Security

2017年01月16日

自称完璧なマイナンバー保護技術『セキュリティフォント』 その3

自称完璧なマイナンバー保護技術『セキュリティフォント』 その1

自称完璧なマイナンバー保護技術『セキュリティフォント』 その2

その3は、セキュリティフォントについて紹介されている動画があまりにもひどかったので、そのハッキング方法について、実証するコーナーです

前回紹介した論文ではちゃんとした暗号化技術に一応なっていました。

ところが、紹介されている動画を見ると…。


文字にセキュリティをかけて内部漏洩まで防ぐ _ security font セキュリティフォント

セキュリティフォント(v1.5) - YouTube

ただの、シーザー(換字)暗号(rot13)です。
いわゆる、あまりにも単純すぎるので誰も使わない暗号技術です。

動画を参考に模倣ページを作ったので、3分ハッキングを紹介します。

1つ目の動画の致命的なのは、ハッシュ関数にバグがあるようで、変換先が重複してしまう文字が現れてる事です。

MD5 - Wikipedia
要するに2004 年に対衝突耐性の脆弱性があることがわかって廃止されたMD5と同じ脆弱性があるのです。
|。・ω・) 。o (すごい、2100年前の暗号化技術だと思ったら、12年前の脆弱性も組み込んで最新に近づけてるのですね!)
7(0x37)Ě (0x11A)
2(0x32)o (0xF8)
6(0x36)e (0xE8)
1(0x31)ę (0x119)
5(0x35)× (0xD7)
8(0x38)Ċ (0x10A)
9(0x39)U (0xDA)
7(衝突/0x37)ŗ  (0x157)
スペース(0x20)
u (0x75)


sfc1
画面は Firefox です、右クリックして、範囲選択して、要素を調査するとWebフォントが使われていることが分かります。


sfc2
URLも表示されるので、これを直接ダウンロードします
(ちなみに、IEの場合、ダウンロードしなくても、表示したパソコンのキャッシュファイルとして残ります)

sfc3
保存したら、これを ttf に変換します

sfc4
変換完了

sfc5
メモ帖を起動してフォントをダウンロードしたやつに変えます

sfc6
表示できました。
コピペしたテキストと、Webフォント。セットに保存しておけばいくらでも復号できますね・ω・

まぁ、単純に数字だけなら、画面キャプチャすれば終わりなんですが、複雑な文章であっても、フォントファイルが簡単に入手できる場所にあるので、セットで保存すれば問題ないわけです。

手間だけかけた割には、単に、扱うのがめんどくさくしただけの技術で、セキュリティでもなんでもありません。
まぁ、ハッキングスキルの全くない一般人相手だったら「おー。スゲー!」と思わせることができるので、
マジックみたいなセキュリティ技術入れてるんだぜ!ってドヤ顔できるかもしれませんね。


経緯を推測すると…。

・まともだけど、ちょっとめんどくさい暗号化技術を考えさせて特許を取った。
・それを元に、A・Tコミュニケーションズ株式会社 と言う会社に作らせた。
・A・Tコミュニケーションズ株式会社 が依頼主をごまかして適当に作ったか、まともにセキュリティを考えられる技術者が居なかったため、換字暗号として実装した。
・動画でセキュリティフォントとして公開して(ただのシーザー暗号だったため)、大騒ぎになった。



blackwingcat at 18:30|PermalinkComments(0) | TrackBack(0)

2017年01月12日

Java 6 update 131 build 32 について その2

Java 6 update 131 build 32 について

公開している Java のインストーラー差し替えました

以下の変更を加えました

・インストール時にアドオンレジストリを追加

・インストール時に設定レジストリを追加(Java 6は自動で作ってくれないらしい…設定がないとあろうことか『システムを変更する権限がありません』と言われる…だれだ、こんなクソ仕様にしたのは!)

・インストール時にOCX登録を実行

・インストール時にJAVA\JRE6_131 フォルダにアンインストール用の uninstreg.reg と uninstocx.cmd を生成


オラクルがJava の更新でやらかしたのをこっそり修正

まだ、ちょっとおかしい所があるので、修正する予定です。


blackwingcat at 18:30|PermalinkComments(0) | TrackBack(0)

2017年01月09日

我が家にも【ご注意!!OFFICEのプロダクトキーが不正コピーされています。】が来ました

ご注意!!OFFICEのプロダクトキーが不正コピーされています。 というメールが来ました - Microsoft コミュニティ

気になったので、SPAMメール確認したらうちにも来てましたw

Return-Path:
    <support@microsoft-securityprotection-support.com>
Received:
    from 190.236.57.84 (unknown [190.236.57.84])
Authentication-Results:
    spf=none smtp.mailfrom=support@microsoft-securityprotection-support.com;
    sender-id=none header.From=support@microsoft-securityprotection-support.com
Received:
    from unknown (HELO 78cpo) ([24.48.174.157])
    by 190.236.57.84 with ESMTP; Sat, 14 Jan 2017 14:44:49 -0500
Message-ID:
    <002701d26e9e$15a9bfa0$1830ae9d@PC0278cpo>
From:
    "support@microsoft-securityprotection-support.com" <support@microsoft-securityprotection-support.com>
Subject:
    ご注意!!OFFICEのプロダクトキーが不正コピーされています。
Date:
    Sat, 14 Jan 2017 14:39:24 -0500
MIME-Version:
    1.0
Content-Type:
    text/html;
    format=flowed;
    charset="utf-8";
    reply-type=original
Content-Transfer-Encoding:
    8bit
X-Priority:
    3
X-MSMail-Priority:
    Normal
X-Mailer:
    Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE:
    Produced By Microsoft MimeOLE V6.00.2800.1106

inetnum: 190.236/16
status: reallocated
owner: PE-TDP-GRS
ownerid: PE-PETD2-LACNIC
responsible: Telefonica del Peru
address: Calle San Felipe 1144 - Surquillo,, 1144,
address: LI34 - Lima -
country: PE   → (ペルー)
phone: +51 1 2106771 []
owner-c: GRT2
tech-c: GRT2
abuse-c: GRT2
created: 20110810
changed: 20110810
inetnum-up: 190.236/15
nic-hdl: GRT2
person: Gestion Dir. IP Telefica del Per
e-mail: gestionip@TELEFONICA.NET.PE
踏み台はペルーのメールサーバー

# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=24.48.174.157?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
# New Wave Communications NEW-WAVE (NET-24-48-161-0-1) 24.48.161.0 - 24.48.175.255
CMA CABLEVISION CMA-MANSFIELD (NET-24-48-174-0-1) 24.48.174.0 - 24.48.174.255
アクセス元はアメリカ合衆国ですね

続きを読む

blackwingcat at 12:30|PermalinkComments(0) | TrackBack(0)

2017年01月03日

自称完璧なマイナンバー保護技術『セキュリティフォント』 その2

自称完璧なマイナンバー保護技術『セキュリティフォント』 その1

その2は、全容が分かったので、記事に対してツッコミを入れるコーナーです


.轡好謄狷各に伴うシステム改修の工数が少ない
秘密鍵・公開鍵の仕組みを使ってるので、プラグインみたいなもの導入するだけなので、導入だけなら工数は確かに少ないと思う。


古いシステムや特殊なOSに対し、容易に対応が可能
このため、判別値cpと判別値cとが合致していない場合には、「無効」との認証結果のみを表示し、アウトラインフォントデータm’が示す形状の文字を表示 しないようにすることで、これを用いて作成される文書の流出を防止して安全性を高めることができる。さらに、このようにすれば、セキュリティフォント認証 装置30の処理能力が非力な場合でも、高速表示が可能となる。
と言うあやしいことが書いてるので、この点については疑わしい。
恐らく、『常識内で古いシステムに対応できる』ということだろう。
多分、汎用言語で書くから、特殊なOSに対応できるって意味なんだろうけど、実際は対応できるけど、金かかるのは知らんって話だと思う。


1人僖襦璽襪了斗擁儿垢僕動廚紡弍可能
アウトラインフォントで、データが生成されるため運用ルールの変更が容易に対応できるというよりも、運用ルールがかなり限定される。限定されたルール内でなら変更は簡単って言うなら分かる。
これは、パラメータ変更で、フォントデータの作成ルールの仕様変更が簡単っていう意味なのかもしれない。
どちらにしても、利用者にはメリットは存在しない。


データ長が変わらず、かつ暗号化したまま運用できるので、サーバに負荷がかからない
一体いつから、『元のデータと比べてデータ長が変わらない』と錯覚していた?
である。

システムの構築方法によって変わるが
1. 該当データは画像データになるので当然サイズが変わる。
2. 該当データはテキストになるが、アウトラインフォントデータとの組で管理しなくてはいけない。

要するに、運用者側に負担がかかる。
もしくは、汎用の管理アプリが独自に対応すれば負荷はほとんどかからない。

と言うことだろう


ゥ僖好錙璽匹療靈僂砲茲襦屬覆蠅垢泙傾坩戞廚剖い
閲覧による剽窃ができなくなるという意味では正しいが、運用に手間がかかれば、絶対に、アプリで復号したデータをどこかにメモったりするケースが出てくる。要するにこの場合、セキュリティ教育が重要になる。
|。・ω・) 。o (なるほど、そこで儲けるんですね!)

安いシステムを導入して、その結果ユーザーに不便を強いた結果、セキュリティリテラシーの低い所から漏えいするのでは意味がない。

例えるなら、パスワードの変更を毎月強いた結果、ユーザーが簡単なパスワードを使うようになったり、附箋でメモするようになったというのと同じだ。


Ε織ぅ爛好織鵐廚GPS情報も埋め込むことが可能
エンコード・デコードの処理による。確かに、任意のデータを埋め込めるけど、最初から規格化されていないと汎用的に扱えないためあまり意味がない。逆に規格化してるのならマイナンバーにタイムスタンプやGPS情報うめこむのに意味があるようには思えないが・ω・



結論:
運用用法を間違えなければ、セキュリティ的には問題ないが、導入する企業に安いというエサで釣って、利用者に不便を強いて、アプリ開発とセキュリティ教育でひと儲けするソリューション。



blackwingcat at 12:30|PermalinkComments(2) | TrackBack(0)

2017年01月02日

自称完璧なマイナンバー保護技術『セキュリティフォント』 その1

企業のマイナンバーを完璧に保護するA・Tコミュニケーションズの「セキュリティフォント」 - 経済産業新報 | 経済産業新報
マイナンバーなど重要な番号情報のところだけをセキュリティフォント化(暗号化)する。「デジタルデータを暗号化するのは誰でも出来るが、フォント 自体が特殊な上、インターネット上に流通していない専用フォント(豊泉書体)を使ってマイナンバーを暗号情報に変えるため、改ざんが非常に困難となるわけ です」(同)。

運用は至って簡単だ。セキュリティフォントを作るエンコーダーと解除するデコーダー、専用のセキュリティフォントの3つのツールを企業向けにカスタ マイズして導入すれば、すぐに利用できる。導入費用は管理する人数にもよるが1データあたり100円程度の初期投資で導入できるそうだ。


セキュリティフォントの特長は、.轡好謄狷各に伴うシステム改修の工数が少ない、古いシステムや特殊なOSに対し、容易に対応が可能、1人僖襦璽襪了斗擁儿垢僕動廚紡弍可能、ぅ如璽芯垢変わらず、かつ暗号化したまま運用できるので、サーバに負荷がかからない、ゥ僖好錙璽匹療靈僂砲茲襦屬覆蠅垢泙傾坩戞廚剖い、Ε織ぅ爛好織鵐廚GPS情報も埋め込むことが可能、といった他のセキュリティ技術にはない特異な点がある。

これの記事を見ただけだと専用フォントでエンコードしただけの仕組みに見える

.轡好謄狷各に伴うシステム改修の工数が少ない
|。・ω・) 。o (文字列何かに置換するの?)

古いシステムや特殊なOSに対し、容易に対応が可能
|。・ω・) 。o (MS-DOS とかにも対応…ISH ?)

1人僖襦璽襪了斗擁儿垢僕動廚紡弍可能
|。・ω・) 。o (運用ルールに依存しない…ISH ?)

データ長が変わらず、かつ暗号化したまま運用できるので、サーバに負荷がかからない
|。・ω・) 。o (データ長固定、テキストのまま運用…ISH ?)

ゥ僖好錙璽匹療靈僂砲茲襦屬覆蠅垢泙傾坩戞廚剖い
|。・ω・) 。o (ISHの生のデータだと読めないって話 ?)

Ε織ぅ爛好織 プやGPS情報も埋め込むことが可能
|。・ω・) 。o (不可情報の埋め込み…ISH ?)


|。・ω・) 。o (これ、なんてISH ?)

# ISH は 1987年位から、草の根ネットで、バイナリデータをテキストにして、付加データを追加して
エンコードして、テキスト通信だけでファイルをやり取りできるようにした、 和製の UUENCODE の
拡張規格


続きを読む

blackwingcat at 12:30|PermalinkComments(1) | TrackBack(0)

2016年12月20日

November, 2016 Security and Quality Rollup for .NET Framework 3.0, 4 on WES09 and POSReady (KB3189598) について

2016年12月のWindows Update と2000/XPSP2との関係
XP版の Windows Update の定義見て見ると、中に

November, 2016 Security and Quality Rollup for .NET Framework 3.0, 4 on WES09 and POSReady (KB3189598)

と言うのがあったので調べてみました。
展開してみると

ndp40-kb3189017-x86.exe
ndp30sp2-kb3188734-x86.exe

が入っています。
どうやら、これで .Net 4.0 と .Net 3.x 系の累積的な更新をひとまとめにしてるみたいです
(この2つ自体は10月の更新プログラムと同一)



blackwingcat at 08:30|PermalinkComments(0) | TrackBack(0)
livedoor プロフィール
My PC
SNOWSTORM(P5E3 Premium)
OS:Win2000AdvancedSv
CPU:Xeon(4Core) 2.83G
Memory:8G
VGA:NVIDIA GTX 780Ti
HDD:SSD(32G)
    +SATA(540G+180G)
Crystal SCR:244765
SNOWFOX2(W860CU)
CPU:Core i5-540M(2.53G)
OS:Win2000Pro
Memory:4G
VGA:Geforce GTX285M
HDD:SSD(160G)
Crystal SCR:176460
SNOWMOBILE3(CF-J10S)
CPU:Core i5-2410M(2.3G)
VGA:Intel HD Graphics
HDD:SSD(128G)
Windows2000
Memory:6G
Crystal SCR:133495
SNOWMOBILE(N10Jc/故障)
Windows2000/XP Home
Crystal SCR:38316
SNOWLEO(MA206J/A/休止)
OS:OSX 10.4 +
Windows2000Pro(Solo動作)
Crystal SCR:24061
Windows 2000の セキュリティ対策について
FFR yarai(脆弱性防御)
SymantecEndpointSecurity 11 MR7
Windows Defender
記事検索
訪問者数

    今週のアクセス数

    Win2000お勧め
    お勧め記事
    Twitter Client Mo-Footer
    .NET FrameworkのUninstall
    lolifox 0.3.8.x
    WindowsのシャットダウンTips
    Fox Launcher
    ウィルス感染を手動で見つける方法
    Unknown Hard Errorとサルベージ
    Dependency Walker 日本語化
    Ultra VNC 1.0.6/1.0.8 を日本語化
    IME補完計画
    BSoD(ブルースクリーン)特集
    デフラグ時の4つの心得
    不明なデバイス探し
    SETUPAPI/NTDLLBugFix
    DNSデボルブ用更新[KB957579]
    最新 update.sys!
    4Thread以上のCPU最適化
    Win2000マルチコアで最適化
    Windows 2000の通信速度改善1
    Windows 2000の通信速度改善2
    内蔵簡易FireWallを使う
    ワームに感染しないインストール
    Remote Desktop Client
    IME 辞書 Tips
    Win2000用セキュリティSOFT
    不要なファイルの削除
    Win2000カスタマイズ
    便利なキーボードショートカット
    6月末まで使える体験版セキュリティ

    非対応ハード動作編
    HTC NDIS Driver
    Intel HD Graphic Driver
    VMWare Player 3.1.x
    Conexant HD Audio Driver
    NVIDIA WHQL Driver
    Intel Chipset 最新 INF
    Sentelic Finger Pad Driver
    ATI Legacy Driver 10.2
    AMD Radeon Driver 8〜11
    ATI Ahci/Raid Driver
    Intel SATA AHCI Driver
    D21LC(eMobile)
    USB-WSIM
    UVC カメラ
    Logicool Webcam
    Logicool ゲームパッド
    XBOX360用コントローラー
    Logicool Mouse
    Microsoft IntelliPoint
    iPod Touch/iPhone Driver

    非対応アプリ動作編
    Flash Player 10.3
    Java 6 JRE
    Java 7.0 JRE
    ティルズウィーバー
    Natal Online
    コンチェルトゲートフォルテ
    シルクロードオンライン
    東方幻想麻雀
    IME2010 Installer
    Adobe Reader X for Win2000
    Baidu IME 2.x
    MMORPG ドルアーガーの塔
    Adobe Air for Windows 2000
    Baidu IME
    iTunes 10.x installer
    Evernote 4
    Janetter
    Second Life
    雀龍門
    Media Manager for PSP 2.5a
    .NET Framework 3.5SP1
    ATOK 月額版(2010/2011)
    Leaf 愛佳でいくの!!
    VistaのScreenSaver
    会計ソフト弥生シリーズ 10
    Vegas Movie Studio 9
    EyeBall Chat
    ・CanonPowerShot[Soft/DPP]
    Google SketchUp Pro 7
    dance mixer
    Lismo Port
    DivX
    SONY ScreenSaver
    mixi アプリ
    DivX v7.x
    ニコニコムービーメーカー(動画)
    RC-S330 PaSoRi
    Finale 2009
    ZoneAlarm 8.0
    ルナティア Online
    ストリートギアーズ
    xfy Blog Editor
    Photoshop Elements 7
    Premiere Elements 7
    PowerShell 1.0
    ai sp@ce
    電脳フィギュアARis
    VOCALOID2 ミク・リンレン
    Google Chrome/SRW Iron
    Media Player 10
    ・iTunes 7.6.2を使う方法
    QuickTime 7.5x/7.6x
    foobar2000 9.5.x/9.6.x
    RealPlayer11
    Safari3/4.0
    ShockwavePlayer10/11
    Windows Live Writer
    Live Messenger
    Veoh Web Player / Web TV
    Level-R

    追加機能・カスタマイズ編
    W2K Kernel32 改造計画【BM】
    W2K Update Rollup v2
    XNA/SlimDX
    CPU Core数リミット解除
    OutLook Express 6SP3
    MDAC 2.8 SP2
    GIF/PNGを使えるMSPAINT
    IE5でWindowsUpdate
    MSXML 4.0SP3
    DirectX9.0c(2010/Feb)+拡張
    MS09-062(Gdiplus.dll)更新
    Unicode 制御文字
    Internet Explorer6 Bonus Pack
    夏時間(DaylightSavingTime)
    レジストリバックアップを取る
    IME2007
    Windows Media Bonus Pack
    XPSファイルビューア
    Windows Defender
    文字化け対策(FontLink)
    Meirio(KB927489)
    msconfig
    圧縮フォルダ
    Windows Movie Maker
    IE5.01/5.5/6タブ化
    MediaTypeChanger(EISA構成)
    Win2000 SP4 Support Tool
    kill/tlist with Debugging Tools
    sc.exe with Resource kit
    reg.exe
    TaskTray 256色化
    ISO仮想CD/DVDドライバ
    IE6高速化とWSH 5.7/5.8
    MS Baseline Security Analyzer
    音声認識 API 5.1
    Text Service

    Win2000インストール編
    CF-J10S
    N10Jc
    ThinkPad X200(7454)
    Quad Core/X48/P5E3
    VAIO VGN Type S
    E6850搭載 サポートPC
    Let'snote CF-R6
    MacMini
    Dell LATITUDE D630
    Core i7 + X58 +ICH10R
    790FX + SB750
    Clevo W860CU
    最新コメント
    Categories
    アーカイブ
    Information
    Google広告




    Translate


    このサイトはIE5.x/IE6
    IE5.x Internet Explorer 6.x

    Firefox Firefox ブラウザ無料ダウンロード
    で最適化されています。
    Technorati
    Add to iGoogle
    Amazon GIFTでカンパ

    Donation