ゼロデイ脆弱性の価格表、秘密の攻撃コードはいくらか?
フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。
Adobe Reader | $5,000-$30,000 |
Mac OSX | $20,000-$50,000 |
Android | $30,000-$60,000 |
Flash,Java Plugin | $40,000-$100,000 |
MS Word | $50,000-$100,000 |
Windows | $60,000-$120,000 |
Firefox, Safari | $60,000-$150,000 |
Chrome, IE | $80,000-$200,000 |
iOS | $100,000-$250,000 |
Webセキュリティの新刊出します。イベントやります。
「めんどうくさいWebセキュリティ」という本を出します。内容はタイトルの通り、日々めんどうくさくなっているWebのセキュリティについて整理した一冊です。著者はMichal Zalewski氏で、私は日本語版の監修を務めました。
本書の発売を記念して、同時期に出版する「Bugハンター日記」の監訳を担当したLAC新井さんと一緒に、翔泳社で『BugハンターとめんどうくさいWebセキュリティ』という”ハリーポッターと賢者の石”みたいな名前の出版記念イベントを7月14日に秋葉原のデジタルハリウッド大学でやります。イベントの司会は元祖Bugハンターの三輪さんという豪華っぷりです。
無料です。是非ご参加下さい!
イベント紹介ページの写真が私だけ浮かれた感じですいません…。真面目な写真と両方送ったら、「デレデレしたほう使わせていただきますネ!」というお返事が。ちなみに、ロシアに行ったときの船上パーティーで両端にロシア美女を並べてるのを切り取ったデレデレ写真です。
- めんどうくさいWebセキュリティ
- 発売元: 翔泳社
- 発売日: 2012/06/19
「md5crypt() はもうセキュアじゃない」って作者が言ってる
「md5crypt() でパスワードを守るのはもう安全じゃないよ」と、作者のPoul-Henning Kamp氏が声明を出しています。
md5cryptパスワードスクランブラーは、1995年に作成されて、当時は十分に強力な保護機能を発揮していましたが、もはや現在は十分ではないので、他のパスワードスクランブラーに移行してくれと懇願しています。
最後に「And thanks for using my code.(私のコードを使ってくれてありがとう。)」って言ってます。作者自身は新しいのは作らないから、SHA-2的な何かがいいんじゃない?ってぐらいで特に具体的なものは示されていませんが、皆さん他のに移行しましょう。
イラストがdankogai氏似
- 注:MD5のことではなく、md5crypt()のことです。
ワイルドカードDNS - xip.io
東商 情報セキュリティセミナーで登壇
LinkedInから650万パスワードが漏えい、すぐ変更を
一気にニュースになっていますが、LinkedInのパスワード(saltなしのSHA-1ハッシュ)が漏えいして、単純なパスワードの多くがクラックされている可能性があるとのことです。
ユーザーの方はパスワードの変更かリセットをしておきましょう。