List of openssl - Baldanders.info
tag:Baldanders.info,2015-03-09:/tags
2015-03-09T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
FREAK の CVSS 基本値は 7.8
tag:Baldanders.info,2015-03-09:/blog/000818/
2015-03-09T09:00:00+00:00
2015-03-09T09:00:00+00:00
先週から世間を騒がせている FREAK(Factoring attack on RSA-EXPORT Keys)だが, CERT/CC から具体的なレポートが出ている。
Spiegel
/profile/
<p> 先週から世間を騒がせている FREAK(Factoring attack on RSA-EXPORT Keys)だが, CERT/CC から具体的なレポートが出ている。 </p><ul> <li><a href="http://www.kb.cert.org/vuls/id/243585">Vulnerability Note VU#243585 - SSL/TLS implementations accept export-grade RSA keys (FREAK attack)</a></li> <li><a href="https://jvn.jp/vu/JVNVU99125992/index.html">JVNVU#99125992: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)</a></li> </ul><p> 注目すべきは CVSS 評価値。 <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a> では 5.0 だったが, <a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> では 7.8 に跳ね上がっている(一般的には CVSS 基本値が 7 以上で「危険」とみなされる)。 </p><p> 具体的には <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a> では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃元区分(AV)</td> <td class="left">ネットワーク(N)</td></tr> <tr><td class="right">攻撃条件の複雑さ(AC)</td> <td class="left">低(L)</td></tr> <tr><td class="right">攻撃前の認証要否(Au)</td> <td class="left">不要(N)</td></tr> <tr><td class="right">情報漏えいの可能性(機密性への影響, C)</td><td class="left">なし(N)</td></tr> <tr><td class="right">情報改ざんの可能性(完全性への影響, I)</td><td class="left">部分的(P)</td></tr> <tr><td class="right">業務停止の可能性(可用性への影響, A)</td> <td class="left">なし(N)</td></tr> </tbody> </table> <figcaption><a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a>: CVSS 基本評価</figcaption> </figure> <p> だったのが,<a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃元区分(AV)</td> <td class="left">ネットワーク(N)</td></tr> <tr><td class="right">攻撃条件の複雑さ(AC)</td> <td class="left">低(L)</td></tr> <tr><td class="right">攻撃前の認証要否(Au)</td> <td class="left">不要(N)</td></tr> <tr><td class="right">情報漏えいの可能性(機密性への影響, C)</td><td class="left">全面的(C)</td></tr> <tr><td class="right">情報改ざんの可能性(完全性への影響, I)</td><td class="left">なし(N)</td></tr> <tr><td class="right">業務停止の可能性(可用性への影響, A)</td> <td class="left">なし(N)</td></tr> </tbody> </table> <figcaption><a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a>: CVSS 基本評価</figcaption> </figure> <p> となった。 具体的な攻撃手法が明らかになったことで,機密性への影響が「なし」から「全面的」になっているようだ(その代わり完全性への影響は「なし」になった。改ざんの可能性はないと見ているということだろうか)。 もっとも <a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> の評価でも CVSS の現状評価(3月9日時点)では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃される可能性(E)</td> <td class="left">攻撃可能(F)</td></tr> <tr><td class="right">利用可能な対策のレベル(RL)</td><td class="left">正式(OF)</td></tr> <tr><td class="right">脆弱性情報の信頼性(RC)</td> <td class="left">確認済(C)</td></tr> </tbody> </table> <figcaption><a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a>: CVSS 現状評価(3/11 更新)</figcaption> </figure> <p> ということで,現状値は 6.4。 「容易に攻撃可能」とまではいかないので,今のうちにしっかり対策しておくことが肝心である。 </p><p> (余談だが,随分昔に <a href="https://baldanders.info/spiegel/archive/cvss/cvss2j.html">CVSS のデモページ</a>を作っている。よかったらこれで遊んでみてください) </p><p> あるサーバが危険かどうかは “<a href="https://www.ssllabs.com/ssltest/">SSL Server Test</a>” でチェックすることで確認できる。 たとえば hatena.ne.jp は最初 FREAK の影響を受けていたが,その後対策していることがこれで確認できる。 ただし hatena.ne.jp はいまだに POODLE を放置(つまり SSL 3.0 を許可)したままだけどね。 RC4 も有効にしたままだし(まぁ国内の Web サーバは大概そうみたいだけど。いい加減 XP/IE6 は捨てなさいよ。ちなみに <a href="https://baldanders.info/blog/000810/">TLS で RC4 を使うのは禁止になった</a>)。 </p><p class="offrec"> (そういえば「TLS にまた脆弱性」みたいな馬鹿タイトルを付けてるメディアを見たが,近年 SSL/TLS などの暗号周りのセキュリティ研究は急速に進んでいる。 今回の FREAK にしたって,まさか「そんな奴おれへんやろ」と思ってたのがかなりの数いてビックリした,ってのが真相らしい。 おそらく今年も暗号周りの脆弱性はたくさん出てくると思われる。 それはそれだけセキュリティ評価が進んでいるということなのである) </p><p> FREAK については <a href="https://gist.github.com/spiegel-im-spiegel/47f340122c895ccc8bb8">Gist にまとめている</a>ので,よろしかったらどうぞ。 再利用(fork)歓迎! </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4314009071/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51ZRZ62WKCL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4314009071/baldandersinf-22/">暗号化 プライバシーを救った反乱者たち</a></dt><dd>スティーブン・レビー 斉藤 隆央 </dd><dd>紀伊國屋書店 2002-02-16</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/487593100X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/487593100X.09._SCTHUMBZZZ_.jpg" alt="ハッカーズ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4484111160/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4484111160.09._SCTHUMBZZZ_.jpg" alt="グーグル ネット覇者の真実 追われる立場から追う立場へ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/410215972X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/410215972X.09._SCTHUMBZZZ_.jpg" alt="暗号解読〈上〉 (新潮文庫)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4102159738/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4102159738.09._SCTHUMBZZZ_.jpg" alt="暗号解読 下巻 (新潮文庫 シ 37-3)"/></a> </p> <p class="description">20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-03-09">2015/03/09</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51njmeGhpKL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/">新版暗号技術入門 秘密の国のアリス</a></dt><dd>結城 浩 </dd><dd>SBクリエイティブ株式会社 2013-12-04</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H40/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00H372H40.09._SCTHUMBZZZ_.jpg" alt="プログラマの数学"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMJ0/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMJ0.09._SCTHUMBZZZ_.jpg" alt="数学ガールの秘密ノート/整数で遊ぼう"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00IP549AE/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00IP549AE.09._SCTHUMBZZZ_.jpg" alt="インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMIQ/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMIQ.09._SCTHUMBZZZ_.jpg" alt="数学ガールの秘密ノート/式とグラフ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMK4/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMK4.09._SCTHUMBZZZ_.jpg" alt="数学ガール/ガロア理論"/></a> </p> <p class="description">まさに入門書。暗号がどのような要素技術で成り立っているのか体系的に理解できる良書。</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-09-18">2014/09/18</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div>
踊るセキュリティ
tag:Baldanders.info,2014-05-04:/blog/000686/
2014-05-04T09:00:00+00:00
2014-05-04T09:00:00+00:00
まぁ今回の一連のセキュリティ脆弱性に大騒ぎしてる人ってのは日頃いかにセキュリティに無関心か自ら暴露してしまってるわけで、せいぜいマッチポンプ広告に踊らされてくださいw
Spiegel
/profile/
<h3>HeartBleed で踊れない</h3> <p> いや,まぁ,続報ってほどではないんだけど。 </p><ul> <li><a href="http://sourceforge.jp/magazine/14/04/23/150000">「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発 | SourceForge.JP Magazine</a></li> </ul><p> 最初は <a href="http://news.mynavi.jp/news/2014/04/20/019/">OpenOpenSSL</a> って聞いたけど,ダサいので止めたのか,他からクレームでも来たのか。 そもそも OpenBSD は「うちとこは影響を受けない」(独自の防御機能があるので,慌てて対処しなくても大丈夫)ってたかをくくっていたらしい。 でも,実際は OpenBSD にも影響を受けることが分かって「こりゃいかん」ということになったんだそうだ。 んで,実際にコードを査読してみたら他にもバグやら脆弱性やら山ほどあって,怒り心頭に発しているというオチまで付いている。 (だから「じゃあウチで作るわ」という話に繋がる。 まぁこの辺がエンジニアらしい発想ではある) </p><p> ソフトウェア開発にとってセキュリティ管理をどうするかってのは難しい問題のひとつだ。 特に長い期間続いているプロジェクトの場合は最初の頃と最近ではセキュリティ要件が変わってしまっている場合もある。 そこを柔軟に対処できるかがポイントである。 </p><p> もうひとつは私が以前から言っている「<a href="https://baldanders.info/spiegel/log/200512.html#d03_t1">専門家不全症</a>」の問題だ。 私達にとって専門家は「お気に入りの言動を支持してくれる「権威」という名の消費財」にすぎない。 つまり,あるトピックに対して複数の意見が対立している時は,自分の意見を支持してくれる「専門家」を「選択」すればいい。 「あの先生はこう言ってるから正しい」と言うわけだ。 そして更に「あの先生の発言を非難するあなたは人間的に劣ってる(あるいは文化水準が低い)」と続ければそれで終わり。 こうした外側のくだらないやりとりに当の専門家は,関与しないのはまだマシなほうで,積極的に利用する連中まで登場し始めているので困ったもんである。 </p><p> セキュリティはリスクであり(リスクであるがゆえに)科学であると思っているが,その科学が今や上述のような有り様なのが「現代」の特徴なのかもしれない。 </p> <h3>踊る IE ユーザ</h3> <p> 例の zero-day 脆弱性,週末に修正が出た模様。 うちの職場でも朝からみんなアップデートしてました。 </p><ul> <li><a href="https://technet.microsoft.com/ja-jp/library/security/ms14-021">マイクロソフト セキュリティ情報 MS14-021 - 緊急</a></li> <li><a href="https://www.jpcert.or.jp/at/2014/at140020.html">マイクロソフト セキュリティ情報(MS14-021)に関する注意喚起</a></li> <li><a href="https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html">更新:Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構</a></li> </ul><p> Microsoft 社のセキュリティに関する歴史は是非勉強しておいた方がいい,特に企業は。 MS は1990年代はセキュリティに関してあまり積極的ではなかった。 セキュリティに対する要求は当時(特に企業においては)あまり高くなかったし,同社はバグを塞ぐより機能を上げる方を優先させていた。 </p><p> (いまでもそういう方針の世界的大企業があるよね。 そう, Apple 社だ) </p><p> でも MS に対する批判が日増しに大きくなっていき,ついに同社は方針を変えるに至る。 積極的にセキュリティ・インシデントを開示し,ユーザに見える形で対応していくようになった。 でもそれはすぐに破綻する。 なぜならインシデントが多すぎて管理しきれなくなったからだ。 そこで MS は修正モジュールの公開を毎月第2火曜日(米国時間)に固定するようにした(少なくとも前週には予告がある)。 これで MS 側も余裕を持ってインシデントに対応できるし,ユーザ側も計画的に OS やアプリケーションを運用できるようになった。 この方法は好評だったのか,今では他の企業も真似している。 </p><p> ただ問題は zero-day 脆弱性には対処しきれないことだ。 zero-day 脆弱性はすぐに具体的な被害が出るおそれがある(またはもう出ている)が,月に1度のアップデートしかできない状態では間に合わない。 そこで最近は EMET (Enhanced Mitigation Experience Toolkit) などを使って緊急避難的に対処しておき,あとで Windows Update で正式に対応する,といったやり方をとるようになった。 なので今回の措置は異例といえば異例だが,よい判断だと思う。 こうしたことにきっちりと対処できるのは優れた企業である証拠だ。 </p><p> というわけで,何が言いたいのかというと,全然慌てる必要はないのだよ。 </p><p> ひとつ文句を言いたいのは, IE を更新するのに OS 自体を再起動しなければならないようなく◯ったれ(←下品でゴメン)な設計は早く捨てろ,ということだ。 じつはこれが IE の最大のセキュリティリスク。 Firefox だって Chrome だって自身を更新する際に OS を再起動しろとは言ってこない。 そういう風に作ることは可能なのだ。 IE は Windows カーネルの深いところまで食い込んでいる。 Linux と違い Windows は,カーネル関連のモジュールの更新を稼働中に行うことができない(これはファイルシステムの違いが大きいんだけど)。 だから再起動を要求せざるをえないのだ。 これは IE そして Windows の Defect (欠陥)と言っていい。 そして攻撃者もそこにつけ込むわけだ。 </p><p> 見た目を気にする前に,こういう設計上の Defect を早く何とかしろよ > Microsoft </p> <h3>踊る国税庁</h3> <p> いやぁ,笑った笑った。 </p><ul> <li><a href="http://itpro.nikkeibp.co.jp/article/NEWS/20140425/553462/">ニュース - 国税庁がStruts脆弱性で確定申告書作成サービス停止、「再開までは手書きで」:ITpro</a> (ちなみに <a href="http://www.nta.go.jp/sonota/sonota/osirase/service3.htm">4/30 には再開している</a>)</li> <li><a href="http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html">更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113):IPA 独立行政法人 情報処理推進機構</a></li> </ul><p> Apache Struts に関しては,個人的に過去にも現在にも関わった仕事がなく(もちろん勉強はしてたよ)スルーしてたのだが,国税庁がサービス停止になるとは思わなかった。 </p><p> いや,これ,毎度毎度のことなんだけど,「再発防止」じゃダメなのよ。 わかる? ソフトウェアの Defect については「未然防止」でいかなきゃ。 工業製品と同じ。 障害を引き起こしたトリガーだけを見てもダメ。 障害が起きるときは必ず障害に至るプロセスがある。 そのプロセスを調べて対処するのが「未然防止」。 そこまでやらなきゃダメなのよ。 </p><p> あと,実際に障害が起きた時のレスポンスが遅すぎる。 多分「事後」の対処に慣れていないからじゃないかと思うんだけど。 セキュリティ対策はね,「事後」に備えて初めてワンセットなのよ。 だからリスク管理が必要なわけ。 </p><p> なんか「お役所」ってこういうところ全っ然なおらないよね。 なんでだろう。 自分でリスク(責任)を引き受けないからかな。 なにか起こった時に当事者の馘首を切って,それで「再発防止を行いました」とか言ってるんじゃないだろうか。 ネット上のサービス停止程度なら(今回のように)笑い話で済むけれど, 3.11 の原発事故を大惨事にまで拡大させたのは明らかに「お役所仕事」だからだよね。 </p><p> みんな同根でみんな繋がってるんだよ。 20世紀型の「お役所」はもう機能しないってことを「お役所」は知るべき。 </p><p> ああっと,ちなみに Struts 2 に関しては(時間はかかったけど)対策が施された 2.3.16.2 が公開されているので適用するように。 あと,<strong>Struts 1 なんか使ってんじゃねー!</strong> </p> <h3>踊る小市民</h3> <p> DNS 汚染の話については NVD や JVN の以下の alert が発端だと思うけど </p><ul> <li><a href="https://www.kb.cert.org/vuls/id/800113">Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning</a></li> <li><a href="https://jvn.jp/vu/JVNVU800113/index.html">JVNVU#800113: 複数の DNS 実装にキャッシュポイズニングの脆弱性</a></li> </ul><p> これって2008年のインシデントなんだよね(当時は本当に大騒ぎだった。これを忘れたもしくは知らないということはセキュリティに無頓着であることを暴露しているのと同じ)。 つまり「なにいつまで放置してんだよ。バカなの?死ぬの?」 って言ってるわけ,NVD/CERT も JVN/JPCERT も。 </p><p> しかも,更にこれをまるで「インターネットが死ぬ日」みたいに煽るバカがいて,本当に「ここは酷いインターネッツですね」って感じである。 </p> <h3>踊るのに疲れたら</h3> <p> セキュリティ「業界」ってのは山師が跋扈しやすい環境でもある。 私も昔,セキュリティ管理者をやってた頃はセキュリティ企業の酷いマッチポンプ広告にウンザリしていた。 しかも今はもっと酷い。 こういった山師をうまくフィルタリングするには「科学的事実(fact)」を見ていくしかない。 </p><p> まずセキュリティに関心のある方もない方も JPCERT/CC の alert を見逃さないこと。 そして alert に従って必ず対処を行うこと。 これは最低限の自衛行為だと思った方がいい。 JPCERT/CC では <a href="https://www.jpcert.or.jp/rss/">RSS</a> と<a href="https://www.jpcert.or.jp/announce.html">メーリングリスト</a>で alert を流している。 </p><p> 企業などはセキュリティ対策企業と契約している場合も多いだろう。 そういったところからの情報ももちろんだが(ちゃんとした企業なら日頃から情報を流してくれるはず),併せて <a href="http://www.ipa.go.jp/security/">IPA の情報</a>にも注目して見ておくべきだろう。 IPA の alert はうまく情報が集約されていて分かりやすいのでお薦め。 </p><p> とりあえずセキュリティ管理とかを任されているような人でなければ上の2箇所をチェックしておけば十分。 alert には必ず対策(回避も含めて)方法が書いてあるので,慌てず騒がず冷静に対処するのが肝要。 </p><p> 最後に手前味噌だが, <a href="https://baldanders.info/blog/000387/">Twitter でセキュリティ情報配信</a>(<a href="https://twitter.com/security_inci">@security_inci</a>)を行っている。 セキュリティ関連サイトの RSS を集約して Twitter で流すだけの簡単なお仕事だが, Twitter メインで行動してる人には役に立つかもしれない。 </p><p> (そういえば Twitter を Web で開くと「災害時に緊急情報をツイートするアカウントをフォローしましょう」って出るけど,何でそこに IPA とか JPCERT とか NISC とか出ないの? 最近ようやく日本でもソーシャルニュースとか流行り始めてるみたいだけど(私は関わらないよ, <a href="">Flipboard</a> で充分),そういうセキュリティ関連の alert とかちゃんとフォローしてるの? ネットなんだから,そこが最優先だろう?) </p><p> まぁ HertBleed クラスの大規模な障害は数年に1度くらいしか出ないし, IE の zero-day 脆弱性にしたって年1回程度の恒例行事みたいなものなので,過剰に反応しないことだ。 「踊るアホウ」は見てるだけで充分。 </p><p> 老婆心で言っておくけど,「事後」にうまく対処したいなら,日本国産のサービスは避けるのが無難だと思う。 HeartBleed の件とか見ても分かる通り,日本のサービスプロバイダは動きが遅い。 またそれを指摘するメディアや「専門家」もいない。 <a href="http://www.nisc.go.jp/">NISC</a> とか何のために存在するのか分からない(IPA の alert を転送するだけなら私でもできるっちうねん)。 纏めて言うなら「全くやる気が無い」。 こんなところに私物を置いておくなんて,「泥棒に追い銭」だよ。 </p><p> (個人の感想です) </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4817130458/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/512XGZ3FKHL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4817130458/baldandersinf-22/">トヨタ式未然防止手法GD3―いかに問題を未然に防ぐか</a></dt><dd>吉村 達彦 </dd><dd>日科技連出版社 2002-09</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4817194324/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4817194324.09._SCTHUMBZZZ_.jpg" alt="日産自動車における未然防止手法Quick DR"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/481719412X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/481719412X.09._SCTHUMBZZZ_.jpg" alt="想定外を想定する未然防止手法GD3"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4526065803/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4526065803.09._SCTHUMBZZZ_.jpg" alt="ついてきなぁ!設計トラブル潰しに「匠の道具」を使え!―FMEAとFTAとデザインレビューの賢い使い方"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4526061948/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4526061948.09._SCTHUMBZZZ_.jpg" alt="「設計力」こそが品質を決める―デンソー品質を支えるもう一つの力"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4542504662/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4542504662.09._SCTHUMBZZZ_.jpg" alt="FMEA辞書―気づき能力の強化による設計不具合未然防止 (JSQC選書)"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2014/05/04">2014/05/04</abbr></p></div> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4153200034/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/417ds7EMauL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4153200034/baldandersinf-22/">インターネットが死ぬ日 (ハヤカワ新書juice)</a></dt><dd>ジョナサン・ジットレイン 井口耕二 </dd><dd>早川書房 2009-06-25</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4903853853/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4903853853.09._SCTHUMBZZZ_.jpg" alt="facebook"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4152092769/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4152092769.09._SCTHUMBZZZ_.jpg" alt="閉じこもるインターネット――グーグル・パーソナライズ・民主主義"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4163725008/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4163725008.09._SCTHUMBZZZ_.jpg" alt="グーグル秘録"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4798116211/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4798116211.09._SCTHUMBZZZ_.jpg" alt="クラウド化する世界"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4480062858/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4480062858.09._SCTHUMBZZZ_.jpg" alt="ウェブ進化論 本当の大変化はこれから始まる (ちくま新書)"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2014/05/04">2014/05/04</abbr></p></div> <p> あっ,念の為に言っておくけど,ジョナサン・ジットレインの『インターネットが死ぬ日』は真面目で秀逸な本なのでお勧めです。 <a href="https://baldanders.info/blog/000490/"> Jonathan <span class="familyName">Zittrain</span></a> は日本でももっと知られるべき。 </p>
パスワード変更は計画的に
tag:Baldanders.info,2014-04-11:/blog/000682/
2014-04-11T09:00:00+00:00
2014-04-11T09:00:00+00:00
やっちゃいましたねぇ, Heartbleed on OpenSSL。大惨事ですよ。パスワード変更は計画的に
Spiegel
/profile/
<p> やっちゃいましたねぇ。 大惨事ですよ。 </p><ul> <li><a href="http://heartbleed.com/">Heartbleed Bug</a></li> <li><a href="https://www.openssl.org/news/secadv_20140407.txt">OpenSSL Security Advisory [07 Apr 2014] TLS heartbeat read overrun (CVE-2014-0160)</a></li> <li><a href="http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html">OpenSSL の脆弱性対策について(CVE-2014-0160) :IPA 独立行政法人 情報処理推進機構</a></li> <li><a href="http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/">OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan</a></li> </ul><p> この脆弱性が問題なのは悪用されても痕跡が残らないことだ。 だからはっきり言って被害がどのくらいの規模になるのかは分からない。 分からないので最悪を想定して動くしかない。 </p><p> 海外では既に被害状況をまとめた記事が登場している。 </p><ul> <li><a href="http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/">The Heartbleed Hit List: The Passwords You Need to Change Right Now</a></li> </ul><p> Heartbleed がどんな問題か理解できなくてもいいので,少なくともこの記事は目を通しておくこと。 そして自身が参加しているサービスでパスワード変更が必要と判断されているものについては必ずパスワードを変更すること。 </p><p> 気になるのは,現時点で Twitter や Apple などが Unclear な状態であること。 そして日本のサービスの状況が全くわからないこと。 どーなってんの? IPA でも JVN でも JPCERT でも NICT でもいいから,ちゃんと旗振りして事態の把握と収拾に努めろよ。 くだらない論文のバッシングで遊んでる暇はねーんだよ! </p><p> 幸いなことに今回のこれは,それほど緊急というわけではなさそうだ。 今のところアカウントを乗っ取られて云々という記事は見当たらない。 そこで,この週末は半日くらい当ててパスワード変更作業を一気に進めてしまうことをお薦めする。 </p><p> (携帯端末のセキュリティ設定やパスワードに関する話は IPA の以下のドキュメントが役に立つ。 </p><ul> <li><a href="https://www.ipa.go.jp/security/ipg/documents/dev_setting_crypt.html">IPA 独立行政法人 情報処理推進機構:情報漏えいを防ぐためのモバイルデバイス等設定マニュアル</a></li> </ul><p> 解説編にはパスワード解読にかかるコストなどが紹介されている。 これによると数字だけの8文字以下のパスワードの解読にかかるコストは1円未満だそうだ。 英字小文字を含めても100円以下。 恐ろしいだろう?) </p><p> ところで,いまだにパスワードを頭の中で管理している人はいませんか? セキュリティ上有効と思えるパスワードを頭の中で憶えておくなんてのは,はっきり言って脳味噌の無駄遣いです。 今すぐ止めましょう。 </p><p> 最近はパスワード管理ツールという便利なものがあります。 是非この手のツールを使って効率的にパスワードを管理することをお薦めします。 個人的には KeePass がお勧めです。 </p><ul> <li><a href="http://keepass.info/">KeePass Password Safe</a></li> <li><a href="https://play.google.com/store/apps/details?id=com.android.keepass">KeePassDroid - Google Play</a></li> <li><a href="https://play.google.com/store/apps/details?id=keepass2android.keepass2android">Keepass2Android Password Safe - Google Play</a></li> </ul><blockquote> “Yes, KeePass is really free, and more than that: it is open source (OSI certified). You can have a look at its full source and check whether the encryption algorithms are implemented correctly.” <br/>(via “<a href="http://keepass.info/">KeePass Password Safe</a>”) </blockquote><p> そして Flattr のアカウントを持っている貴方は是非 <a href="https://flattr.com/thing/291318/KeePass">KeePass に micro-donation</a> を! </p><p> KeePass と KeePassDroid/Keepass2Android は Dropbox 等のクラウドストレージを使うことでデータベースファイルの同期をとることができます。 データベースファイルは暗号化すること(<a href="http://www.gizmodo.jp/2014/04/0403_dropbox_5.html">クラウドストレージにプライバシーはない</a>と思った方がいい)。 もちろん鍵ファイルをクラウドに上げてはいけません。 </p><p> パスワード変更は計画的に。 良い週末を。 </p><p> しかし,今回の問題で OpenSSL に全く関係ない Microsoft が被害なしってのが皮肉というか何というか... </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4274065731/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/515K64RSM1L._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4274065731/baldandersinf-22/">OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―</a></dt><dd>John Viega Matt Messier Pravir Chandra 齋藤 孝道 </dd><dd>オーム社 2004-08</dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4274065421/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4274065421.09._SCTHUMBZZZ_.jpg" alt="マスタリングTCP/IP SSL/TLS編"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4774163856/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4774163856.09._SCTHUMBZZZ_.jpg" alt="iOSアプリエンジニア養成読本[クリエイティブな開発のための技術力/デザイン力/マインドを養う! ] (Software Design plus)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797350997/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797350997.09._SCTHUMBZZZ_.jpg" alt="新版暗号技術入門 秘密の国のアリス"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4627847610/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4627847610.09._SCTHUMBZZZ_.jpg" alt="Javaで作って学ぶ暗号技術 - RSA,AES,SHAの基礎からSSLまで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797375361/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797375361.09._SCTHUMBZZZ_.jpg" alt="Xcode 5 完全攻略"/></a> </p><p class="gtools">by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a> , <abbr class="dtreviewed" title="2014/04/11">2014/04/11</abbr></p></div>