2011

『猛暑でサーバー障害、そうなる前に確認すべきこと〜データ復旧.comに聞く』(Internet Watch)，夏に障害が増える主な原因としては、気温上昇による熱、急な電源断、お盆休みのシステム停止による障害の顕在化の3つがあるという。 (snip) データセンターであれば温度や通気が管理されているが、実際の企業では百人以上がアクセスするサーバーがオフィスの片隅に置かれていることもままある。オフィスのレイアウトによっては、通気が悪くサーバーの熱がこもることもある。場合によっては、エアコンが止められてしまうことまである。「サーバーのファンが故障していたり、通気孔にホコリが詰まっていたりすることもあるので、まずはサーバーと設置状況を実際に目で確認しておいたほうがよいでしょう」（岩谷氏）。 (snip) 急な電源断に備えるには、UPSを導入するのが定石だ。ただし西原氏は、「UPSはバッテリーで長時間動作させるようにはできていません。あくまで正常にシャットダウンさせるための機器なので、そのための設定をしてください」と注意を呼びかける。 もうひとつ、夏に特徴的な障害として、お盆休みで停止したシステムが休み明けに起動しなくなるケースがあるという。サーバーに物理障害などがあっても、障害個所に触れない限りは問題が出なかったりするのだが、それがシステムの停止や起動など大きな動作をさせたときに表面化するわけだ。

『無線LANのWPA/WPA2-PSKを総当たりで突破する「Pyrit」の実際の解析速度と自衛手段について』(GIGAZINE)，まず一般人は特にそうしなければならないという強力な理由がない限り、パスワードには最も簡単で手抜きなものを使う傾向があり、たとえばFacebookが抜き去るまでは世界最大のソーシャルネットワークであったMySpaceの場合、必ず1文字は数字を入れなければならないとしたところ、3万4000もの突破されてしまったアカウントの大部分が既存の英単語に「1」を足しただけというものだったそうです。 同様にしてWPA/WPA2-PSKの場合も「どのようなパスワードを設定しているか？」というのがそのまま突破されるまでの強度になっており、PMK（Pairwise Master Key＝ペアマスター鍵)の組み合わせをあらかじめ計算しておくことによって、数分から数週間で突破するということが可能になるわけです。 (snip) 例えば、NIST（アメリカ国立標準技術研究所）の作成した文書ではパスワードの品質についての議論が行われており、それによると「例えばユーザが自分で 8 文字のパスワードを考えた場合、それがどのように選ばれるかにより、エントロピー（ランダムさの程度）は 18-30 ビットの範囲に収まる」「24 ビットのランダムさというと、無作為に選んだ 3 バイト、あるいは無作為に選んだ 5 文字の大文字アルファベット、あるいは 4000 語の中から無作為に選んだ 2 単語に相当する」「このエントロピーは、暗号化キーとして安全だと通常考えられるレベルより遥かに低い」となっています。 (snip) 無線LANのWPA/WPA2が作られた当初のマシンパワーでは、毎秒100回未満の総当たりしかできず、理論上は50％の確率で突破するためにWPA-PSKの場合は約2年かかるということになっていました。対してこのGPUを使った「Pyrit」の場合は当時の想定の約100倍まで速度を上げることで50％の確率で突破するための時間を2日〜3日までに短縮することができます。 (snip) 「Pyrit」の作者は3年前の「無線LANセキュリティの黄昏のはじまり」という意味のエントリーにてこのことを警告しており、パソコンのハードの進化によって、今までは理論上の「想定外」に過ぎなかった危機が、今まさにそこにある危機に変わってきた、ということです。「WEPじゃなくてWPAだから大丈夫！」ではなく、「WPA/WPA2でもちゃんとパスワードを設定していなければ安全ではないのだ」ということです。

『業務委託先の元社員の逮捕について』(ソフトバンクモバイル)，2011年5月25日に発生した関西地域（大阪府、兵庫県、京都府、滋賀県、奈良県）における通信障害について、本日、当社の業務委託先の元社員が、監視および制御を行うサーバーを経由して基地局とネットワークセンターを結ぶためのATM伝送装置の回線設定データを改ざんし、約7万2700人の利用者に通信障害を発生させた容疑で逮捕されました。こういった(重要そうな)業務も委託1なのか… しかも，単独作業? ↩︎

『マイクロソフトのPowerPointに反旗を翻す「アンチパワポ政党」』(GIGAZINE)，2003年、数値データを視覚化することが得意な専門家のEdward Tufte氏は、PowerPointが人々の思考能力を低下させたという主張を書いたエッセイ「The Cognitive Style of PowerPoint」を発表。また、2010年にニューヨーク・タイムズが、米軍が提示した意味がよく分からないプレゼンテーション資料を前にして「我々の敵はPowerPointだ」と記事に書くなど、この政党以外にもPowerPointの存在を苦々しく思っている人は少なからずいるのかもしれません。 (snip) 「我々が目標としているのは、PowerPointを駆逐することではありません。多くの人が、プレゼンテーションの手段としてPowerPoint以外のものを知らない現状を打破したいのです」とTufte氏はコメントしています。

『ISC BIND にサービス運用妨害 (DoS) の脆弱性』(JVN)， ISC BIND には、細工された DNS パケットを処理することで named プロセスが終了する、サービス運用妨害 (DoS) の脆弱性が存在します。 『ISC BIND 9.8 系にサービス運用妨害 (DoS) の脆弱性』(JVN)， ...