2019年8月9日のtwitterセキュリティクラスタ

Day 2 の 5 つ目は Web 系がなかったので、これを聴きに行った。この周辺はあまり触ってないけど、資料も説明もわかりやすかった。後で資料をゆっくり読もう。 | “Backdooring Hardware Devices by Injecting Malicious Payloads on Microcontrollers” blackhat.com/us-19/briefing…

6 つ目はこれを聴いた。IDN を Punycode に encode (ToASCII) する際に URL の構造を変えてしまう文字(/ 等)が生じたり、decode (ToUnicode) する際に ZWJ が混ざりうる、という挙動を使った攻撃の話。 | “HostSplit: Exploitable Antipatterns in Unicode Normalization” blackhat.com/us-19/briefing…

Jonathan Birch is sharing tips on new Unicode normalization bugs (HostSplit/HostBond) he discovered. So many vulns found. He is encouraging folks to look around for more and showing how. pic.twitter.com/Kd4OgFTxIY

Briefings 最後は ARM Trusted Zone の話を聴いてるんですが、この界隈の人、やはり異常なほどに強い。すごく淡々と喋ってるけど、人間業なんかな、これ… | “Breaking Samsung’s ARM TrustZone” blackhat.com/us-19/briefing…

手作り紙芝居風で面白いんだけど、この結論はあかん。改ざんされていても鍵マークが出る場合もある。とはいえ、利用者に気付きようのない場合も多いので、如何ともし難いか。
twitter.com/tx_news/status… pic.twitter.com/pp3FDMFN0N

中国のホテルで颯爽とネットワークつなげたらESETがMITMのSSL証明書を検知してくれた。 pic.twitter.com/R1ufzceQVO

事業コンプライアンス部会による「サイバーセキュリティ業務における倫理行動宣言」を公開しました。「行動規範」「事業遂行の基本指針」を掲載しております。ぜひご覧下さい。
jnsa.org/cybersecurity_…

若者のパスワード管理方法は「スマホメモ」が最多–約2割が個人情報漏えいを経験 japan.cnet.com/article/351408…

パスワードの使い回しが半数以上。サービス提供者のみなさん。パスワードはやめましょう。別々にしろというのは非現実的です。>若者のパスワード管理方法は「スマホメモ」が最多–約2割が個人情報漏えいを経験 japan.cnet.com/article/351408… @cnet_japanさんから

NETSCOUT、2019年上半期のサイバー脅威を調査・分析した最新の「脅威インテリジェンスレポート」 を公開 | ニュースとイベント | アーバーネットワークス jp.arbornetworks.com/press_release_…

デジカメの脆弱性たのしい:キヤノン製デジカメ「EOSシリーズ」などに脆弱性 – 攻撃を受けるおそれ | マイナビニュース news.mynavi.jp/article/201908…

ドコモのフィッシングに引っかかり、キャリア決済がアマゾンの支払方法に登録されて使い込まれる被害が多発していた問題で、ようやく今日から「登録時にキャリア回線必須」の対策が実施だそうです(おせぇーよ)。>Amazonにおけるd払い設定時の認証方法変更について service.smt.docomo.ne.jp/keitai_payment… pic.twitter.com/1HgdOxFz61

これはびっくりですねー>『エンタープライズ部門の売却後、シマンテックはウイルス対策ソフト「ノートン」や「ライフロック」といった個人向け製品に集中することになる』 / “ブロードコム、シマンテックの企業向け事業部門を買収へ-107億ドル – Bloomberg” htn.to/y6maWhAULT

Googleのトーゴドメイン(google.tg)の証明書がまた不正発行されてた(2年ぶり2回目)。CRLで失効されているけどOCSPまだGoodだ。レジストラがまたやられたか。 pic.twitter.com/8QIIHeZahZ

まだインドネシア語のこの記事しか出てないな。「Atta Halilintarを捕まえたハッカーが Google Torgoドメインをハッキングした」とのことで不正証明書を使ったスクリーンショットがある。
news.linuxsec.org/hacker-yang-ng…

APTのアクターとマルウェアの関連性。
Taidoorは他のベンダではあまり聞かないですが、あるんですね。 twitter.com/trendmicro_jp/… pic.twitter.com/H1EL4d3htc

こういう動画もっと増えて欲しいです youtube.com/watch?v=d5MhHD… 特に後半のテクニック対決部分

情報セキュリティ白書2019、この個人情報利用目的でどうしてこの情報を集めてるのかまったく理解できない。 ipa.go.jp/security/publi…

広告が表示されるログインページは安全ではないのか?
gigaz.in/2yJPXXP

1枚の写真から顔認識システムでSNSのアカウントを探し当てて追跡するツールが開発される(2018)
bit.ly/2M4Jm2J

Appleの顔認証Face IDは眼鏡にテープを貼るだけで突破可能、研究者は「生体認証にとってのアキレス腱」を指摘
gigaz.in/2yJirRt

「3P・スワッピング愛好者向け」出会い系アプリから位置情報や個人情報が簡単に入手可能だったと判明
gigaz.in/31uXS7D

Googleの安全な2段階認証を構築し不正アクセスを防ぐ物理キー「Titan セキュリティ キー」使用レビュー
gigaz.in/31sbbFS

セキュリティチームは「面倒な奴ら」のままでいいのか tcrn.ch/31CFsC7

[ITmedia エンタープライズ]WhatsAppの脆弱性をセキュリティ企業が発表 Facebookは反論 bit.ly/2YyRK1e

[ITmedia エンタープライズ]攻撃者にシステムを制御される恐れも――Googleが「Chrome 76」のセキュリティアップデートを公開 bit.ly/2YSdLaw

[ITmedia NEWS]CloudflareのDNSだと「5ちゃんねる」に接続できない? ネットで話題に bit.ly/2Yyiwqg

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>