スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月14日のtwitterセキュリティクラスタ

もはや数年前からオワコンなWEPですが、少しは安全に使える方法があるようです。気になるのはWEPを使わざるを得ない状況ですが、そんなのあるんですね。
zusanzusan :「既存鍵回復攻撃を困難にするWEPの運用とその評価」 塚畝・藤堂・森井(神戸大) #isec201111

zusanzusan :WEPの脆弱性が指摘されている一方で、依然としてWEPは使用されている。本発表では、妥協策として、WEPを安全に運用するための鍵更新法を提案する。 #isec201111

zusanzusan :鍵回復が困難なIV(Strong IV)を使用するのがポイントかな #isec201111

zusanzusan :「WEPは依然として深刻な脆弱性を有するため、より強固なプロトコルであるWPAやWPA2などへの早急な移行を推奨する。本稿はあくまでもWEPを利用せざるをえないユーザがWEPを安全に利用するための妥協策であることに注意が必要である。」 #isec201111


UDPの連続フローが送られ続けるとオーバーフローするらしいけど、途方もなく時間がかかりそうな脆弱性のPoCを試みている人がいらっしゃいます。これはちょっと結果が気になります。
kaito834 :とりあえず心向くままms11-083のPoCを実行し続けよう。丸一日経過。

ucq :@kaito834 たぶん普通にやると数日かかるとおもいますよ

kaito834 :@ucq あ、一応覚悟のうえですw 何日かかるか知りたくて。

ucq :@kaito834 2**32パケットほど送らないといけないので結構時間かかりそうですね。どこかでは50日とか見たような気もしますが。。。

a4lg :@ucq その脆弱性は詳しく見てなかったけど、その数からして整数オーバーフロー?

kaito834 :@ucq PoCのコメントですね、それ。52日。テスト環境のVictimで実際にダンプしてみたら、1000/secでUDPパケット受信できたので、諸々計算してみると5日程度でいけないかなぁと思ってます。

ucq :@a4lg YES。内部の参照カウンタだったかがあふれる

a4lg :@ucq なるほど~。それでカーネルが攻略されうるわけだ。

ucq :@kaito834 おお。数日後の結果を楽しみにしてます:)

kaito834 :@ucq なんだかんだダメだったら、「最低でもXX日ではダメ」という実証結果にしようと思ってます :D

kaito834 :目算があってるかどうかがあやしくはあるけど...面倒くさくて誰もやらないと思うから、一人ぐらいはやる人がいてもいいでしょう。



その他に気になったことはこのあたり。
ockeghem :“11月24日(木)トレンドマイクロ&KCCS共催セミナーで講演します - ockeghem(徳丸浩)の日記” http://htn.to/zQZ1qt


expl01t :これ網羅してるとは思えないけど良記事。ポリシー決め、社員教育、問題想定した事前準備、パスワード管理、SPAMリンクに注意。Reading: 5 Ways Enterprises Can Stay Safer On Facebook #fb


MasafumiNegishi :久しぶりにブログ書いたー。「APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ!」


tamiyata :セキュリティ・ダークナイト連載の辻さんによるおしごと。日本においてExcelの脆弱性は要注目かもしれません。: Excelにおける変数初期化処理の脆弱性(CVE-2011-0105, MS11-021)に関する検証レポート http://ow.ly/7sp4h


s_hskz :#AVTokyo web-talkで私が使ったスライドをアップしました。内容がスッカスカでもうしわけありませんが、よろしければどうぞ。 ( )


bulkneets :AVTokyoのパネルディスカッションで喋ったのだけど、セキュリティと利便性がトレードオフであるというの、正論っぽく聞こえて便利なんだけど、両立させる方法を思いつかない人が安易に使ってしまう。本当にトレードオフになるような状況ならオプトインで提供すべき。

bulkneets :セキュリティと利便性が両立しない時に、リスクについて周知させた上で、CSRF上等とかクリックジャッキング上等、利便性のほうが大事という人のみ有効にする実装はありうるけど、実際はそういうことが行われない。何でかというとリスクについて周知する=脆弱性、悪用方法を公開することになるから

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。