汎用型自作PCまとめ

当ブログは2ちゃんねるから「自作PC」「ITニュース」「ガジェットネタ」などをお届けするサイトです。

    セキュリティ

    コメント(0)  
    smartphone-virus-malware-signs-symptoms

    1: サーバル ★ 2017/08/15(火) 07:21:48.37 ID:CAP_USER9.net
    Androidのウイルス対策アプリ、マルウェアを「ほとんど検知できない」ことが判明:米調査結果

    Android用のウイルス対策アプリを58種類テストしたところ、一度もセキュリティを破られなかったアプリは2種類だけだった、という研究結果が発表された。その理由について研究者らが解説する。

    TEXT BY LILY HAY NEWMAN
    TRANSLATION BY TAKU SATO/GALILEO

    WIRED(US)

    パソコンのウイルス対策は、効果が上がることもあれば、そうでないこともある。全体としては役立ってはいるが、進化する脅威に追いつくための努力を絶えず求められているのだ。また、システムの“深い”ところまでアクセスするため、さらに悪質な攻撃を可能にしてしまうこともある。

    そしていま、脅威の高まりによってAndroid向けのウイルス対策アプリの人気が高まっている。だが、ここでも「昔と同じ過ち」が繰り返されているようなのだ。

    現在の多くの問題は、Android向けウイルス対策アプリパソコン用と比べて未熟であることに起因している。ジョージア工科大学の研究チームが58種類の主なアプリを分析したところ、その多くが簡単にセキュリティを破られてしまった。マルウェアを検出する方法に多様性がなく、細かい調整ができないからだ。

    「攻撃者の視点」から対策アプリをテスト

    研究チームは攻撃者の観点に立って分析を行うために、「AVPass」と呼ばれるツールを開発した。ウイルス対策ソフトウェアによる検出を回避しながら、マルウェアをシステムに侵入させられるようにするものだ。このAVPassを使ったテストで攻撃を常に阻止できたのは、韓国のアンラボ(AhnLab)と、ホワイトアーマー(WhiteArmor)の2社のツールだけだった。つまり58分の2、比率にして約3.5パーセントにすぎなかったのである。

    (続きはこちら)
    https://wired.jp/2017/08/09/android-antivirus-malware/
    3: 名無しさん@1周年 2017/08/15(火) 07:22:54.30 ID:VbRQ4Cmi0.net
    入れてないし
    画像の説明文

    コメント(0)  
    forensic-dna-testing-2

    1: 名無しさん@涙目です。 NG NG BE:601381941-PLT(13121).net
    DNAに埋め込んだマルウェアがコンピュータを攻撃--米で実験に成功

    科学者らは、遺伝子内でソフトウェアエクスプロイトをコード化し、コンピュータをリモートでハッキングすることに成功した。

    何のために、悪意のあるDNA鎖でコンピュータをハッキングしようなどと考える者がいるのだろうか?そうしたDNA鎖を開発した研究者らによると、攻撃者はこれを利用して、DNA解析工程内のあらゆるコンピュータをハッキングするおそれがあるのだという。

    この工程には、コンピュータベースの遺伝子解析および処理に用いるDNAサンプルを受け入れるあらゆる施設が含まれる。攻撃者は、コンピュータ上で遺伝子解析されることが分かっている血液、毛髪、唾液のサンプルを、悪意のあるDNAを注入して汚染することで、警察の捜査をかく乱できる。

    ワシントン大学のPaul G. Allen School of Computer Science & Engineeringの研究者らは、次のように述べている。「DNA解析は急速に進化し、科学捜査やDNAデータストレージなど、新たな領域へと進出しているため、大規模に導入される前に、DNA解析工程における現在のセキュリティ上の課題を理解することが賢明だとわれわれは考えている」

    DNAのマルウェアに備えるという展望は興味深いが、研究者らが行った攻撃は都合よく操作されたもので、現実味は薄い。

    科学者らは、FASTQ(DNA塩基配列の圧縮に用いるオープンソースのプログラム)に挿入したバッファオーバーフローの脆弱性を標的とする、合成のDNA鎖を設計した。また、エクスプロイト緩和機能のAddress Space Layout Randomization(ASLR: アドレス空間配置のランダム化)を無効にして、改変したプログラムをマシン上で実行した。

    適切な条件を設定することで、研究者らは「敵対的な合成DNAを利用してコンピュータをリモートで悪用したり乗っ取ったり」できたと述べている。

    研究者らは、コンピュータに対するDNA攻撃の脅威はまだ理論上のもので、そのため差し迫った懸念ではないことを認めている。

    しかし、攻撃者がDNAを処理するマシンを標的にしようと思えば、攻撃を媒介する手段は「手頃な」ものが多数あるとも研究者らは主張している。水疱瘡などの生物学的ウイルスの合成を防ぐ規制はあるが、DNA内で実行可能なコードを検出することはもっと難しいかもしれないと研究者らは警告している。

    DNAの研究機関でアカウントを登録している人なら誰でも、悪意があるかもしれない塩基配列ファイルも送信できる。

    加えて、バイオインフォマティクス(生物情報科学)ソフトウェアはハッカーの標的になることが少ないため、概して攻撃への対策が施されていない。また、DNA解析ソフトウェアパッケージの多くは一元的なコードリポジトリで管理されていないため、研究者らはパッチ適用の難しさも指摘している。

    https://japan.cnet.com/article/35105721/
    3: 名無しさん@涙目です。 2017/08/14(月) 14:45:14.41 ID:uoe2T1M00.net BE:645596193-2BP(1000)
    人間の脳にマルウェアが感染する日も近いな。
    画像の説明文

    コメント(0)  
    326f3766-e831-470e-8c35-27caed8efaee

    1: Sunset Shimmer ★ 2017/08/10(木) 08:09:18.58 ID:CAP_USER9.net
    VPNサービスのHotspot Shieldが、プライバシーポリシーに反してユーザーのトラフィックを追跡し、アクセス情報を第三者に販売していたとして批判されています。「ユーザーのプライバシーを守る」といううたい文句と真っ向反対の裏切り行為が事実なのかアメリカ当局の調査が入る見込みです。

    FTC complaint about Hotspot Shield
    https://www.documentcloud.org/documents/3914264-FTC-complaint-about-Hotspot-Shield.html

    Hotspot Shield VPN Accused of Spying On Its Users' Web Traffic
    http://thehackernews.com/2017/08/hotspot-shield-vpn-privacy.html

    バーチャルプライベートネットワーク(VPN)はインターネット上に仮想的に構築される専用のネットワークで、安全な通信を可能にしユーザーのプライバシーを守る技術として利用されています。そのVPNサービスを可能にするアプリを提供するHotspot Shieldが、ユーザーを欺いてプライバシーを売り物にしていたと、プライバシー保護を目的とする非営利団体のCentre for Democracy and Technology(CDT)が主張して、連邦取引委員会(FTC)に捜査を依頼しました。

    CDTによると、Hotspot Shieldは「完全な匿名を保証する」というプライバシーポリシーに反して、ユーザーのブラウジング履歴を監視して接続を記録したり、eコマースのトラフィックを特定のパートナードメインにリダイレクトしたり、収集したデータを広告主に売却したりしていたとのこと。CDTとカーネギーメロン大学の研究者がHotspot Shieldアプリのソースコードをリバースエンジニアリングしたところ、アプリはiframeを使ったJavascriptコードを差し込むことでユーザーデータを追跡しており、VPNが5つ以上の異なるサードパーティトラッキングライブラリを使用していることがわかってます。また、アプリがワイヤレスネットワークのSSID/BSSIDや、MACアドレス、デバイスのIMEI番号などの識別子を取得していたこともみつかっています。

    CDTが調査についてまとめた報告書には、Hotspot Shieldが反故にしていたユーザーポリシーの文言にハイライトがあてられており、Hotspot Shieldの行為を「不公正でユーザーをだます商習慣」だと非難しています。

    CDTの訴えにより、今後、FTCの捜査によってHotspot Shieldのデータ収集疑惑の全容が明らかになる見込みですが、VPNサービスを利用する場合、サービス提供者の選択に細心の注意を払う必要性があることを、今回の事件は示していそうです。

    (続きや関連情報はリンク先でご覧ください)
    引用元:gigazine http://gigazine.net/news/20170810-hotspot-shield-spy-user-traffic/
    5: 名無しさん@1周年 2017/08/10(木) 08:11:29.54 ID:AJY4Qj/X0.net
    VPNも安心出来ないのか

    画像の説明文

    コメント(1)  
    password-1

    1: ノチラ ★ 2017/08/11(金) 17:32:45.83 ID:CAP_USER.net
    パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

    驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

    ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

    また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

    これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

    しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
    http://gigazine.net/news/20170810-password/
    3: 名刺は切らしておりまして 2017/08/11(金) 17:38:48.55 ID:lehn/+o9.net
    更に言えば頻繁にパスワード変えさせるのも意味がない
    画像の説明文

    スポンサードリンク

    このページのトップヘ