2005年07月04日(月) << 前の日記 | 次の日記 >>
これまでの07月04日 編集

■2 Vocal Cancelがウイルスな件について。[http://www.geocities.jp/troj_hirofu/][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

実際には、ウイルスよりもある種さらに質が悪い、スパイウェアだったのだけれども、この作者が、 SoftEther[http://www.softether.com/jp/] の開発にも関わっており、しかも担当したのが、プログラムファイルのリソースデータを暗号化・復号化するプログラムであったことから、 SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について[http://www.softether.com/jp/vpn2/report1.aspx] という事態に繋がった。
そもそも、VPNの様なセキュアさを要求されるソフトウェアに、中身が分からないものを使うのは心配で仕方がないのだけれども、暗号化を担う様なソフトウェアの開発者が、「隠せば安全(Security by obscurity)」な手法を採ったのが不思議だ。
当たり前の事だけれども、実行時に復号化されるということは、展開する方法も展開するための鍵も、配布されているソフトウェアの中に存在するということだ。
つまり、コードを解析するなり、実行中のメモリ内容を解析するなりの手間さえ掛ければ、それを抽出することは可能だ。これは、総当たりで暗号を解くことが時間さえ掛ければできると言っているのとは全く異なる。「やればできる」という話だ。
こういう、本当は秘密でない「秘密」に頼った暗号化は危険だというのが、「Security by obscurity」はいけないという話。秘密の暗号化手法だから安心というのはとんでもない話なのだ。
プログラムの作者が何かを隠して自分の権利を守りたいというのは、まっとうな動機なのだけれども、特にセキュリティに関するプログラムに関しては、そのバランスが非常に難しくなってくる。
この日記では何度も繰り返している気がするけれども、 実行ファイルを実行することはパソコンを自由にさせること[http://www.nantoka.com/~kei/diary/?200506a&to=200506081S2#T200506081S2] なのだ。高度なセキュリティが要求される環境で、安全を確保するためには、実行するファイルは全て信用できるものである必要があるのだけれども、隠されていればその分だけ、信用できるかどうかを判断するのが難しくなっていく。

TROJ_HIROFU.A[http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A]:

日本人の作者の名前が付いたのは初めてじゃないかなぁ。
シマンテックは、 Trojan.Hirofu[http://securityresponse.symantec.com/avcenter/venc/data/trojan.hirofu.html] の様だ。

ソフトウェア制作者が信頼を得ること:

が、「ソースは秘密だけど、信用して使うことができる」ためには必要な様だ。
パッケージソフトウェアでも信用できない会社のものは心配だし、シェアウェアでも広く信頼されて使われているものは多い。
特にセキュアな情報や、センシティブ情報を扱うソフトウェアを作る人や会社は、自分を厳しく律していないと黒く見られただけで不利になる。
スパイウェアを配布したことのある会社が作った製品に、自分の重大なプライバシーを委ねることができるだろうか。失った信頼を回復するのは難しい。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年07月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project