アーカイブ

2021年02月

カテゴリ:
最近関西のセキュリティ界隈がもりあがっていて楽しそうですね。
関西セキュリティのイベントをご紹介。

29SEC~肉節句~ 情報セキュリティの火を絶やさないイベント - パスマーケット 2021/2/26(金) 17:00~ 


肉の日といいながら肉の日じゃないのがツボった(笑)

カテゴリ:
いろいろな既存のコードやプログラム同士をつなぐためには、一定のルール=お作法が必要で、
一定のルールをプロトコルといいます。

プロトコルは和訳すると礼儀作法とかそいういう意味なのでそのまんまですね。

有名なところだとREST APIとかOAuthとか。
企業が独自でつくったアプリケーションとそれ以外をつなぐためのプロトコルを狙った攻撃は
そのアプリケーションを作って使用している企業自身が防がなければなりません。

何かしらのプロトコルに従う仕組みづくりをIT用語で「依存関係」というのであって、
MSが企業に依存しているわけでも、企業がどこかに依存しているという意味でもありません。



依存関係かくらん攻撃とは、
このプログラムの依存関係を持ちいてコードを置き換えることをさすため、
置換攻撃ともいうそうです。

今回発見された手法は、
01)プライベートライブラリ名をしられてしまうと、そのライブラリ名と同じパッケージを「外部」でつくられる
02)その外部のパッケージをビルド時にコンパイラが優先して読み取ってしまう

というもの。

考えうる対応は
・ライブラリ名に気をつける
・コンパイラの参照設定を厳密に行う
というところでしょうか。

カテゴリ:
Facebookでこの記事を載せたら思ったより反応が多かったのでブログでも。
どうやったら『なんか怪しそう』と思えるか。
 

普通のエンジニアだと説明できないそうです。
01.どうやったら初心者が『怪しい』と思えるか、引き返せるか
02.特別なソフトを使わない本当の公式サイトか確認する方法
03.万能で完全な手段はないこと

すべてを叶える万能策がこの世にないため答えは明確でもなく、ひとつでもないですが、
ここを読んでいる方は説明をご自身で短文でもいいので書いてみてから続きをお読みください。

※セキュリティが本職の人は話せないとアウトですよ~

このページのトップヘ

見出し画像
×