アカウント名:
パスワード:
シェアウェア作者がソフトそのものに罠をしかける(中略)と同質のものと思われていた可能性がある。 (中略) アンチウィルス各社は、正規のウェブサイトからダウンロードするのではなく、どこか 「違うウェブサイト」からソフトをダウンロードし、しかも不正なシリアルを入力しようとする「ユーザー」を積極的に守ろうとしたことになってしまった。
いつもの通り「怖いぞ怖いぞ」と脅すためには真相は曖昧な方がいい
アーカイブに電子署名されているだけではまだまだ不足、っつーことですか?
これ [ring.gr.jp]とかこれ [asahi-net.or.jp]なんかは確かそういうモノだったと思いますが。
ごめん、完全に読み間違えた。 オリジナルサイト側でのファイル差し替えを検出する手法はあるか? という事ね。
それは第三者の認証に頼れば可能です。手元のmd5を認証機関に送り、 その登録日時と適当な鍵を折り込んだ鍵をもらう、とか何とか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
確認できないけど (スコア:3, 興味深い)
Firehandの「そのファイルはうちで配られていたものではない」という主張をMcAFEEやSymantecが崩せないでいる(ように見える)のも、話がすっきりとしない一因になっていそう。
ニセブランド事件については経験が浅いのかな?>ワクチンベンダ各社
Re:確認できないけど (スコア:2, 興味深い)
そういうことではないでしょ?いつもの通り「怖いぞ怖いぞ」と脅すためには真相は
曖昧な方がいいし,恐怖の対象は程度の差がどうであれ,多ければ多いほどいい.
Mac版のNAVなんか,警告しなくていい場面でしか警告を見たことがありませんという
か,入れると邪魔なだけですがそれに気付かずに使っている人は沢山います.必要性
が十分あるWindows版NAVはウイルス定義ファイルの更新ができなくなったので削除し
て久しいですし,NAVが使えていた時期に念のために購入した鉄壁VirusScanに至って
は1年しないうちに定義ファイルのサーバが変わってしまい,更新ができなくされて
しまったのでNAVの前に削除してしまいました.ちょっと調べれば新しいサーバなど
わかるとは思ったのですが,ユーザの利便性よりもコスト削減を優先する会社の製品
など使う気が起きないですし,製品自体がまともと思えませんでしたし.
こんな連中にMicrosoftと同じくらいの税率かけられて毎年更新料払う気もしないん
でAntiVir使ってますが,そういう良心的な会社は利益が上がらないのか日本では正
規品買えなかったりするんですよね.それでまた消費者を馬鹿にする会社がはびこる
無限ルーチン突入…….
# Apple税毎年$100に比べれば何でもマシかも試練.
Re:確認できないけど (スコア:1)
だから、かの会社群は、問題点の技術的な切り分けをまじめにやらないといつ反発を食らうか分からないことは承知していると信じているが。
Re:確認できないけど (スコア:1)
>「そのファイルはうちで配られていたものではない」という主張をMcAFEEやSymantecが崩せないでいる
この2つの事柄を見ていて思うのだが、やはり、
1:
なんでもかんでも保存しちゃうWebArchive(もちろん万人がそれに容易にアクセスできるような)は、欲しい。
なんでもというのは、Newsサイトの「記事」だろうが、バイナリファイルだろうが、という意味。
2:
元データを公開した人が、著作権とかを盾にしてそのArchiveからコピーを削除させる権利は、無いほうが良い。
と思ってしまいます。
-----
発想。
もともと、「バイナリの同一(同値)性を確認するには、チェックサムとかMD5とかのデータが有ればいいよね」
と思ったんですが、「じゃあそのデータの同一性は誰が確認できるの?」と、再帰的な問題を先延ばしにしただけ
であることに気づきました(あたりめーだ)。
で、そうなると、バイナリ本体とMD5のたった1行と(^^;を、いちいち区別しつつArchiveするのは、
それを信頼できる精度で行う仕組みを作ることの困難さから考えて、非現実的かなと。
全部まとめて取ってしまうほうが良さそう。
え?Archveの正しさの保証っすか?
うーんうーん…
----
ま、そこまで言わず、「怪しい」ものに触れないように気をつければいい、という穴熊戦法も
採れますが、それでは今度は、根拠が無くてもFUDによって特定のInternet参加者を干上がらせることが可能になるという
危険かつ非生産的な状況になるだけなんで、それを主な対策として据えるのは変。
(今回のそのソフトの作者がやった(とされてる)ことと同じ。)
Re:確認できないけど (スコア:1)
アーカイブに電子署名されているだけではまだまだ不足、っつーことですか?
これ [ring.gr.jp]とかこれ [asahi-net.or.jp]なんかは確かそういうモノだったと思いますが。
Re:確認できないけど (スコア:1)
それって、オリジナルサイトのデータが差し替えられていないことを証明できるんでしょうか?
オリジナルサイトが正しくて、周囲に悪意(たとえば)のある奴のサイトが有るとして、
そういう場合は「オリジナルと」比較すれば問題は解決しますが、
一方オリジナルサイトのほうが悪意(たとえば)が有る場合には、署名込みでの交換だって
出来てしまうのだから、問題は何も解決しない
と理解してたのですが、正しいでしょうか?
誤解だったらすみません(全部撤回します)。ですが、もし誤解ならば、
今回のような「どっちが真の悪者かがわからない」という悩みかたは、
そもそもせずに済むと理解しています。
データ差し替えをやったのがどっちなのかが判るんですから。
#これまた誤解だったら(以下同文)。
Re:確認できないけど (スコア:1)
つまりオリジナルソフトそのものが悪さするものだったら…って事でしょう?
バイナリコードからの自動判別なんてのはまずできないでしょう。
それともソース非公開のソフトは全て信用ならん!という事を主張したいの
でしょうか?その辺は信頼関係の問題でしょう。もしクローズドソースな
ソフトウェア全てを信頼しないというのであれば、自動車すら乗れませんわ。
Re:確認できないけど (スコア:1)
ごめん、完全に読み間違えた。 オリジナルサイト側でのファイル差し替えを検出する手法はあるか? という事ね。
それは第三者の認証に頼れば可能です。手元のmd5を認証機関に送り、 その登録日時と適当な鍵を折り込んだ鍵をもらう、とか何とか。
Re:確認できないけど (スコア:0)
Re:確認できないけど (スコア:1, 興味深い)
>シェアウェアを利用するときにダウンロードするサイトを注意深く選ぶこと、
>ファイルサイズやタイムスタンプを正規のWebサイトで確認すること、
>不正なシリアルを使わないこと、
>など基本に立ち返ることがいかに重要かを今回の事例は示している
これらって、基本は基本だけど、今回みたいな状況による被害を防ぐための「基本」としては、
あまり役立たないというか、「オフトピ」な基本でしかないように思います。
なんせ、それらを守ったからといって、被害が無くなるとは限らないのですから。
どのシリアル値を「不正」とするか自体を、作者側が変えることだって出来るのだし。
上記の対策は、オリジナル作者側が不正をしていない、という薄氷のような前提が成り立つ時にだけ
意味のある対策であり、成り立たないときには(信じてしまうのは)却って益より害が多いんですから。
つまり、今のところどっちが「加害者(攻撃者)」なのか判らないんですよね。
なにものかが(アンチウイルス屋を使って)Firehandを攻撃してるのか、
Firehandがなにものかを攻撃してるのか(笑)、が。
あるいはその両方なのかが。つまり「交」戦状態なのかが。
そして、どっちの攻撃の「しかた(やってるとすれば)」も、それぞれ大差ない。
Net上のある存在に対して「不正」という烙印を与える、という方法なのだから。
なんか、こういう次元でやりあってるのって、何時までたってもきりが無いようにしか思えないなあ。
----
ところで、アンチウイルスって、ソフトの「やらかす事柄」を調べるわけじゃないんですね。
上記のようにあくまで、烙印(ソフトごとのBinary中の特徴)までしか調べない。
アンチウイルスソフトは、
ある特定のウイルス(有害ソフト)には、(その特定のウイルスに見られる)烙印が見つかる
という命題(だよね)に基づいた処理をしているわけですが、だからといって
(ある特定のウイルスに見られる)烙印が見つかれば、それはそのウイルスである
という逆(だっけ)は成り立つとは限らないわけで(^^;、
アンチウイルスソフトって結構いいかげんな仕事をしてるんだなあと思います。
疑わしきは罰しても「誰も」困らないという(無理がある)前提に立っていることになるので。
----
うーん。OS Userとかの権限をベースにアプリの実行権を決めるという(Unixとかの)モデルは、
Userが同時に開発者である場合にしか、有効じゃない、のではないかな。
むしろ、アプリごとに、「このアプリはhogehogeファイルにアクセスする権利があるある/ないない」
とかいう風に設定するほうが、望ましいのでわ…