2024.04.27(土)
さらに、ホテルの部屋に設置されている金庫の磁気カードリーダーは、「カード上のデータにアクセスするためのスキミングを行うオプション」をも犯罪者に提供する(のちに彼らは、その情報を地下フォーラムで売ることができる)。
大学の研究者である Alexander Volynkin と Michael McCord は、何千もの秘匿サービス、および数十万の Tor クライアントを、数ヶ月以内に「匿名解除」する方法を示すことを計画していた。
「すべてのデバイスの一台一台で、これらの機能が有効化されており、それをオフにする方法は存在せず、また、こういった個人データをデバイスが送信することについて同意を求めるメッセージも、ユーザーには表示されていない」
Canvas の攻撃によって監視されたユーザーは、「ブラウザの(履歴の)消去で追跡のメカニズムをクリアする」といった一般的な方法では身を守ることができない。また AdBlock Plus のようなアプリを利用し、その影響を警戒することもできない。
そのマルウェアは IE、Firefox、Chrome からバンキングのクレデンシャル情報をリッピングすることが可能であり、アンチウイルスや不特定のサンドボックスを回避し、暗号化されたコマンドアンドコントロールの通信を確立すると書かれている。
ファイルリレーシステムについて、Zdziarskiは、「データ診断のためだけに必要なものである」という Apple の主張を嘲笑している。そのソフトウェアは診断を行う技術者が決して必要としないものをダウンロードできると彼は論じている。
伝えられるところによると、犯罪者たちは USB スティックや CD を利用してマルウェアを運ぶ必要すらなかった。彼らはマルウェアをクラウドに保管し、それをホテルのコンピュータへ単純にダウンロードしていた。
LibreSSL プロジェクトのゴールは、安全で気軽に乗り換えられる OpenSSL の代替物を作り上げることだが、同プロジェクトの開発者たちは、さらに「OpenSSL の開発者たちによる無分別な設計上の決定」の一部を元に戻すための努力もしてきた。
これは犠牲者に、脆弱なエンドポイントの領域で任意のリクエストを行うように仕向け、機密情報である可能性のあるデータを敵陣へ(JSONP 応答に限定することなく、攻撃者がコントロールするサイトへと)密かに持ち出すものだ。
悪党たちは最新世代のマクロを送りつける際、ソフトウェアのバグやビルトインのセキュリティの弱点を悪用するのではなく、むしろソーシャルエンジニアリングの手法を利用している。
「これは『違法なものを送りつけた』という理由で郵政省を非難すること、あるいは『あなたのネットワーク上で著作権侵害に当たる行為が行われた』という理由で ISP の責任を問うことに等しい」という意見が数多く寄せられている。
「確かに EMET は良いユーティリティであり、エクスプロイトの開発者に対して(攻撃の)ハードルを引き上げるものであるが、それは『この種の攻撃を食い止められる万全の解決策』ではないということが示されている」
Brian Stokesは、「内部告発者たちを録音、撮影するために利用された音声や映像のデバイス」を特定することは可能かもしれないと語っている。彼やその他の技術者たちは、Appleby の意見に同意している。
だが、ここで問題となるのは、特定のデバイスがその動作を起こすかどうか、テストを行わずに知る方法がないことだ。たとえば HTC One が Wi-Fi のデータを漏らすことは判明しているが、HTC One Mini は漏えいしていない。
その他の監視対象として我々が聞かされているサイトには、HotSpotShield、FreeNet、Centurian、FreeProxies.org、MegaProxy、privacy.li、そして MixMinion と呼ばれる匿名のメールサービスが含まれている。
「PlugX variant II」は、アンチウィルスシステムに手を加えるアンチフォレンジックの機能を持っており、また 5 月 5 日に攻撃を開始するまでの間は、偽のパークドメインの裏に隠れていた。
NSA の新しい長官は、信用していたインサイダーによって何千もの機密書類を持ち去られる漏えい事件から身を守るため、NSAがこれまでよりも様々な形の厳格な規制を適所に配置してきたと付け加えた。
このロードマップでは、それらの問題の大部分に対する解決策が提供されていない。しかしプロジェクトのプラットフォームポリシーはすでに融合を始めている。今後の OpenSSL の主要なプライマリ・プラットフォームは、Linux と FreeBSD になる。
No-IP は DDoS 攻撃を受けたものの、Microsoft の主張に反論している。「それらのサービスは午前 6 時に復旧されていなかった。彼らは是正の手段を講じようとしている様子だが、DNS は困難で、彼らの得意な分野ではないように思われる」
NSA は 2013 年、外国情報監視法(FISA)702 節の下、わずか一度の指令を発しただけで 89,138 の標的――それが個人であろうが企業であろうが国家であろうが――の監視を可能とした。
この動きは、米国の諜報機関がドイツの通信ネットワークを監視し、さらにはドイツのアンゲラ・メルケル首相の携帯電話の盗聴すらも行ってきた、という報告に続くものである。
