エントロピーについて話したいですか? 私は望んでいませんが、今週の最も重要なニュースの1つ(そして驚くべきことに、 Threatpostで最も人気のあるニュース )は彼女に関するものなので、必要です。 より正確に-乱数を生成する問題を解決する際の印象的な(後に反論されない場合)突破口について。 テキサス大学の研究者であるデビッド・ザッカーマンとエシャン・チャトパディヤの科学的研究は、低品質の2つのソースに基づいて高品質の乱数を生成できることを証明しています。 より正確には、そのような機会は以前のものでした-例えば、約10年前、ベルギーの数学者ジャン・バーゲインによって示されました。 Bourgainの作業における問題は、これらの「非常に高品質ではない」ソースに対して、実際には、エントロピーの部分にそれぞれ非常に高い要件が課されることであり、彼の研究は純粋に科学的な価値があった。
ただし、この場合、値は非常に実用的です。単純な場合、新しいジョブを使用すると、乱数を迅速かつ安価に取得でき、生成アルゴリズムの脆弱性により暗号化された通信が解読される可能性が低くなります。 2つのソースの主な要件は、それらの間に相関がないことです。 一般に、科学的な面からの良い(理解するのは非常に困難ですが)ニュースは、暗号化だけでなく暗号化にも適用される可能性があります。 一般的に、科学研究に対する反応は非常に肯定的ですが、この記事でBBCが正しく指摘しているように、この研究は根本的に新しいものを提供していません。 ただし、既存の乱数生成方法の品質と速度は改善できます。
以前のダイジェストリリースはtagで入手できます。
マイクロソフトがWi-Fi Senseテクノロジーを削減
ニュース 。 TechNetでの発表 。
一般的に、Wi-Fi Senseテクノロジーは優れた機能を提供します。 パスワードを使用せずに、友人や同僚に既知のWi-Fiネットワークへのアクセスを許可できます。 デフォルトでは、Windowsはこの情報をOutlookおよびSkypeの連絡先と自動的に共有します。数回クリックすると、Wi-FiをFacebookの友人と共有できます。 一般に、それは非常に正常な機能であり、実際には存在しない場所で問題を解決します。 数人の友人にWi-Fiを配るのに問題はありません。 たとえば、レストランの訪問者にパスワードを渡すことははるかに困難です。
それはともかく、昨年マイクロソフトはユーザーとメディアからこの機能に対する多くの「愛」を受けました。 ただし、Windows 10で情報を収集するという点で他の「改善」を背景に、Wi-Fi Senseはケーキの最大の桜になりました。 とにかく、2014年4月にWindows 10より前にテクノロジ自体が登場しました。 それから誰も彼女に注意を向けませんでした。 一般的にはうまくいきませんでした。この機能はまれにしか使用されなかったため、今週マイクロソフトはこの機能をキャンセルし、有名なオープンホットスポットとの自動接続の可能性を制限しました。
このような「改善」についてマイクロソフトを批判することはどれほど合理的ですか? 一方では、Wi-Fi Senseの例は、ユーザーが自分に関する情報の配布を制御することがますます困難になっていることを示しています。 個人的にはSkypeの連絡先に誰もいません。また、特にホットスポットへのアクセスを共有するために、自分のことを何も話したくない人の約半数です。 一方、オンラインサービスの品質を向上させ、新しい技術を開発するには、ユーザー情報の収集が本当に必要です。 マイクロソフトだけでなく、誰もがこれに取り組んでいます。たとえば、私のスマートフォンが朝夕に仕事や家に向かう途中で渋滞を報告するのは非常に普通です。 彼は私がどこに住んで働いているかを正確に知っているからです。
これらの技術の開発は、ユーザーとオンラインサービスおよびプログラムの開発者との関係を必然的に変化させます。 どのくらい正確かはあまり明確ではなく、情報の収集を制限することはおそらく間違っています。新しいテクノロジーを開発することはより困難になります。 おそらく、私が提供したい唯一のことは、ユーザーがどの情報をどこで提供するかを決定する権利です。 少なくとも-何がどこに向かっているのかを知ること。 Wi-Fi Senseはプライバシーに関する議論の前向きな犠牲者であることがわかりました。長い訴訟や厄介な法律はありませんでした。 ただ、実験的な機能からの損失は良いことだということを、一般の人々がマイクロソフトに明らかにしただけです。
オープンソースのアーカイバ7-Zipで脆弱性が発見され、クローズされました
ニュース 。 研究
オープンソースプロジェクトの脆弱性は、問題がどこから発生し、どのように修正されたか、特定のコード行までいつでも分析できるという点で、良い(悪い、悪い言葉)です。 Cisco Talosリサーチユニットの専門家は、UDF形式の7-Zipアーカイバーが正しく機能しないことを発見しました(誰もが覚えているわけではありませんが、これは書き換え可能なCDの標準であり、後でさまざまな種類のDVDに適用されます)。 このフォーマットの特徴は、同じディスク上で複数のパーティションを使用できることです。 判明したように、この瞬間は、アーカイバがバッファオーバーフローを処理し、任意のコードを実行する機会が発生する処理中に、UDF形式で準備されたイメージを作成できます。
オープンソースの脆弱性は、問題の規模を評価するのが非常に難しいという点であまり良くありません。 この脆弱性はHeartbleedとはほど遠いですが、多くのプログラムや、7-Zipコードを何らかの方法で使用するデバイスでさえ影響を受ける可能性があります。 アーカイバの最新の16番目のバージョンにアップグレードすることをお勧めします。
他に何が起こった:
数百万のLinkedInパスワード(ただし、2012年に盗まれた)を含むデータベースが闇市場に登場しました。このサービスでパスワードを変更することをお勧めします。
デルは 、主にポルノサイトを通じて配布されたモバイルブロッカーの100種類の改変を発見しました 。 なぜ私は驚かないのですか?
Tumblrでは、パスワードを変更することもお勧めします 。
古物:
「ハード-662」
非常に危険な常駐ウイルスで、標準で実行可能な.COMファイルに書き込まれます。 月曜日の18.00に「ハードデイナイト!」というテキストが表示され、使用可能なすべてのドライブの最初の50セクターが消去されます。 int 21hをフックします。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 69ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。