Day 2 の 5 つ目は Web 系がなかったので、これを聴きに行った。この周辺はあまり触ってないけど、資料も説明もわかりやすかった。後で資料をゆっくり読もう。 | “Backdooring Hardware Devices by Injecting Malicious Payloads on Microcontrollers” blackhat.com/us-19/briefing…
6 つ目はこれを聴いた。IDN を Punycode に encode (ToASCII) する際に URL の構造を変えてしまう文字(/ 等)が生じたり、decode (ToUnicode) する際に ZWJ が混ざりうる、という挙動を使った攻撃の話。 | “HostSplit: Exploitable Antipatterns in Unicode Normalization” blackhat.com/us-19/briefing…
Jonathan Birch is sharing tips on new Unicode normalization bugs (HostSplit/HostBond) he discovered. So many vulns found. He is encouraging folks to look around for more and showing how. pic.twitter.com/Kd4OgFTxIY
Lots of bugs… including .NET, Python, and Java. #Blackhat2019 #BlackHat pic.twitter.com/CMsaBobmlY
Briefings 最後は ARM Trusted Zone の話を聴いてるんですが、この界隈の人、やはり異常なほどに強い。すごく淡々と喋ってるけど、人間業なんかな、これ… | “Breaking Samsung’s ARM TrustZone” blackhat.com/us-19/briefing…
手作り紙芝居風で面白いんだけど、この結論はあかん。改ざんされていても鍵マークが出る場合もある。とはいえ、利用者に気付きようのない場合も多いので、如何ともし難いか。
twitter.com/tx_news/status… pic.twitter.com/pp3FDMFN0N
中国のホテルで颯爽とネットワークつなげたらESETがMITMのSSL証明書を検知してくれた。 pic.twitter.com/R1ufzceQVO
はてなブログに投稿しました #はてなブログ
TSG CTF 開催記 – 博多電光
hakatashi.hatenadiary.com/entry/2019/08/…
若者のパスワード管理方法は「スマホメモ」が最多–約2割が個人情報漏えいを経験 japan.cnet.com/article/351408…
パスワードの使い回しが半数以上。サービス提供者のみなさん。パスワードはやめましょう。別々にしろというのは非現実的です。>若者のパスワード管理方法は「スマホメモ」が最多–約2割が個人情報漏えいを経験 japan.cnet.com/article/351408… @cnet_japanさんから
NETSCOUT、2019年上半期のサイバー脅威を調査・分析した最新の「脅威インテリジェンスレポート」 を公開 | ニュースとイベント | アーバーネットワークス jp.arbornetworks.com/press_release_…
デジカメの脆弱性たのしい:キヤノン製デジカメ「EOSシリーズ」などに脆弱性 – 攻撃を受けるおそれ | マイナビニュース news.mynavi.jp/article/201908…
第52回 ゆるいハッキング大会 in TOKYO 開催決定 を公開しました! connpass.com/event/142895/?… #ゆるいハッキング大会
ドコモのフィッシングに引っかかり、キャリア決済がアマゾンの支払方法に登録されて使い込まれる被害が多発していた問題で、ようやく今日から「登録時にキャリア回線必須」の対策が実施だそうです(おせぇーよ)。>Amazonにおけるd払い設定時の認証方法変更について service.smt.docomo.ne.jp/keitai_payment… pic.twitter.com/1HgdOxFz61
これはびっくりですねー>『エンタープライズ部門の売却後、シマンテックはウイルス対策ソフト「ノートン」や「ライフロック」といった個人向け製品に集中することになる』 / “ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル – Bloomberg” htn.to/y6maWhAULT
Googleのトーゴドメイン(google.tg)の証明書がまた不正発行されてた(2年ぶり2回目)。CRLで失効されているけどOCSPまだGoodだ。レジストラがまたやられたか。 pic.twitter.com/8QIIHeZahZ
まだインドネシア語のこの記事しか出てないな。「Atta Halilintarを捕まえたハッカーが Google Torgoドメインをハッキングした」とのことで不正証明書を使ったスクリーンショットがある。
news.linuxsec.org/hacker-yang-ng…
APTのアクターとマルウェアの関連性。
Taidoorは他のベンダではあまり聞かないですが、あるんですね。 twitter.com/trendmicro_jp/… pic.twitter.com/H1EL4d3htc
Symantec sells off name, enterprise business to Broadcom: trib.al/xL7eiQg pic.twitter.com/yNTkvRWNs6
こういう動画もっと増えて欲しいです youtube.com/watch?v=d5MhHD… 特に後半のテクニック対決部分
情報セキュリティ白書2019、この個人情報利用目的でどうしてこの情報を集めてるのかまったく理解できない。 ipa.go.jp/security/publi…
1枚の写真から顔認識システムでSNSのアカウントを探し当てて追跡するツールが開発される(2018)
bit.ly/2M4Jm2J
Appleの顔認証Face IDは眼鏡にテープを貼るだけで突破可能、研究者は「生体認証にとってのアキレス腱」を指摘
gigaz.in/2yJirRt
「3P・スワッピング愛好者向け」出会い系アプリから位置情報や個人情報が簡単に入手可能だったと判明
gigaz.in/31uXS7D
Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー
gigaz.in/31sbbFS
[ITmedia エンタープライズ]WhatsAppの脆弱性をセキュリティ企業が発表 Facebookは反論 bit.ly/2YyRK1e
[ITmedia エンタープライズ]攻撃者にシステムを制御される恐れも――Googleが「Chrome 76」のセキュリティアップデートを公開 bit.ly/2YSdLaw
[ITmedia NEWS]CloudflareのDNSだと「5ちゃんねる」に接続できない? ネットで話題に bit.ly/2Yyiwqg