▶ ポリティカル・ハック(ロング版) - YouTube

seen from United States

seen from United States
seen from United States
seen from China
seen from Netherlands
seen from France
seen from China

seen from Singapore
seen from United States
seen from United States
seen from China

seen from United States

seen from United States

seen from France
seen from Colombia

seen from United States
seen from South Korea
seen from United States

seen from United States
seen from United States
▶ ポリティカル・ハック(ロング版) - YouTube
Yosemite を含む OS X Server のセキュリティアップデートが続々上がっているが bash の追加の脆弱性に対処する気はないんだな。じゃあみんなで OS X Server に DoS 攻撃だw
Activity Hijacking Attack on H&R Block App - YouTube
「Gmailへの攻撃成功率は92%」--スマホアプリの新たな脆弱性を研究者が発表 - ZDNet Japan
この攻撃は、一見すると無害なアプリをユーザーにダウンロードさせることで可能になる。このようなアプリをインストールすると、今回新たに発見された脆弱 性を用いたサイドチャネル攻撃が可能になる。その脆弱性とは、アプリに権限を設定したり、承認することなくプロセスの共有メモリにアクセスできるという機 能に端を発するものだ。
まぁちょっと古い話だけど,携帯端末でもサイドチャネル攻撃には気をつけろってことで。
Improving the Internet of Things security
Improving the Internet of Things security via @WhiteCityNews
The Internet is no longer just accessible from your laptop or mobile phone. It’s now part of television sets, baby monitors, ovens and cars. It is increasingly embedded into medical devices and other critical devices. The Internet is everywhere and the Internet of Things (IoT) is a trend that will continue to grow.
(more…)
View On WordPress
複数のブロードバンドルータには、オープンリゾルバとして機能してしまう問題が存在します。 [...] 機器管理者が気付かないうちに、機器が DNS Amplification Attack に悪用され、DDoS 攻撃に加担してしまう可能性があります。
JVN#62507275: 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
2013年の incident だが,まだ Open Resolver な DNS があるらしい。確認方法はこちら: オープンリゾルバ確認サイト
悪用された場合の影響が大きい脆弱性であるため
最近の IPA の決まり文句である。 CVSS ベース値は低め(今回は6.4)なのに「悪用された場合の影響が大きい」と言ってアラートを出す。これおかしくないか。何のための CVSS だよ。
そもそも CVSS は IPA 自らセキュリティ管理者向けに啓蒙してきた仕組みじゃないか。リスクを数値化できる仕組みは素晴らしいが, IPA 自身がこの値を全く信用してないというのは考えものである。じゃあ現実に則したリスク評価の仕組みを出せっての。感覚で判断するとか,お前は小保方女史か!
これでは20世紀に逆戻りだろうが。
オンラインストレージやそのデータ保全について,最近ちょっと勉強したんだけど,データの暗号化に関しては総じて「筋が悪い」ように思うのだが,どうだろうか。
個人のデータ保全に関しては,まぁぶっちゃけ TrueCrypt.ch でいいぢゃん,と思うのだが,クラウドの場合は「データの共有」が要件に含まれていて,なおかつ共有範囲や期間を制御できなければいけない。これは結構難しい。
先駆的な例としては Adobe の LiveCycle がある。まぁ個人では到底手の出ないお値段なのだが, X.509 型 PKI によるきめ細かいアクセスコントロールと Java EE ベースのプラットフォームによる柔軟なカスタマイズができる。実は LiveCycle に係る案件に昔関わったことがあるのだが,かなり良く出来ているといえる。まぁでも,これを既存のクラウドサービスに組み込むのはちょっと無理かも(最近のバージョンは知らないので,できるのかもしれないが)。
暗号化については IBE(Identity-Based Encryption)を使うのがいいんじゃないかと思う。 IBE については CRYPTREC の2008年の報告書が参考になる。
CRYPTREC Report 2008 IDベース暗号に関する調査報告書 (PDF)
IBE に関しては信頼できる PKG(Private Key Generator)を如何にして構築するのかが問題だが,その辺はどうなのかねぇ。企業ベースの運用なら,企業自身が PKG を構築すればリスクを抑えられると思うのだが。
The New American Dream
There's no question that the last decade has been a tumultuous one for the American economy.
Economic expectations changed drastically, and so did the average Americans' conception of the American Dream.
In a recent survey:
36% of respondents said retiring "financially secure" at age 65 fits their definition of the American Dream.
25% cited becoming debt-free as their characterization.
A paltry 17% of respondents linked home ownership to the American Dream.
So the American Dream has changed, but do people think that they can achieve it?
Find out how many people think the American Dream is within reach.