パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13867224 story
暗号

英諜報機関、暗号機「エニグマ」などのシミュレータを公開 8

ストーリー by hylom
歴史的暗号 部門より

英国の諜報機関・GCHQが、過去にドイツや英国などで使われた暗号装置「Enigma」「Typex」「Bombe」による暗号化および復号を簡単に試せるシミュレータを公開した(CNET Japan)。

これにより、GCHQがオープンソース(Apache License 2.0)で公開している「CyberChef」というデータ処理ツールで「Enigma」「Typex」「Bombe」による暗号化および復号が可能になる。GitHub上でデモが公開されているが、「Encryption / Encoding」の選択肢に「Enigma」や「Bombe」「Multiple Bombe」「Typex」が用意されており、これらをダブルクリックで選択し、「Input」に暗号化したい文字列を入れると「Output」に暗号化された結果が出力される。

13851301 story
プライバシ

テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 39

ストーリー by headless
要求 部門より
EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事Mac Rumorsの記事Softpediaの記事)。

キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

このほかの6社に対する要求は以下の通り。
  • Facbook: セキュリティ目的でユーザーが提供した連絡先情報を他の目的に使用しない
  • Slack: 無料ワークスペースの管理者にもメッセージ保持期限の設定を可能にする
  • Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
  • Venmo: 友達リストを非公開化できるようにする
  • Verizon: 端末へのスパイウェアインストールをやめる
  • WhatsApp: グループへ追加する前にユーザーの了承を受ける
13834569 story
暗号

人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 18

ストーリー by headless
経路 部門より
ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクトThe Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。
13803115 story
検閲

インド政府、政府機関に対し暗号化通信などの傍受を認める 24

ストーリー by hylom
世界的にこういう流れが進むのか 部門より
あるAnonymous Coward曰く、

インド政府は21日、国内の治安を管理する機関を含む10の政府機関に対し、すべてのコンピュータにおけるデータの監視、傍受、暗号化データの復号化による傍受を認める権限を認める方針だ。そして24日、Facebook、WhatsApp、Twitter、Googleなどのプラットフォーム上で、「違法」と判断されたコンテンツを24時間以内に削除することも義務付けていくという。これに対して、同国の野党などは違法だとして反発している。

インド国内ではWhatsApp経由でのデマが元でリンチによる殺人などが発生しており社会問題化している。今回、WhatsAppについても暗号化を解除し、悪質なデマなどの書き込みなどを行った人物の追跡が可能になるよう求めている。なお、WhatsAppによるデマが元になったリンチ殺人はメキシコでも起きている

新しい規則では500万人を超えるユーザーがいるプラットフォームでは、24時間365日連絡担当者を置くことが定められる。インド電子情報技術省(MeitY)は先週、この件について、GoogleやFacebook、WhatsApp、Twitterなど7社以上のハイテク大手とIT法の改正について話し合った模様。なお、同様に暗号通信の傍受を認める法案はオーストラリアでも成立しているBuzzFeed Newsその1BuzzFeed Newsその2新規則[PDF]Slashdot)。

13795057 story
オーストラリア

オーストラリアで「反暗号化法」が成立 72

ストーリー by hylom
何が起こるのか 部門より

オーストラリアで、法執行機関が暗号化されている通信を傍受することを可能にする法案が可決した(COMPUTERWORLDASCII.jpMIT Technology RebiewGIGAZINEZDNet。)。

この法案は、当局が企業に対しユーザー情報などの引き渡しを求めることができるもので、具体的には次の3つの命令/要求を出すことができるようになった。

  • Technical Assistance Notices(TAN):コミュニケーションプロバイダが所有している暗号傍受のための情報や技術を当局に提供することを求める命令
  • Technical Capability Notices(TCN):コミュニケーションプロバイダがその傍受手段を所有していない暗号通信について、その傍受を行う手段を構築するために必要な情報や技術の提出を求める命令
  • Technical Assistance Requests(TAR):コミュニケーションプロバイダに対し暗号通信の傍受に必要な技術の提供を自発的に求める要求

TAN/TCNはコミュニケーションプロバイダに対し対応を強制できる「命令」で、TARは「自発的に求める要求」で対応しなくとも罰則はないがTAN/TCNよりも広範囲な要求が行えるという。

これに対し批判の声は多数出ていたものの、最終的に法案は可決する事態となった。

13780961 story
iPhone

米企業、あらゆるスマートフォンのパスコードロックを100%解除できると主張 22

ストーリー by headless
主張 部門より
米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリースサービス紹介ページThe Vergeの記事Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。
13765610 story
ストレージ

自己暗号化SSDの中にはパスワードを知らなくてもデータを復元できる製品があるという研究結果 14

ストーリー by headless
暗号 部門より
ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事ラドバウド大学によるアドバイザリ: PDF論文ドラフト: PDFThe Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。
13717244 story
暗号

OpenSSL 1.1.1 リリース 48

ストーリー by headless
新型 部門より
iida 曰く、

OpenSSL 1.1.1が11日、正式にリリースされた(OpenSSL Blogの記事)。

新しい特長は第一に、先月発行されたTLS 1.3 (RFC 8446) のサポートだ。また、乱数生成子は全面的に書き直されているほか、SHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートも追加されている。ブログ記事によると、1.1.0からの差分で200人を超える貢献者が5,000回近くコミットしたとのこと。

なにはともあれ関係各位の努力とご苦労に敬意を表したい。

OpenSSL 1.1.1は新たな長期サポート(LTS)版となり、少なくとも5年間のサポートが提供される、

13659830 story
検閲

インド政府、偽ニュース拡散防止のためメッセンジャーアプリ「WhatsApp」の暗号化解除を要請 27

ストーリー by hylom
政府には好都合 部門より
あるAnonymous Coward曰く、

インドは2億5000万人以上のユーザーを抱えるWhatsApp利用者の最も多い国だ。しかし、7月の頭には児童誘拐犯だとのフェイクニュースが「WhatsApp」上で広まり、私的制裁により5人が殺害される事件が起きた。今年はこうしたWhatsAppとフェイクニュースがらみの事件で20人以上の死者が出ているという。インド政府はデジタルプラットフォーム上に偽のニュースが広がるのを阻止しようとしている。

WhatsApp側も受信したメッセージのうち、転送されて届いたメッセージにはラベルを表示するなどの対策を行っている。しかし、インド政府はそれでは対策が足りないとして、虚偽の情報の完全な追跡ができるユーザートレース機能の実装をWhatsAppに求めた。しかし、WhatsApp側は、ユーザーのプライバシーを保護するサービスの中核的価値を損なうとして反発している。インド政府は対策が行われない場合、法的措置に直面する可能性があるとしている(VentureBeatCNETCNETその2EngadgetSlashdot)。

13589641 story
Twitter

Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 35

ストーリー by headless
発見 部門より
minet 曰く、

Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

13574185 story
暗号

T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 28

ストーリー by hylom
漏れたときの被害は大きいですよ 部門より
headless曰く、

T-Mobile Austria(オーストリア)の公式Twitterアカウント(@tmobileat)がユーザーパスワードを平文で保存しているとツイートしたことで、各国の系列会社が次々に「うちは違う」との返信を投稿する事態となった(Neowin)。

発端となったのはDeutsche Telekom(ドイツ)のユーザーパスワードに関する制約を問題視するツイートに対し、T-Mobile Austriaでは従業員がパスワードを確認できることから平文で保存しているらしいとの返信が寄せられたことだ。

この返信を引用する形でツイート主が事実関係をT-Mobile Austriaに確認すると、サービスチームの一人 (Kathe)が「カスタマーサービス担当者はパスワードの最初の4文字を見る(ことができる)。ログインに必要なのでパスワード全体を保存している」といった趣旨の回答をする。さらに、ツイート主や他のユーザーからパスワードの平文保存を問題視する返信に対し、Katheは「何が問題なのか理解できない」「パスワードは安全に保存されているので心配ない」「(同社の)従業員からの警告なのか?」などと返信している。

Katheからの返信はこれで終わっているが、T-Mobile US(米国、@TMobileHelp/@TMobile)やT-Mobile Nederland(オランダ、@tmobile_webcare)、Deutsche Telekom(@Telekom_hilft)の公式アカウントがこの問題を懸念する各国のユーザーに対し、「パスワードは暗号化して(ハッシュ化して)保存しており、従業員が平文のパスワードにアクセスすることはできない」といった内容の返信を繰り返し投稿。@TMobileでは「T-Mobile USはT-Mobile Austriaとは独立して運営されている」とまで投稿している。

T-Mobile Austriaではこの件について、「データベースは暗号化して安全に保存されており、データ侵害はない」とサービスチームの別のメンバー (Helmut)が別途ツイートしている。また、セキュリティ基準について真剣に議論し、必要があればさらに保護を強めていくとも述べている。

13552634 story
暗号

Let's Encrypt、ワイルドカード証明書の発行を開始 17

ストーリー by hylom
ついに 部門より
Printable is bad.曰く、

無料でSSL/TLS証明書を発行している認証局のLet's Encryptが、ワイルドカード証明書の発行を開始した(公式発表和訳OSDN Magazine)。

従来は証明書にすべてのサブドメインを登録する必要があったが、ワイルドカード証明書では1つのドメイン名に属するすべてのサブドメインを1枚の証明書で保護することができるため、大規模なシステムにおいて証明書の管理が容易になる。

ワイルドカード証明書の取得には、ACMEv2互換クライアントをインストールして、DNSのTXTレコードを使用した認証を行う必要がある。導入方法などについてはACME v2とワイルドカード証明書の技術情報が参考になる。

13539324 story
お金

ウォズ、ビットコインを詐取された体験を語る 29

ストーリー by hylom
古典的な手口 部門より
headless曰く、

Appleの共同創業者スティーブ・ウォズニアック氏がビットコインを詐取された体験と犯人の手口を語っている(The Economic TimesMashableSlashGear)。

ウォズニアック氏はインド・ニューデリーで開催されたEconomic TimesのGlobal Business Summit(ET GBS)にスピーカーとして登壇。政府に操作されず、数学的で、純粋であり、改ざんされることはない通貨がビットコインだったというウォズニアック氏は、投資目的ではなく実験のためにビットコインを入手していたのだという。ウォズニアック氏はいつの日かクレジットカードや財布、現金を使わずにビットコインだけで旅ができると考えていたが、現時点では難しいことがわかり、オンラインでの買い物やビットコインの売買を試していたそうだ。

しかし、ビットコイン価格が上下するのを毎日のように見るのが嫌になり、実験には1 Bitcoinだけあれば十分だと考えて残りの7 Bitcoinを売却することにしたとのこと。取引はオンラインで行われ、犯人はクレジットカードで代金を支払ったが、購入後にクレジットカードの支払いをキャンセルしたという。さらに、使われたクレジットカード番号は盗難にあったもので、取り戻すことは不可能だったとのことだ。ブロックチェーンはビットコインの所有者を識別できるが、詐欺にあう危険がないわけではないとも語っている。

13535316 story
暗号

米税関・国境取締局はIC旅券に格納されたデータが正規のものかどうかを検証できない 12

ストーリー by headless
検証 部門より
米税関・国境取締局(CBP)では、IC旅券(e-パスポート)に搭載されている偽造・改変防止機能を活用できない状況が長年にわたり続いているそうだ(The Registerの記事Ars Technicaの記事Ron Wyden上院議員のプレスリリース)。

米国務省は2005年からIC旅券の発行を開始。ビザ免除プログラムを利用して入国する渡航者にもIC旅券の所持を義務付けており、日本では2006年からIC旅券を発行している。IC旅券のRFIDチップには旅券のデータページに印刷されたものと同じデータが格納され(米国のIC旅券では生体認証情報も含む)、偽造・改変防止用のデジタル署名が入れられている。ただし、国境の係官が使用するRFIDリーダーにはデジタル署名の検証機能が備わっていない。そのため、写真を貼り替えるといったデータページの改変をチップ内のデータと照合して見破ることはできても、チップ内のデータ自体が偽造・改変されているかどうかは確認できないのだという。

この問題は2010年の時点で米会計検査院(GAO)が指摘して改善を求めていたが、現在に至るまで放置されていたようだ。これについてRon Wyden上院議員とClaire McCaskill上院議員が22日、CBPに対して対策を求める書状を送っている。要求内容としてはIC旅券のデジタル署名検証に必要な技術の開発または導入に必要なコストを算出し、2019年1月1日までに実施することとなっている。
13524880 story
Chrome

Chrome 68ではすべてのHTTP接続ページで安全性に関する警告が表示される 66

ストーリー by headless
警告 部門より
Googleが7月にリリースを予定しているChrome 68では、すべてのHTTP接続ページで安全性に関する警告が表示されるようになるそうだ(Chromium Blogの記事Softpediaの記事VentureBeatの記事The Registerの記事)。

GoogleはHTTP接続ページで情報アイコンの右側に警告メッセージ「Not Secure」(日本語版では「保護されていません」)を表示する場面を徐々に拡大しており、Chrome 56以降ではパスワード入力フィールドやクレジットカード入力フィールドを含むHTTP接続ページで警告が表示されるようになった。Chrome 62以降ではHTTP接続ページの任意の入力フィールドへの入力を開始すると警告が表示されるようになり、シークレットウィンドウではすべてのHTTP接続ページで警告が表示されるようになっている。

Chrome 68では現行版のシークレットウィンドウでHTTP接続ページを表示した場合と同様、すべてのHTTP接続ページで「保護されていません」と表示されることになる。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...