1bitずらしたドメインを取得してトラフィックを盗み見る方法

7 hours 4 minutes ago
PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | インターネット | Windows |

関連ストーリー:
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
KRACK脆弱性の影響は大したことない? 2017年11月12日
Tim Cook曰く、Apple製品にバックドアはない 2015年10月26日
米アイオワ州、運転免許証として利用可能なモバイルアプリを提供する計画 2014年12月14日
米企業が堂々と発売する「スパイウェア入りスマートフォン」 2014年03月24日
60 m 先からスマートフォンへの文字入力を検出する方法 2011年11月09日

nagazou

1bitずらしたドメインを取得してトラフィックを盗み見る方法

7 hours 4 minutes ago
PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | インターネット | Windows |

関連ストーリー:
Reddit従業員のアカウントが奪取されデータ漏えい。SMSを使った2要素認証が突破される 2018年08月03日
KRACK脆弱性の影響は大したことない? 2017年11月12日
Tim Cook曰く、Apple製品にバックドアはない 2015年10月26日
米アイオワ州、運転免許証として利用可能なモバイルアプリを提供する計画 2014年12月14日
米企業が堂々と発売する「スパイウェア入りスマートフォン」 2014年03月24日
60 m 先からスマートフォンへの文字入力を検出する方法 2011年11月09日

nagazou

米海軍によるBitmanagement製ソフトウェア不正使用をめぐる裁判、控訴裁判所は不正使用ありと判断

8 hours 11 minutes ago
headless 曰く、やや旧聞となるが、ドイツ・Bitmanagement Softwareが米海軍にソフトウェアを大量に不正コピーされたと訴えている裁判で、二審の連邦巡回区控訴裁判所は不正使用があったと2月25日に判断している(TorrentFreakの記事、 裁判所文書: PDF)。 問題のソフトウェアは3D地理データを視覚化する「BS Contact Geo」というもので、Bitmanagementは海軍が38台分のライセンスで数十万台のPCにインストールして著作権を侵害したと主張している。一方、海軍側はライセンス数が同時使用数であり、著作権侵害はしていないと反論。一審の連邦請求裁判所では、Bitmanagementが数十万台のインストールを承認していたと判断し、訴えを棄却している。 控訴裁判所では連邦請求裁判所の調査結果に異論はないとしつつ、海軍が同時使用ライセンス数を守っていたかどうかを考慮していない点を指摘する。ライセンス条件となっている同時使用数の追跡を行っていなかったという指摘に海軍は反論しておらず、海軍に著作権侵害の責任があると判断。一審判決を破棄して連邦請求裁判所に差し戻し、損害額を算定するよう命じた。

すべて読む | YROセクション | 海賊行為 | IT | アメリカ合衆国 | 軍事 | 法廷 | ソフトウェア | スラッシュバック | 著作権 |

関連ストーリー:
元NASA宇宙飛行士マーク・ケリー氏、米上院議員に当選 2020年11月06日
米軍のTwitchチャンネル、怪しい賞品による入隊勧誘が禁じられる 2020年07月19日
米海軍、UFO映像を正式に公開 2020年04月29日
米海軍によるソフトウェア数十万本の不正使用を訴えた裁判、原告側がライセンス本数を超えるインストールを承認していたとして棄却 2019年09月30日
米海軍による数十万本のソフトウェア不正使用で訴えられた米政府、ライセンス違反はしていないと反論 2016年11月18日
米海軍、海賊版ソフトウェアの使用で訴えられる 2016年07月23日

nagazou

みずほ銀行で7日に再々トラブル発生。プログラム更新中にエラー発生

9 hours 2 minutes ago
みずほ銀行で7日、先月の28日からの8日間で3回目となるトラブルが発生した。公式サイトによれば、カードローン取引のプログラム更新中にエラーが生じたことから、7日9時00分から13時30分の間はATM・みずほダイレクトでの定期預金取引の一部停止を行ったとしている(みずほ銀行、日経新聞)。 これに伴いネットバンキングで取引不成立が9件ほどあった。個別に連絡して対応を行ったとしている。コールセンターには問い合わせも発生したという。前回のようなキャッシュカードや預金通帳が取り出せなくなる事態は起きなかったという。2月28日の件では定期預金のデータを移行をきっかけとして大規模なATM障害が発生した。 このトラブルにより、同行は以前から計画していた21年1月末時点で1年以上記帳がない口座に関しては、デジタル口座であるみずほe-口座に段階的に切り替える計画を当面見合わせるとする発表を5日に行っていた(「みずほ e-口座」への自動切替時期の見直しについて[PDF])。

すべて読む | ITセクション | バグ | IT | お金 |

関連ストーリー:
みずほ銀行のATM障害、「デジタル通帳」への移行作業中に発生 2021年03月05日
みずほ銀行の一部ATMで再びトラブル 最大3時間使えず 2021年03月04日
みずほ銀行のATM障害、19年稼働の新システムに問題はなし。みずほが全責任を負う 2021年03月02日
みずほ銀行で一時期ATMやネットバンクの障害発生。カードが取り込まれるなども 2021年03月01日
みずほ銀行、顧客の取引情報のデータ販売を行う事業を開始。11月中にも 2020年11月12日
みずほ銀、紙の通帳発行に1000円の有料化。新規口座を対象に繰り越し時も。1年以上未記帳既存口座はデジタル化へ 2020年08月21日

nagazou