Chromium OS is an open-source project, building OS that provides fast, simple, and more secure computing experience for people who spend most of their time on the web. Googleから発表されたChrome OS / Chromium OSはネットブックでChromeを動作させることに特化したLinuxディストリビューション。起動と終了時間の早さに特徴があるが、セキュリティという面でもかなり興味深い。起動から終了まではもちろん、紛失や盗難にあった場合、物理的なエラーが発生した場合などにも問題が発生しにくいようにライフサイクルを含めていちからセキュリティが設計されている。 Chromium OS Security Securi
2009年4月9日,NTTコミュニケーションズ(NTTコム)の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず,Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。 Arcstar IP-VPNには,ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは,同サービス向けの監視端末である(図1)。 NTTコムが監視端末の感染を知ったのは,2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ,監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネット
第31回 安全と安心 2009年5月11日 (これまでの増井俊之の「界面潮流」はこちら) ISO(国際標準化機構)/IEC(国際電気標準会議)のGuide 51という規格(規格に安全面を導入するためのガイドライン)では、安全とは「受け入れ不可能なリスクがないこと」と定義されています。ここでいうリスクとは「利を求める代償としての危険」のことで、自然災害のような受動的な危険はリスクと呼びません。富士山は噴火する危険はありますが、噴火するリスクがあるとは言いません。電話やネットのように便利さを求めるものにはオレオレ詐欺にひっかかるリスクがあったりすることになります。つまり、能動的な行動にリスクはつきものですが、リスクが充分小さいものは安全であると数値的な解釈ができることになります。 このように安全は客観的に定義が可能ですが、安心は主観的なものなので、必ずしも安全さと安心感は比例しません。例えば、
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
2008/07/10 Linux Foundation Japanは7月10日、「The Latest Kernel and Security」をテーマとしたシンポジウムを都内にて開催した。この中で、米ヒューレット・パッカードのポール・ムーア(Paul Moore)氏が、ラベルに基づいてトラフィックを制御するアプローチ「Labeled Networking」について紹介した。 SELinuxをはじめとする「ラベル」ベースのセキュアOSでは、OS上のさまざまなオブジェクトにラベルを付与し、セキュリティポリシーに基づいてアクセス権限をコントロールする。Labeled Networkingは、ローカルのリソースではなく、ネットワークトラフィックに対して、同じようにラベルに基づいてポリシー制御を行うための仕組みだ。IPアドレスやポート番号といった属性に応じてラベルをアサインし、トラフィックをコント
Benefits for LWN subscribersThe primary benefit from subscribing to LWN is helping to keep us publishing, but, beyond that, subscribers get immediate access to all site content and access to a number of extra site features. Please sign up today! Linux capabilities have had a long and somewhat tortuous journey as part of the Linux kernel. Slowly—and very carefully—functionality is being added to th
OpenBSD Porter's Handbook If you are not redirected automatically, follow the link to https://www.openbsd.org/faq/ports/
Package: linux-2.6 Version: 2.6.22-3-generic Severity: critical Tags: security Justification: root security hole There is a security hole in all versions of linux-2.6 distributed by Debian, including Etch's kernel. The attached exploit code can be used to test if a kernel is vulnerable, it starts a root shell. -- System Information: Debian Release: lenny/sid APT prefers testing APT policy: (500, '
【セキュリティ最前線】仮想マシンとセキュリティ「セキュアVM」 第2回:強制アクセス制御機構「sHype」とは? 著者:東京工業大学 光来 健一 公開日:2008/1/16(水) VM間の情報流制御 サーバ統合という言葉が頻繁に聞かれるようになっているが、最近では仮想マシン(VM:Virtual Machine)を用いたサーバ統合が増えてきている。サーバ統合を行うと、これまで多くのマシンで運用されていたサービスを少ない台数のマシンで運用できるようになる。その際にVMを用いることで、統合前のマシンの環境をOSを含めてそのまま移行することができ、統合の手間を減らすことができる。 さらに、もともと別々のマシンで動いていた各サービスを隔離された実行環境で動かすことができるため、従来のセキュリティを維持しやすい。このような分離によるセキュリティは「仮想マシンモニタ」と呼ばれるソフトウェアによって実現
Webアプリケーション関連セキュリティを扱うブログ「ha.ckers.org」は,Webサイト閲覧中のパソコンからネットワーク・プリンタに許可なく印刷できる攻撃手法「Cross Site Printing」(クロスサイト・プリンティング)を紹介した。この手法を考案したAaron Weaver氏は,プリンタがスパムの送信手段として悪用されると考える。 Cross Site Printingで細工されたWebサイトにアクセスすると,パソコンを接続しているネットワーク内のプリンタに印刷ジョブが送られ,意図しない印刷が行われる。Weaver氏は公開した資料(PDF形式)において,攻撃はJavaScriptだけで実行できるとしている。プリンタに任意のテキスト・データを送信できることから,一般的なテキスト文書の印刷だけでなく,PostScriptコマンドによるプリンタ制御も可能だ。 米メディア(Inf
POSIX file capabilities: Parceling the power of root root に権限が集中し過ぎていることが UNIX 系 OSの弱点で、あるプロセスの nice 値をちょっと下げたい場合にも root 権限が必要で、そのために root 権限を渡してしまうとマシンを再起動するのもファイルを消すのもしたい放題になってしまう。 そこで POSIX では root 権限に選択的に蓋をすることができるケーパビリティ(capabilities)という仕様が策定している。 ケーパビリティの機能は大きく二種類あるようだ。 Process capabilites プロセスが特権が必要なシステムコールを呼び出す場合に、実行UID/GIDの他にケーパビリティのチェックを行う。例えば chown(2) を呼び出す場合、CAP_CHOWN ケーパビリティが欠けていれば、ro
Greasemonkeyの過去においてのセキュリティ上の問題の解説。 Greasemonkeyだけに限らず、JavaScriptによるユーザ拡張を作成している全ての方に対して一読の価値があるドキュメントだと思われます。 原文:O'Reilly Media - Technology and Business Training Greasemonkeyの共通な落とし穴を避ける Greasemonkeyのセキュリティの歴史があなたの今にどう影響するのか (著) Mark pilgrim "Greasemonkey Hacks"の著者 2005/11/11 昔々、あるところにセキュリティホールがありました。(これは普通のおとぎ話ではないからそのまま読んでください。) Greasemonkeyのアーキテクチャは最初に書かれて以来大幅に変更されてきた。Version0.3は初めて広範囲に人気を得たバー
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
