スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月21日のtwitterセキュリティクラスタ

台風一過ですね。

日本ではほぼ話題になっていませんが、BEAST (Browser Exploit Against SSL/TLS)というSSL/TLSに対する攻撃について。詳細の発表は明日だそうですが、連休明けにはアップデートがあったりするのか、それともそれどころではない脅威だったりするのか注視するしかありません。

kinyuka :BEASTネタ、この辺の議論でほとんど結論に到達してるっぽいです。 http://ow.ly/6A9tr 個人的にはMan In the Browser(トロイ)前提でSSLがセキュアかどうか議論する意味はあまりないと思うので、BEASTはおわこん(ほんとかよ)

kinyuka :ダカミーが昨日だかつぶやいてたみたいに、暗号のアルゴリズム的にBEASTに強い・弱いがあるって話はよさそう。CBCモードじゃないほうがいいのかな

kinyuka :AES256bitオレすげぇぇ!とかいってりよりRC4の方がいいとか?

kinyuka :BEASTはたぶん、トロイが(攻撃者に)既知の文字列を攻撃対象のブラウザからSSL経由でがんがん送って、それを同時にパケットキャプチャもして、暗号を解読するという攻撃

ockeghem :興味深いけど、「その状況ならもっと楽な攻撃できるだろ」と突っ込みたくなりますねw RT @kinyuka: BEASTはたぶん、トロイが(攻撃者に)既知の文字列を攻撃対象のブラウザからSSL経由でがんがん送って、それを同時にパケットキャプチャもして、暗号を解読するという攻撃

expl01t :BEASTの件,やはりCBCモードでトリッキーなことしてるのか.予想通りでしたが,自分で見つけられなかったのが悔しい.

a4lg :件の BEAST だけど、SSL の Keep-Alive とかを考えると「外部の」JavaScript で攻撃可能、かな?

expl01t :!! RT: @a4lg 件の BEAST だけど、SSL の Keep-Alive とかを考えると「外部の」JavaScript で攻撃可能、かな?

a4lg :@expl01t Man-in-the-browser が要るかとも思ったのですが、外部 JavaScript がターゲットウェブサイトに対して発信した選択平文と同一セッションにある暗号文が解読される可能性がありそうで。

a4lg :あぁ、JavaScript only の場合は、別途盗聴できることを前提ね。この前の事件みたいな MITM 攻撃を実現できる環境において、より効率的に…って感じで。

a4lg :same origin policy と物理的な SSL の接続に関連があれば BEAST は成立せず、関連がなければ (例えば同じフレーム内の同一ホストへのリクエストが混ざるなどの場合) 成立する。

a4lg :man-in-the-browser が結構非現実的に見えたので、もっと現実的な攻撃ルートがないかと思案した結果。

a4lg :あぁ、やはり既に指摘されてた。 http://news.ycombinator.com/item?id=3015498 ここでは iframe だけど。

kinyuka :並列して行われているHTTPセッション(別ホストとの通信でもOK)にJavaScriptをMITMで注入して、攻撃対象のホストに攻撃者に既知の文字列を送らせる、っていう方法の可能性もあるのか。なるほど。

neohawk :SSL/TLSに対する攻撃、BEASTについて。詳細は23日に発表予定。WebSiteはソフトウェアのUpdateが必要になるかも。http://bit.ly/qhVPMB


そして、すでにパッチが出始めている模様。
zen140 :@kinyuka chromeでBEAST対策のパッチが出てますよ


版権どこかの出版社が取ったら編集させてくださいな。
Lingualina :ハッカー集団アノニマスについての本が企画書になってこっちの版元の出回っている。 http://tinyurl.com/3s93qd9


その他気になったことはこのあたり。
typex20 :Nexus S/AndroidのパケットをWiresharkでキャプチャしたところ、公式のTwitterクライアント、Googleのアプリなどのhttps通信が軒並みTLSv1.0を使っているという事実に驚愕。。


connect24h :三菱重工のウイルス感染事案、何で、発覚から情報公開を1ヶ月も遅らせたのかと言う書き込みがあるけど、3連休の真ん中の9/18にプレスして、さらにこの週は平日3日な事を考えても、この週に情報公開したほうが株価やその他もろもろで企業インパクトが一番少ないとふんだんだろな。


kinyuka :防衛産業に対するサイバー攻撃で盛り上がっていますが、ずっと前から行われているであろう産業スパイ系(人系)の方の対策が第一でしょ。どうせ対策できてないと思いますが(;´Д`)

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。