2025.03.15(土)
- 注目検索ワード
Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。
OAuth 2.0 は、ほぼ全てのレベルにおいて及第点を得ているものの、そのプロトコルには 2 つの弱い部分がある。リダイレクト処理と、アイデンティティプロバイダ(IdP)の処理法における、いくつかの側面だ。
PTPはベンダーに連絡し(ベンダーはそれを深刻に受け止めて分析し、更新を行うと約束した)、さらに「このセキュリティの弱点は、いかなる重大なリスクをもたらすこともないものだった」と結論づけるまでの間、その脆弱性を公開しなかった。
これらのバグは(無害そうなアプリケーションのバグでも)、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」
これらの医療ハッカーたちは昨年、米議会に対して「ハッカーが医療デバイスを調査することが、また車両にハッキングをすることが許可されるように、DMCA 制限法の例外的な措置を得るための働きかけ」を成功裏に行っている。
暗号を利用したウェブサイトと情報交換する際は、自分のパスワードの秘密が保たれていると思いがちだ。HTTPS Bicycle攻撃は、そうでない場合もあるということを示している。ほんの僅かな情報も、のちに『より洗練された攻撃』をもたらす可能性がある。
それをクラックするには非常に多くの計算力が要求される、という仮定が常にあったが、コードは1時間でクラックでき、エンドユーザーになりすましてシステムに侵入できる可能性があるということを、この論文は主張している。
米国OPM侵害事件の批判は中国に向けられたが、それは公正なスパイ合戦と見なされ、それほど非難はされなかった。そのハッキングの大胆さゆえに、中国に向けられる「苦々しい賞賛」さえ見られたほどだ。
したがって世界は、計画されていたよりも 2 年間長く、「不完全であることが分かっている暗号」とともに、何とかやり抜かなければならない。その間、悪者たちは弱い暗号を最大限に利用するだろうと我々は想像している。
このアプリには「ユーザーの自宅の正確な住所を隠す」というプライバシー設定のオプションがあるが、Leigh が自転車走行の詳細情報をシェアしたとき、彼はその切り替えスイッチに気づいていなかった。
監視ツールは、法執行機関が利用する合法的な道具になりえる。しかし、それらは企業と消費者の両方における通信やデータ処理のセキュリティ対策を回避するために利用することもできる。
「その数は全体的に減っているが、安全ではないデータをファイルシステムに保存しているアプリは現在も少なくない。それらの多くはいまもクライアント側の攻撃を受けやすい」と、彼は付け加えた。
サンダースの選挙活動マネージャは、チームをデータベースから閉め出したDNCの決定が不当であると宣言し、今年の10月にNGP VANへ報告されたインシデントの件も含めて、DNCによるデータの取り扱いを調査するよう要求した。
彼らは非常に予測不能な動きをする。多くの地下サイトは寿命が短い。彼らは 1 日だけ活動し、次へ動く可能性がある。調査を行うには、この速いペースに追いつかなければならない。
これらの攻撃のほとんどは、緩和をすることができない。なぜならこれは単純に『Windows 環境で、Kerberos がどのように働くのか』の問題だからだ……多くの場合、あなたは『特権アカウントの保護』に全力で集中する必要がある。
これらの全キットはデフォルトの状態で脆弱なので、このエクスプロイトは非常に危険だ。伝えられるところによると、FireEye は、すでに契約期間が終了している顧客にもサポートを提供している。
MacKeeperユーザーのメールアドレス、電話番号、IP アドレス、そして弱いハッシュ化を施されたパスワードが危険に晒されていた。Chris Vickery は、検索エンジン Shodan を利用中に、その 20GB のデータをたまたま発堀した。
そのようなたち研究者は起訴されることを恐れ、もはや脆弱性を開示しなくなる。実際、一部のハッカーは先日のPacSecWestのPwn2Ownに参加しなかった。参加するためには、エクスプロイトに関わるものを東京のイベントへ運ぶことになるからだ。
その欠陥により、いずれかのアカウント(ユニバーサルデモアカウントを含め)にログインした攻撃者は、36万台のあらゆるThinkRaceへのログインが可能になると彼は語った。「全アカウントにブルートフォースを仕掛ければ、それぞれにインクリメントが可能だ」
「我々が追跡している様々な国のサイバープログラムは5つの主要なセクターを選び出している。金融、メディア、エネルギー、通信、輸送だ。多くが焦点を当てているのは、いまも『金融』だが、他のセクターも攻撃をうけており、また危険にさらされている
「セキュリティとプライバシーの面で、ウェブが大きな前進をする時が来た。我々は HTTPS がデフォルトとなることに期待している。Let's Encrypt は、できるだけ証明書の取得と管理を簡易化することによって、それを可能とするために設計された」
