from approximately 6:00pm AEST, making it the site’s longest outage in four years, according to the Guardian.

Facebook の Web サイトおよびアプリは、木曜日の夕方から(Australia east standard time で 6/19 の 18時から)31分間ほど使用できなくなっていた。Guardian によると、最近の 4年間で、このサイトが、これほど長時間にわたって停止したことはない。

The social network has not yet revealed what led to the downtime, prompting wild theories about its cause – including speculation that it may have been hit by a distributed denial-of-service (DDoS) attack.

Facebook は、このダウンタイムの原因について、また明らかにしていない。つまり、DDoS 攻撃に見舞われた可能性も含めて、あらゆる原因が考えられる。

DDoS attacks, which crash websites by bombarding them with so much artificial traffic that it overloads their servers, are regularly used to bring down major websites.

DDoS 攻撃とは、人工的に作られたトラフィックでサーバーに過大な負荷を生じさせ、対象となる Web サイトをクラッシュさせるものであり、大規模かつ著名な Web サイトをダウンさせるために悪用される手法のことである。

The "attack map" created by cyber security company Norse reportedly showed a spike in activity during the Facebook outage which could indicate a DDoS attack on the site originating from China.

この Attack Map は、サイバー・セキュリティ会社である Norse が作成したものであり、China からの DDoS 攻撃が、Facebook を停止に追い込んだ、ピーク時の状況を示すとされている。

"Earlier this morning, we experienced an issue that prevented people from posting to Facebook for a brief period of time. We resolved the issue quickly, and we are now back to 100 percent," Facebook said in a statement shortly after the outage. "We’re sorry for any inconvenience this may have caused."

「 私たちは、この今朝(米時間で)の問題を確認している。それにより、短時間ではあるが、ユーザーからの Facebook へのポストが妨げられている。ただし、この問題は直ちに解決され、いまは 100% の状態で稼働している。 この問題により迷惑をかけ、申し訳なく思う」と、この事件の直後に Facebook はステートメントを発している。

Facebook’s last major outage came in 2010, when a software error made the site unavailable for two-and-a-half hours.

この数年における Facebook のダウンでは、ソフトウェアのエラーにより 約 2.5時間の停止が生じた、2010年の事故が最大であった。

Author: Sam Downing. Approving editor: Simon Black.

ーーーーー

先日の Evernote に続き、今度は Facebook が攻撃されたようですね。 この DDoS 攻撃は、日本時間だと 6/19 午後 5時ころになりますが、Agile_Cat は Facebook にアクセスしていなかったので、ダウンしていることに気づきませんでした。 そして、Evernote のときのように、正常に戻るまでの時間が長引かなかったことが、不幸中の幸いだと思います。 この Norse というサイトですが、DDoS 攻撃の状況をリアルタイムに示すページも提供されています。 それを見ると、小さな規模の攻撃が常に生じている、インターネットの世界が見えてきます。

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Apple が 明らかにした、A7 Processor の セキュリティ機能とは?
PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する!

IoT の調査: 依然として見えてこない、セキュリティとプライバシーの方向性

Posted in IoT, On Monday, Privacy, Security by Agile Cat on June 16, 2014

Internet of Things (IoT): Balancing Security and Privacy with the Technology Benefits
http://wp.me/pwo1E-7A8

By Dick Weisinger – June 10th, 2014
http://formtek.com/blog/internet-of-things-iot-balancing-security-and-privacy-with-the-technology-benefits/

_ formtek

By 2020, the total world of interconnected devices, the Internet of Things, will reach 212 billion, according to IDC.  This year alone, 1.7 billion PCs, tablets and smartphones are expected to be shipped.  This growing base of interconnected devices causes many to worry about safety, security, privacy and vulnerability issues.

2020年までに、この世界における相互接続されたデバイスの合計は、つまり Internet of Things の数は、212 Billion に達するだろうと、IDC は言っている。なんせ、今年だけで、PC/Tablet/Smartphone が出荷数は、1.7 Billion になると予想されているのだ。そして、これらの相互接続されたデバイスの成長ベースに応じて、安全性/セキュリティ/プライバシー/脆弱性の問題が発生すると、数多くの人々が心配している。

 Paul Roberts, founder of IT security news site Security Ledger, reported by  Chris Gonsalves of CRN, said that ”I really believe that the combination of technologies that we refer to as the IoT is going to be transformative in ways that are profound…  I see the net effect of this next phase of the internet as a leap forward, rather than incremental change. But I also think that IoT will create significant challenges in areas like privacy and security.”

CRN の Chris Gonsalves のレポートによると、「 私たちが IoT と呼ぶテクノロジーの組み合わせは、深層からの変革になると、本気で考えている。そして、その実質的な効果は、インターネットにおける次のフェーズを飛躍的に推し進めるものとなり、また、漸進的な変化と異なるものになると捉えている。しかし、IoT がもたらすものには、プライバシーやセキュリティといった分野における、大きな課題も含まれると思っている」と、IT セキュリティ・ニュース・サイトである Security Ledger の設立者 Paul Roberts は述べている。

Earl Perkins, Gartner analyst on IoT security, said that “we are at the early stages of a major inflection point in security…  Every time we have a major infection point, we seem to make the same mistakes. We allow it to get away from us and end up playing catch up for the next five to 10 years.  Just like every new generation of technology, we’ve got to be sanguine about how to approach it.”

Gartner の IT Security アナリストである Earl Perkins は、「 私たちは、セキュリティが変化する、大きな節目の初期段階にある。これまで、このように大きな影響が生じるポイントを通過するごとに、私たちは同じ間違いを繰り返してきたと思える。私たちの手元からセキュリティが離れて行くことを許容し、5年〜10年後に取り戻すという形を繰り返してきた。まさに、新しい世代のテクノロジーという観点で、それにアプローチする方法について、楽観的であり続けている」と述べている

Vint Cerf, vice president and chief Internet evangelist for Google, said that smart interconnected devices will increasingly “improve our daily lives. [But] the risk is that inimical forces may gain control and create serious problems.”

Google の VP and Chief Internet Evangelist である Vint Cerf は、このスマート・インターコネクト・デバイスの成長について、「 それは、私たちの日常を進化させるものになる。しかし、有害と思われるパワーが、深刻な問題を生み出し、それを増幅していくという、リスクが残される」と述べている

Joshua Corman, Sonatype of CTO, said that  ”our dependence on these systems [interconnected devices] is growing faster than our ability to secure them.  That’s how I know we’re not getting better.  As we bring more of this software and connectivity into our homes, we’re inviting the devil into our homes.  The very things you use to keep bad guys out of your house can be converted to let them in.”

Sonatype の CTO である Joshua Corman は、「 これらのシステムへの、つまり、相互接続されたデバイスへの依存性は、それらを安全に保つという意味で、私たちの能力を上回るスピードで成長している。それが示すのは、より良い方式を得るための術を、私たちが手にしていないという現実である。このようなソフトウェアやコネクティビティを家庭に持ち込むことは、悪魔を招き入れることと同じである。それは、害悪をなすものを家庭から遠ざけるという考え方を、取り入れるという考え方に、切り替えることに他ならない 」と述べている。

ーーーーー

この、Android の Location Service は、とても便利なのですが、つねに自分の居場所を配信し続けるという側面も持っています。ON にしておけば、自分の居場所を特定できるので、Maps などを使う意味が増してくるのですが、「ほんとうに、それで良いの」という疑問が付きまとっていることも確かです。 そんなわけで、もっとセンシティブになろうと心に決めて、普段は OFF にしているのですが、なにかのときに ON にして、そのまま切り忘れているというケースが多々あります。 だいたいは、あまりにも便利になっている自分のスマホに、「あれ?」と思って気づくわけですが、こんな重要なモードの選択が、奥の方に有るのも問題なので、先ほどですが GPS のトグル・ウィジェットをインストールしたところです。 正直な話、スマホひとつを取っても、こんな状況なのに、IP を背負った家電が大量に家庭の中に入り込んできたら、いったい、どうなるのだろうと心配になってしまいます。文中にもあるように、私たちの日常は、IoT により大きく変化するはずです。 しかし、大きなリスクを抱えていることも確かなので、くれぐれも慎重に進めて欲しいと思いますね。

ーーーーー

<関連>

Digital Universe の調査: データの生成は、人間からマシンへ、そして先進国から途上国へ
Data Center の調査: 未来のデータセンターは、小型で手元に置かれるものになる
IoT の調査:ベンダーごとの呼び方があるが、やはり IoT は IoT だ!
Cloud Computing の調査:クラウドはオンプレミスを置き換えるものへとシフトしている
Open Source の調査:ユーザーによる主導性の確立が、人々と組織を惹きつける

昨日に Evernote を襲った DDoS 攻撃も、400 Gbps 規模だったのか?

Posted in Research, Security, SOHO with Cloud by Agile Cat on June 12, 2014

Evernote Pounded By Aggressive Cyber Attack
http://wp.me/pwo1E-7zz
Leo King - 6/11/2014
http://www.forbes.com/sites/leoking/2014/06/11/evernote-pounded-by-aggressive-cyber-attack/

_ Forbes

Evernote, the note taking service with over 100 million users, has been pounded by an aggressive distributed denial of service cyber attack that stopped people from accessing its service and floored its operations.

Evernote は、1億人を超える人々が利用するノート・サービスであるが、大規模な DDoS (Distributed Denial of Service)攻撃の集中砲火を浴び、ユーザーたちからのサービスへのアクセスが不能となり、その業務も停滞した。

DDoS attacks – the increasingly dominant form of cyber threat – involve cyber criminals attempting to disable a business’ functionality, by programming or hijacking thousands of PCs to send an overwhelming amount of data to a company’s systems. The attackers often pursue an agenda or demand enormous sums of money, by crippling a business’ ability to operate.

DDoS 攻撃とは、このところ勢力を増しているサイバー・アタックの形式のことである。 具体的に言うと、プログラミングやハイジャックにより 数千台の PC を乗っ取り、ターゲットとする企業のシステムに、膨大なデータを送信することで、活動を停止させてしまうサイバー犯罪となる。そして、攻撃者たちは、企業の活動を壊滅させると脅しながら、なんらかの要求や、身代金を突きつけるのが常である。

Sixty per cent of companies were hit with a DDoS attack last year, a 71 per cent increase over 12 months, according to research by real time analytics business Neustar. Nearly all of those hit were attacked multiple times. The size of DDoS attacks are also on the up, with security firm Arbor Networks reporting sizes reaching 400 Gbps – enough to flatten many networks.

リアルタイム分析を事業とする Neustar の調査によると、昨年は企業の 60% が DDoS 攻撃に見舞われ、また、この 12ヶ月間の間に、その頻度は 71% も増大している。それらの攻撃は、ほとんどの場合、何度も繰り返される。最近の DDoS 攻撃は大規模化しており、セキュリティ事業を営む  Arbor Networks のレポートによると、400 Gbps にも達するという。 つまり、かなりの規模のネットワークであっても、簡単に機能不全に陥ってしまう。

The Evernote attack locked out many users, and stopped others who logged in from being able to synchronize their notes, reminders and web clippings, from one device to another. The reason for the attack is not known, and the problem is  the latest in a string of security questions Evernote has faced. [Now read: Evernote's Cybersecurity Collapse And 3 Business Steps You Must Take Now ]

この、Evernote への攻撃により、数多くのユーザーがロックアウトされ、また、ログインしていたユーザーも、ノート/リマインダ/Web クリッピングなどを、デバイス間で同期することができなくなってしまった。攻撃の理由は不明であるが、Evernote が直面するセキュリティ問題における、最新の事象であることは確かだ。[Now read: Evernote's Cybersecurity Collapse And 3 Business Steps You Must Take Now ]

Evernote is depended on by consumers and business people, using mobiles, tablets and PCs to set themselves reminders and save useful information or web clippings. For the seemingly lucky users able to log in yesterday, the attack still disabled one of the most essential functionalities: the ability to synchronize information between devices, so the user can keep organized and up to date.

Evernote は、普通のコンシューマやビジネスマンが頼りにしている環境である。彼らは、スマホ/タブレット/PC などを用いて、この Evernote 上でリマインダーを設定し、有益な情報や Web クリップなどを保存しているのだ。 昨日にログインできたユーザーは、ラッキーなのかもしれないが、最も重要な機能が、この攻撃により無効にされていた。 つまり、デバイス間で情報を同期させ、ユーザーのグループや組織を、最新の状態に保つという能力が失われていたのだ。

Evernote’s Twitter account tells users of the problems

The cyber attack began at 14.25 PST yesterday, and continues to cause problems. Evernote spokesperson Ronda Scott told the BBC that the company would continue “to mitigate the effects”.

このサイバー攻撃は、昨日(6/10)の 14.25 PST に始まり、なかなか収束しなかった。Evernote のスポークスマンである Ronda Scott は、「 被害を緩和するために、継続して対処している」と、 BBC に対して語っていた。

Evernote’s service is largely back up and running, though on its Twitter  account it notes that “there may be a hiccup or two” throughout today while work continues to get systems up and running.

Evernote のサービスは、適切にバックアップを取りながら機能している。そして、同社は Twitter アカウントを通じて、「 システムの継続的な運用を試みるが、二回ほど厳しい状況が生じるかもしれない」と、注意を呼びかけていた。

The cyber attack is the latest in a string of security problems for Evernote. Last year, hackers accessed the company’s database of usernames, e-mail addresses and passwords, and in January it said it would act to improve reliability and security.

このアタックは、Evernote が直面するセキュリティ問題における、最新の事象である。 しかし、昨年にもハッカーたちは、usernames/e-mail addresses/passwords の入ったデータベースにアクセスしている。そして、この 1月には、信頼性と安全性を改善すべきと発言していた。

ーーーーー

Agile_Cat の仕事は、この Evernote を中心に回っています。 昨日は Interop だったので、気付かなかった人も多かったでしょうが、そういえば朝から、なんとなく同期が重かったのです。 そして、午後 3時ころには、その同期も止まってしまうという状況に陥りました。 そこまできて、これは異変だと気づいたわけですが、DDoS 攻撃が起こっていると知ったのは、Evernote のフォーラムを見たときでした。 これまでにも、短時間の同期停止は何度もありましたが、今回のような長時間におよぶサービス停止というのは初めてのことです。 ほんと、DDoS は怖いです。

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Apple が 明らかにした、A7 Processor の セキュリティ機能とは?
PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する!

PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する:時代はバイオメトリクスだ!

Posted in .Selected, Mobile, Samsung, Security by Agile Cat on April 30, 2014

PayPal releases mobile payment app for the Samsung Galaxy S5 fingerprint reader
http://wp.me/pwo1E-7s1

By
Kevin C. Tofel – April 11, 2014
http://gigaom.com/2014/04/11/paypal-releases-mobile-payment-app-for-the-samsung-galaxy-s5-fingerprint-reader/

_ Giga Om

Summary: Now that Samsung’s Galaxy S5 is available, it’s time to make use of the integrated fingerprint scanner. PayPal is doing just that, releasing its app made specifically for biometric authentication.

Samsung Galaxy S5 が利用できるようになったが、そこに統合された指紋スキャナを利用も始まることになる。そして PayPal が、このバイオ認証のために開発された、新たなアプリをリリースする。

ーーーーー

With the Samsung Galaxy S5 now available, PayPal is making good on its promise to use the handset’s fingerprint reader. The company released mobile apps specifically for the Galaxy S5 and Samsung’s latest wearables on Friday. Using the phone app, you can log in to your PayPal account with a fingerprint scan instead of a typed password and make payments online or at participating retail locations that access PayPal payments.

ついに Samsung Galaxy S5 が登場したことで、このハンドセットで指紋リーダーをサポートするという約束を、PayPal は守れるようになった。この金曜日(4/11)に同社は、Galaxy S5 および、Samsung の最新ウェアラブル・デバイスのための、特別なモバイル・アプリをリリースした。このフォン・アプリを使用することで、これまでのパス・ワード入力に換えて、指紋スキャンにより PayPal アカウントにログインし、この PayPal ペイメントでアクセスするリテーラーで支払いを行うことが可能となる。

PayPal actually announced the software in conjunction with the Galaxy S5 introduction at February’s Mobile World Congress. Until now, however, no devices were available to use the app. Here’s a short demonstration of how the PayPal app works:

実際に PayPal がアナウンスしたのは、この 2月の Mobile World Congress で紹介された、Galaxy S5 と組み合わせるソフトウェアである。つまり、これまでの間、このアプリを使用するデバイスが無かったのだ。 そこで、PayPal のアプリが機能する方式を、この Youtube デモで示す。

The idea of using a fingerprint for account authentication over a typed password is rather timely, given how many sites are now affected by the massive HeartBleed security flaw may have exposed passwords on two-thirds of the world’s servers.

パアカウント認証において、スワード入力に換えて指紋を使用するというアイデアは、とてもタイムリーなものである。世界中のサーバーの、2/3 のパスワードを開示されてしまうとも言われる、大規模な HeartBleed セキュリティ欠陥の影響を受けて、とても多くのサイトが震え上がっているのだ。

Clearly, neither PayPal nor Samsung knew this would happen when they announced the mobile payment feature in February. The situation could bring awareness to Samsung’s newest phone since it uses biometrics instead of a password. Even if that fingerprint data is stored on PayPal’s servers, they aren’t affected by HeartBleed according to LastPass.

PayPal も Samsung も、金曜日の発表とタイミングを合わせるかのように、このような問題が起こるとは知らなかったはずだ。そして、このペイメント方式では、パスワードに換えてバイオ・メトリクスを使用しているため、Samsung の最新スマホが注目されるという状況になっている。たとえ、指紋データが PayPal のサーバーにストアされていても、LastPass によると、HeartBleed の影響を受けることはない

Samsung’s newest handset isn’t the only device that can use a new PayPal new app, however. PayPal is available on the Samsung Gear 2 smartwatch and Gear Fit wearable so you can make payments, redeem offers and receive payment notifications on your wrist.

しかし、Samsung の最新スマホだけが、この PayPal の最新アプリを使用できる、唯一のデバイスというわけではない。PayPal アプリは、Samsung の Gear 2 スマート・ウォッチおよび、Gear Fit ウェアラブルでも利用できるのだ。 したがって、手首に装着されたデバイスから、ペイメントを実施し、支払い通知を受け取ることも可能となる。

Related research

Noteworthy mobile developments from the third quarter 2013 October 2013
Consumer privacy in the mobile advertising era August 2012
Bitcoin: why digital currency is the future financial system March 2014

ーーーーー

TAG index先週にポストした、「 Apple が 明らかにした、A7 Processor の セキュリティ機能とは? 」という抄訳ですが、とても多くの方に読んでもらえたようで、指紋リーダーによる認証が、大きな関心事になっているのだと思いました。そこには ーーー Apple はサードパーティのリテーラーにも、Touch ID でコントロールするペイメントをオープンにするようだ。しかし、Apple のペイメント・ソリューションが、何らかのサードパーティ・サービスに依存することはない。つまり、Apple 自身のペイメントは、最初から Touch ID と Security Enclave を用いてデザインされた、既存の iTunes インフラ内で容易に承認できるようになっている。 ーーー という一文がありましたが、まさに、ここで言うオープンな関係が、PayPal と Samsung の間に構築されるのでしょう。もちろん、PayPal は Apple との関係も構築したいはずであり、バイオメトリクスによる認証の時代に、まっしぐらという感じですね。とても興味深い展開です。__AC Stamp 2

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Huawei がアメリカ市場から撤退するらしい
手首にパスワード : ウェアラブル PassBan とは?
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり

Apple が 明らかにした、A7 Processor の セキュリティ機能とは?

Posted in .Selected, Apple, Post-PC, Security by Agile Cat on April 17, 2014

This Chip Is Apple’s Advantage In Enterprise And Payments
http://wp.me/pwo1E-7pz

Kyle Russell – MAR. 4, 2014
http://www.businessinsider.com/iphone-5s-security-enclave-2014-3

_ Business Insider

Apple, the now-dominant force in enterprise, has been taking some serious heat in recent weeks over some major flaws in its security.

いまや、エンタープライズで支配力を発揮している Apple だが、そのセキュリティにおける大きな欠陥に関して、このところ、熱い議論に取り巻かれている。

First there was the so-called "Gotofail" error that left traffic that should have been encrypted totally unsecure.

最初の Gotofail エラーと呼ばれるものは、暗号化されるべきトラフィックが、そのまま放置されてしまうという問題である。

Less than a week later, security firm FireEye revealed that it was possible to make a "keylogger" on iOS that can track what you’re doing on your device and send that information to a remote server.

それから1週間も経たないうちに、セキュリティ会社である FireEye は、ユーザーがデバイス上で行う処理をトラッキングし、その情報をリモート・サーバーに送信しまうという、Key Logger を iOS 上に仕掛けることが可能だと公表した。

Perhaps to quell some of the fears of enterprise buyers (or the IT guys who have to support them), Apple released a new white paper (PDF) last week detailing the various security systems built into iOS, the operating system that powers the iPhone, iPad, and Apple TV product lines.

そのような背景があるためか、Apple は先週に、新しいホワイト・ペーパー(PDF)をリリースしている。それにより、エンタープライズの購入担当者( または IT サポート担当者)を悩ませる、いくつかの懸念を払拭したいのだろう。具体的に言うと、iPhone/iPad/Apple TV といった、そのプロダクト・ラインにパワーを与える、iOS に組み込まれる多様なセキュリティ・システムを詳述するものである。

The various levels of security built into iOS.

The most interesting bits to read in the otherwise dry security document are the parts detailing the workings of the iPhone 5s — the first device from Apple to combine iOS 7, the A7 system-on-a-chip, and the Touch ID fingerprint scanner.

この、飾り気のないセキュリティ・ドキュメントから読み取れる、最も興味深いパートは、iPhone 5S で機能するセキュリティの詳細である。それは、Apple における iOS 7 と、A7 system-on-a-chip と、Touch ID fingerprint scanner を、初めて組み合わせるデバイスでもあるのだ。

Built into Apple’s A7 — the chip famous for its 64-bit "desktop class" application processor — is a less well-known coprocessor called the Security Enclave. While it’s not making video play smoother or music download faster, it is doing something that anyone can appreciate: letting you unlock your phone in a fraction of a second while keeping malicious hackers at bay.

この Apple A7 に組み込まれたものとして、64-bit "desktop class” アプリケーション・プロセッサは有名であるが、Security Enclave と呼ばれるコプロセッサは、あまり知られていない。 一方は、ビデオをスムーズに再生したり、音楽のダウンロードを高速化したりするが、もう一方も、誰もが感謝する何かを処理している。 つまり、あなたは自分のフォンを瞬時にロック解除できるが、悪意のあるハッカーは近寄ることもできなくなるのだ。

The Security Enclave goes through a secure boot process independent of the rest of the chip and also goes through its own software updates. It’s kept separate from the rest of the system, but comes in when anything secure needs to happen.

この Security Enclave は、チップの他の部分から独立したかたちで、そのセキュアなブート・プロセスを処理し、また、ソフトウェアのアップデートも他から分離されている。つまり、全体的なシステムから分離されているわけだが、セキュリティに関するニーズが発生するタイミングで登場することになる。

Unlocking your device with your thumb? Fingerprint data from the Touch ID sensor goes to the Security Enclave, where it is compared with data saved on the device. If it’s a match, the device unlocks. Same thing with making purchases via iTunes or the App Store.

これにより、あなたの親指を使って、デバイスのロックを解除できるのか? ID Touch センサーから得られた指紋データは、Security Enclave へと送信され、そこで、デバイスに保存されたデータと比較される。そして、一致するなら、デバイスのロックが解除される。 それは、iTunes や App Store で、何かを購入する場合も同じだ。

The actual processor never touches the data — it’s all forwarded over an encrypted bus that only the Security Enclave can read. And after the Security Enclave deals with fingerprint data, it throws it out, too. The only thing left afterward is a set of data that can’t be used to reconstruct an actual fingerprint and has no data connected to your identity.

実際のところ、このデータにプロセッサが触れることはない。つまり、すべてのデータが、暗号化されたバスに送信されるが、それを読み出せるのは、Security Enclave だけに限定されているのだ。その後に、Security Enclave は指紋データを処理し、その結果を外部に送信する。つまり、唯一のデータ・セットが残されることになるが、それを用いて実際の指紋を再構成することはできす、また、ユーザーの ID に接続されるデータは、まったく残らないことになる。

Apple’s document makes it clear that enterprise buyers (including government buyers, who can now buy the iPhone 5S thanks to its validated compliance with U.S. Federal Information Processing Standard 140-2 Level 1) need not fear buying and trusting the security behind Touch ID. But there’s another use for Touch ID that could prove even more lucrative for Apple: payments.

Apple のドキュメントが明らかにしているのは、エンタープライスの購入担当者が( U.S. Federal Information Processing Standard 140-2 Level 1 コンプライアンスにより、検証されている iPhone 5S を購入する、政府の購入担当者も含めて)、Touch ID を背後からサポートするセキュリティを、信頼して購入できるという点である。そして、Apple が優位性を証明できる、さらなる Touch ID の用途があります。それは、支払いである。

As it stands, Apple doesn’t give any third-party access to the Security Enclave or Touch ID. That stands in sharp contrast to Samsung, whose new Samsung Galaxy S5 now sports a fingerprint reader. Samsung is partnering with PayPal to facilitate mobile and Web-based payments with the swipe of a finger.

現状において、Apple は Security Enclave と Touch ID に関して、サードパーティにアクセス権を与えていない。つまり、新しい Galaxy S5 で指紋リーダーをサポートした Samsung とは、正反対のスタンスである。指をスワイプすることで、モバイルと Web をベースにする支払いを容易にするために、Samsung は PayPal と提携している。

As Business Insider’s Jim Edwards recently documented, it’s becoming rather evident that Apple is going to open up Touch ID-controlled payments to third-party retailers as well. But Apple’s payments solution won’t rely on any third-party services — the payments themselves will be authorized and facilitated within the existing iTunes infrastructure, which Touch ID and the Security Enclave were literally designed for.

先日に Business Insider の Jim Edwards が述べているように、Apple はサードパーティのリテーラーにも、Touch ID でコントロールするペイメントをオープンにするようだ。しかし、Apple のペイメント・ソリューションが、何らかのサードパーティ・サービスに依存することはない。つまり、Apple 自身のペイメントは、最初から Touch ID と Security Enclave を用いてデザインされた、既存の iTunes インフラ内で容易に承認できるようになっている。

We don’t know much about the security built into Samsung’s latest flagship, but considering Android’s poor history with security, it could be a deciding factor in what becomes the leading mobile payments platform.

私たちは、Samsung の最新フラッグシップに組み込まれているセキュリティについてあまり知らないが、Android におけるプアなセキュリティの歴史を考えると、主要なモバイル決済プラットフォームになるための、決定的な要因になり得るのかもしれない。

ーーーーー

TAG indexこの記事が出てから暫く経って、例の Heartbleed の問題が発覚したわけですが、ID/PW だけに依存するセキュリティの限界を、露呈してしまった事件なのかもしれません。 それに換えて指紋を使うにしても、いずれはハッキングされるのかもしれませんが、それにかかるコストが膨大なものになるのなら、サイバー犯罪に対する抑止力になるはずです。 ここは、ぜひ、Apple や Samsung に頑張ってもらって、より強固なセキュリティ・システムを、より安価に提供して欲しいところですね。ac-stamp-232

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Huawei がアメリカ市場から撤退するらしい
手首にパスワード : ウェアラブル PassBan とは?
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!

Posted in .Selected, Research, Security, Strategy by Agile Cat on February 11, 2014

Record-breaking DDoS attack struck on Monday, according to reports
http://wp.me/pwo1E-7bU

By David Meyer – Feb 11, 2014
http://gigaom.com/2014/02/11/record-breaking-ddos-attack-struck-on-monday-according-to-reports/

_ Giga Om

Summary: The attack, which appears to have been felt particularly hard in Europe, apparently exploited the protocol that maintains the accuracy of computers’ clocks.

この攻撃は、特にヨーロッパで激しかったようだが、コンピュータにおける時刻を、正確に保つためのプロトコルを、明らかに悪用したものであった。

ーーーーー

photo: Thinkstock

Somebody out there was getting hit hard by a distributed denial-of-service (DDoS) attack on Monday, according to multiple reports. And it looks like this one was even harsher than last year’s Spamhaus incident, at the time the biggest known DDoS attack in the history of the internet.

複数のレポートから推測するに、月曜日の DDoS 攻撃(distributed denial-of-service)を、どこかで受けている読者もいるだろう。今回の攻撃は、インターネットの歴史において、最大の DDoS 攻撃として有名な、昨年の Spamhaus よりも厳しいものだったようだ。

According to Matthew Prince, CEO of anti-DDoS protection outfit CloudFlare:

対 DDoS 防御団体 CloudFlare の CEO である、Matthew Prince は以下のようにツイートしている:

Prince went on to say the attack was running at over 400Gbps (Spamhaus was around 300Gbps), though confidentiality stopped him from identifying which client was getting hammered. He said the effects were being felt particularly in Europe, with the attack being mostly mitigated but still “big enough it caused problems even off our network, which is super annoying.”

Prince は、この攻撃が、400 Gbps 以上( Spamhaus は 300Gbps 前後)で荒れ狂っていると言い続けていたが、大きな打撃を受けているクライアント名については、機密性を考慮するために言及しなかった。特にヨーロッパでの被害が大きいが、だいぶ緩和されてきたとも言っている。ただし、それでも「私たちのネットワークに問題をもたらすほどの、たいへんな規模のものであり、とても迷惑している」と伝えている。

French hosting outfit OVH also reported fending off an attack running at over 350Gbps, though of course it’s impossible to say whether the same attacker was responsible.

フランスのホスティング会社である OVH も、350 Gbps で突進してくる攻撃を、かわしているところだと報告している。しかし、当然のことだが、同一の攻撃者によるものかどうかは、現時点では判明できないとしている。

Reflect and amplify

What’s interesting about the attack reported by CloudFlare is its technique. DDoS is all about overwhelming the target’s servers with more data packets than their switches can handle, and both this and the Spamhaus attack seem to have used an “reflection and amplification” method to achieve this goal.

CloudFlare からのレポートで興味深いのは、この攻撃で用いられたテクニックである。DDoS 攻撃は、あらゆるスイッチが処理できないほどの、大量のデータ・パケットを用いて、ターゲットとあるサーバーを圧倒するというものである。それと同様に、Spamhaus の攻撃でも、“reflection and amplification” の手法を用いることで、その目標を達成しようとしていた。

In the case of the Spamhaus attack, the perpetrators spoofed the IP address of the target and sent off domain name system (DNS) queries – which are usually along the lines of “What’s the IP address for this spelled-out website name?” – to open DNS resolvers that will answer any request from anywhere.

Spamhaus のケースでは、攻撃者はターゲットの IP アドレスをスプーフィングし、DNS クエリを送信することで(通常は What’s the IP address for this spelled-out website name? という問い合わせを繰り返す)、どこからの要求にも回答する、DNS リゾルバ をオープンしていた。

The attackers deliberately made queries that would elicit much larger responses and, because they were pretending to be whoever they were targeting, the poor victim would suddenly have tons of data flung at it, exacerbated by the number of machines controlled by the attacker and used to send out these requests.

しかし、攻撃者たちは、それよりも遥かに大きな反応を誘発させるクエリを、意図的に作ってくる。そして、彼らは、そのターゲットにした誰になりすましているため、かわいそうな被害者は、投げつけられた大量のデータを、そのタイミングで受け取ってしまう。そして、攻撃者によりコントロールされ、それらのリクエストを送信するマシンが増えることで、さらに事態が悪化していく。

The new attack uses a similar mechanism, only it doesn’t exploit badly-configured DNS servers. Instead, it uses network time protocol (NTP) servers – the machines with which your computer will periodically shake hands in order to check what the time is. This was the same tactic used to attack a bunch of big online gaming services last month.

今回の攻撃も、同様のメカニズムを用いているが、設定に不備のある DNS サーバーを悪用するというものではない。それに代えて、NTP(network time protocol)サーバーを悪用している。あなたのコンピュータが、設定されている時刻が正しいことを確認するために、定期的にアクセスするのが NTP サーバーである。先月にも、大手のオンライン・ゲーム・サービスに、大規模な攻撃が仕掛けられたが、そのときの戦術と同じものである。

“Ugly things to come”

As CloudFlare recently explained, the NTP protocol is “ideal as a DDoS tool” because at least one of its functions will return data that is far more voluminous than the triggering request (specifically, the “monlist” command that asks the server for the addresses of the last 600 computers that used it). That post also includes some handy details about updating NTP servers to stop them from being misused in this way.

先日にも、CloudFlare が説明しているように、NTP 機能における少なくとも 1つは、リクエストのトリガーよりも遥かに膨大なデータを返すため、このプロトコルは、「DDoS 攻撃ツールとして理想的」なのである(具体的にいうと、monlist コマンドのことであり、それを直近に使用したコンピュータについて、600件のアドレスを、そのサーバーから参照できてしまう)。この、ClloudFlare の記事には、このよう悪用を防ぐための、NTP サーバーの更新に関する、いくつかの有用な情報が含まれている。

Of course, if everyone kept their publicly-connected servers up-to-date, we’d see a good deal less online crime. But they don’t, so, as Prince observed:

パブリックに接続されたサーバーを、誰もが最新の状態に保っていれば、このようなオンラインにおける犯罪も減少していくだろう。しかし、Prince が観察したところによると、そうなっていないのである。

Related research?

How Hadoop passes an IT audit January 2014
Who to watch in the growing European cloud market September 2013
Key factors IT managers face when deploying SDN solutions August 2013

ーーーーー

TAG indexこのような内容のポストを訳すのは、初めてのことす。 そのため、解釈や用語に不備があると思っています。 セキュリティに詳しい方に、お気づきの点を、ご指摘いただければ幸いです。 ーーー それにしても、とんでもないことを、やってくれますね。 ソチ五輪もターゲットになっているのでしょうかね? 以前に訳した NIST のドキュメントに、「いろいろな意味で、ハッカーがアセンブルしコントロールするボット(botnet)が、クラウド・コンピューティングにおける早期の形態である」という一文があったことを思い出しました。終わりなき戦いなのですね。。。image

ーーーーー

<関連>

SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
BYOD – エンタープライズは生産性の向上とセキュリティ・リスクを秤にかける
セキュリティ調査 – Sybase – ヒューマン・エラーが 48% で最大の脅威
企業データにアクセスするモバイルと、セキュリティとの関係を、そろそろ真剣に考えよう

Huawei がアメリカ市場から撤退するらしい

Posted in Asia, Government, Security by Agile Cat on December 6, 2013

Everyone hates Huawei: CEO says company is giving up on the US
http://wp.me/pwo1E-6Zq

December 3, 2013 –
Ricardo Bilton
http://venturebeat.com/2013/12/03/everyone-hates-huawei-ceo-says-company-is-giving-up-on-the-us/

_ VB Security

Okay, haters, you win: Huawei is nixing its growth plans in the US.

OK! 嫌っていた、あなたの勝ちだ。 つまり、Huawei が、アメリカ市場上における成長のプランを、投げ出そうとしているのだ。

For years, officials in the US and elsewhere have accused the tech company of being a proxy for the Chinese government. And while Huawei has long denied the claims, it seems like it’s just too tired to do it any longer.

この数年において、アメリカなどの政府当局者たちが、このハイテク企業は中国政府のプロキシであるとして、非難し続けてきた。そして Huawei は、こうした主張を長きにわたり否定してきたが、いまでは疲れ果ててしまい、これからも続けていこうとは思わなくなったようだ。

In a recent interview with French media, Huawei CEO Ren Zhengfei said the company will stop looking for new business in the US, where fears over its alleged spying are the highest.  ”It’s not worth it,” he said, according to a transcript of the interview.

最近のフランス・メディアとのインタビューにおいて、Huawei の CEO である Ren Zhengfei は、同社がスパイ活動をしたという疑惑が、最も深く浸透してしまったアメリカでの、新規事業を停止するだろうと発表した。 そして、インタビューのトランスクリプトによると、「 それは、単なる撤退というダメージ以上のものとなる」と、彼は発言したようだ。

Those fears sound like they’re torn out of a spy thriller: US officials say that Huawei, which makes routers as well as smartphones, could install backdoors into its products, making it easy for the Chinese government to spy on US companies that use them.

同社が、スパイ小説のような世界から、大急ぎで立ち去ろうとしているようにも聞こえる。 アメリカ政府の当局者は、ルーターに加えてスマホも作る Huawei であれば、そのプロダクツにバックドアを仕掛けることが可能だと発言している。 そして、それらを使用するアメリカ企業に対して、中国政府は容易にスパイ活動を行えるというわけだ。

While Zhengfei’s comments were a tad vague, a Huawei vice president told Foreign Policy that the company wasn’t pulling out of the US entirely — it’s just shifting its focus to markets like Europe, which “welcomes competition and investment.”

Zhengfei のコメントは少し曖昧だったのに対して、Huawei の VP は、同社がアメリカから完全撤退しなかったことを Foreign Policy 誌に語っている。つまり、「競争と投資を歓迎」してくれる、ヨーロッパ市場などに、フォーカスをシフトするという話だ。

While the shift seems drastic, it’s actually not surprising given that Huawei admitted as recently as this April that it had been effectively shut out of companies in the US.  That trouble came largely from a 2012 Congressional report that argued that Huawei and its fellow Chinese smartphone marker ZTE “cannot be trusted to be free of foreign state influence.”

このシフトは、ドラスティックなものに見えるが、いくつかのアメリカ企業から、Huawei が体よく締め出されてしまった 4月から、同社に対する認識が変化していないのなら、それほど驚くべきことではない。この問題は、Huawei および、中国のスマホ・メーカーである ZTE が、「 外国からの影響 」という面で信頼できない、2012 年版の議会レポートが主張したことで大騒ぎとなった。

Huawei denied those allegations (which weren’t built entirely on facts), but as the company’s recent news confirms, the damage has already been already done.

Huawei は、これらの主張( 実際には完全に立証されていなかった )を否定したが、最近のニュースで同社が認めているように、それによるダメージは、すでに排除できないものになっている。

ーーーーー

asia-pacificことの真意は、いったい何処にあるのか? それが曖昧なまま、Huawei が撤退してしまうという、きわめて稀な事件だと言えるのでしょう。 同じ、中国メーカーでも、たとえば Lenovo などは、しっかりとアメリカ市場でビジネスを確立しているのですから、やはり、腑に落ちないことだらけです。 文中にあるように、ヨーロッパへの参入がが本格化すれば、それなりの調査が実施され、シロなのかクロなのか、ハッキリするはずだと思います。 ぜひ、そうなって欲しいですね。__AC Stamp 2

ーーーーー

<関連>

中国の 2013年 スマホ 市場 : インフォグラフィックスで ど~ぞ!
Lenovo の Windows 8.1 タブレットは、8-inch で $299 だ!
Quanta と OCP : Server/Storage/Switch/Rack などがデビュー!
タイ大手銀行が愛の告白 : Line キャラのカードを発行します!
Asus と Acer に、合併というウワサが流れているらしい!

アメリカの職場 : 従業員の 29% が仕事中に Facebook を使っている!

Posted in .Selected, Facebook, Research, Security, Social by Agile Cat on October 5, 2013

29% of Americans Use Facebook at Work Every Day
http://wp.me/pwo1E-6K8

BY ZOE FOX2 – Oct 2, 2013
http://mashable.com/2013/10/02/facebook-workday/

_ Mashable

What’s This? How focused are you during the workday? Be honest.

これは、何だと思う? 仕事中に、あなたも、別のことを考えているよね? 正直に答えて欲しい。

Almost one-third of Americans — 29%, to be exact — visit Facebook each day while they’re at work. Gmail, Yahoo Mail and YouTube are also popular destinations during the workday.

アメリカ人の 3人に1人が、いや、正確に言うと 29% の人々が、仕事中に毎日 Facebook にアクセスしている。また、Gmail と Yahoo Mail と YouTube も、職務中における人気サイトである。

Statista‘s chart, below, is based on its own workplace survey that shows the percentage of American workers who visit different websites on a daily basis while on the job.

Statista が実施した職場意識調査をベースにした、以下のチャートが示しているのは、職務時間中に仕事は関係のない Web サイトを訪れている、アメリカ人従業員の比率である。

However, the chart does not convey how many workers use these sites for work-related purposes.

しかし、このチャートは、仕事に関連する目的のために、これらのサイトを使用している従業員が、どのくらいの比率なのかを伝えていない。

___space

___space

Are you on Facebook during work every day? Let us know in the comments below.

あなたは、仕事中に毎日、Facebook にアクセスするだろうか? なにか、あったら、コメントで知らせてほしい。

Mashable composite. Image: iStockphoto, DrAfter123

ーーーーー

research_55昨日の 『 アメリカの職場 : Facebook 禁止は 20% に過ぎない! 』 に続いて、またも Mashable からの爆撃ポストが、エンタープライズの頭上に降り注いでいるという感じです :) 昨日も、「 Facebook や Twitter で、職場へのスマホの持ち込みが許されている以上、会社のコンピュータからのアクセス制限は、もはや意味のないものだ」、という意見が多数よせられました。そして、この 2~3年の動きを見ていると、なし崩し的に、世界の各地で、解放派が勝利を収めているように思えるのです。__AC Stamp 2

ーーーーー

<関連>

Facebook の有償プロモーション : アメリカ政府も御用達だ!
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり
手首にパスワード : ウェアラブル PassBan とは?
スマホ 利用にマッタをかける、米エンタープライズたち

%d bloggers like this: