2024.04.24(水)
彼は、完全にパッチを当てた Mac も「それほど安全ではない」ということ、そして、ビルトインのアンチマルウェアのメカニズムは「かなり使えない」ということを加えて述べた。
の脆弱性は、何者かが sudo コマンドを利用する際に行われる「パスワードの要求」を覆すもので――つまり、スーパーユーザーとしてシェルにアクセスするということになる。
「多くのデータが集まる法律事務所も標的とされている――弁護士を経由するすべてのものは、取引をするうえで明らかに興味ぶかい。法律事務所は縦断的な業務を行う傾向があり、それはAPTにとって合理的だ。
GNU プロジェクトが提供する Wget には、再帰的な FTP ダウンロードにおけるシンボリックリンク処理に関する脆弱性が存在します。
また、iMessage を利用したジャンクメールの送信は、活発に利用されている(ホットな)iPhone の電話番号のリストを作り出す手段も提供する。そしてスパマーたちは、そのリストを他の詐欺師たちに販売することもできる。
Tor プロジェクトのメンバー Roger Dingledine は、ネットワーク上の悪者として、その出口ノードにフラグを立てた。だが、そのことは、100 以上の出口ノードから「模倣した攻撃」が行われるのを実質的に防ぐ措置ではない。
「勤務時間外の我々は、『友人、隣人、あるいはお客』と見なされている人々である。急激に魂を失うことはない。私のスタッフたちは、普通とは違った(並外れた)仕事をしている普通の人々だ」と彼は語った。
大西洋ファイバーケーブル通信の傍受や、Belgacom のシステムのハッキングに関する Snowden の暴露にも関わらず、その聴衆は、「いかに GCHQ のスタッフが厳格な規制制度の範囲内で活動しているのか」についても話を聞くこととなった。
LTD DevelSoftware が提供する iOS アプリ「File Manager」には、クロスサイトスクリプティングの脆弱性が存在します。
その著者は、彼らの研究を「一定のノイズ率に耐え、暗号鍵の量の線形的な抽出を可能とする、『デバイスから切り離された、完全な量子鍵配送のセキュリティ証明』として初の研究」と呼んでいる。
数多くの異なる種類のデータが収集、共有され、様々な測定基準が用いられる CERT の標準的な業務モデルは、これまで存在していなかった。それが国ごとの CERT 間で、情報共有やデータの分類など数々の問題を生じさせてきた
金融機関を狙った複数のグループは、そのレポートの期間中、トロイの木馬やフィッシングサイトなどの技術、さらには買収したインサイダーの助けさえも利用し、約 4 千万ドル(編集部註:約 43 億円)を盗んだ。
そのカリフォルニアの開発者は、Vulture South に対し、Anonabox の設計がオリジナルであり、彼のリクエストに基づいて素材を調達したエンジニアの友人がデザインしたものだ、と語っている。
筆者は、ついカッとなってしまい、メイン会場とは別に台湾の優秀な学生たちがライトニング・トーク大会をしている会場に飛び入りで講演してしまった。学生達は最初ビックリしたようだけど、直ぐに私と最愛の彼女の講演を受け入れてくれた。
「この住民の登録番号が『異なる分野を横切って』使用されているため、その番号はハッカーたちにとって、『あらゆるドアを開き、尊大な犠牲者の個人情報を丸ごと盗めるマスターキー』になっている」
Drupal に SQL インジェクションの脆弱性が報告されています。
LulzSec のハッカーたちは、複数の政府のウェブサイトを改竄し、またトルコやブラジル、その他のサーバから機密情報を盗むよう奨励されていた。ここで盗まれたデータは、どうやら FBI に制御されているサーバへアップロードされたようだ。
「どのユーザーも決して管理者としてログインするべきではない」と Salous は語った。「テクノロジーの部署では、それぞれのスタッフのために個別の admin アカウントを作成せよ」
「ハッカーが試みるのは、あなたのセッション Cookie のハッキングである。つまり彼らは、あなたのアカウント用のパスワードを手に入れることはないが、あなたのアカウントに『あなたとして』ログインすることが可能となるだろう」
「PCI DSS のセキュリティ要件が要求しているのは『カードデータの基礎的な保護』だ。しかし企業は、コンプライアンスを遵守するだけで侵害のリスクから身を守ることはできない」
無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。
