アカウント名:
パスワード:
SHA-256では駄目なのかなぁ?
32bitで、しかもファイルサイズをチェックしていないとなれば古いPCでも動作サクサク(笑)ですね。いくらでも偽造できちゃうじゃないですか。これはひどい
|。・ω・)。o (うわ酷い!と思ったら、同梱のDLLを使ったら、CRC成してファイルに埋め込んでくれるところまでやってくれることが判明したので、それ以前の問題だったというお話っす)
怖いのは、例えば特定の企業のProxyサーバーやDNSサーバー乗っ取れば、インストールされてる全 PCに任意のファイルをダウンロードさせて管理者権限で実行させることが可能なんで、セキュリティソフト20年も作ってる企業が把握してないのは考えにくく、韓国によるバックドアにしか見えないってことです。
批判するべきは SaAT Netizen と 採用している銀行であって、目的はろくでもないソフトウェアを採用している銀行を一般に知らしめてそういったものの採用を撤回させることであるべきです。
そうしたときに、
>韓国によるバックドアにしか見えないってことです。
といった特定国批判を書くと「また嫌韓厨が騒いでるのか」で片付けられてしまい本当に伝えたい問題が伝わらなくなります。
http://blog.livedoor.jp/blackwingcat/archives/1924193.html [livedoor.jp]追加検証をしました。
海外で広く販売している自社製のセキュリティソフトはほぼ同じ更新システムを採用しているにもかかわらず、SHA-256 証明書による保護機能もあり、セキュリティが担保されていることが分かりました。
少なくとも技術力がなかったわけではなく、意図的な脆弱性があるようです、わざわざ日本の金融機関・利用者向けに無料で押し売りしているあたり、バックドアを仕込んだと考えた方が自然ではないでしょうか?
もしかしたら仰る通り意図的にバックドアを仕込んでいるのかもしれませんしそうだとしたらもちろん大きな問題です。
ですが、もし意図的でなかったとしてもこれは重大な問題です。広く世間の話題として銀行が採用を撤回せざるを得なくしなければなりません。
残念ながら世間では非常に低レベルな韓国叩きが横行しているため、タイトルに韓国という文字が入っているだけでしょうもない叩き記事だと思われてスルーされてしまいやすくなります。
韓国企業と韓国を批判したいだけでしたらこれ以上何も言うことはないのですがそうでないのであれば、まず第一段階としては「銀行が推奨しているソフトウェアに問題があること」だけを前面に押し出していくべきです。銀行のセキュリティ問題であればたいていの人が食いつきます。
そうして十分に話題になったのち、あの問題は韓国企業のソフトウェアが原因で、状況的には意図的なバックドアである可能性すらある、と展開していけば、より多くの人に問題意識を持ってもらうことが出来るでしょう。
技術力がないわけではないのでバックドアを意図的に仕込んだのでは?と思ったのですが、その後、暗号化されたログファイルのデコーダーなどを作って解析してみた結果、アップデート自体はV3インターネットセキュリティ同様、SHA-256での定義ファイルの検証の仕組みがあるところまでは分かりました。(インストール時のダウンロード定義ファイルではノーチェック)
なので、『意図的なバックドアであると考えるのが自然』というのは撤回します。本当に単なる実装脆弱性なのかもしれません。
http://blog.livedoor.jp/blackwingcat/archives/1924212.html [livedoor.jp]調査についてはこれが最終のまとめになると思います。
かつて JustSystems が中国製セキュリティ商品をOEM元明らかにせずに日本製かのように扱って売ったのと同じで、韓国製なのを隠して製品のコピーライトまで、日本企業名で置き換えて責任の所在が分からなくしたいい加減なものを『無料のセキュリティソフト』というエサで、銀行決済という重要なものに紐づけて宣伝してるNetMoveが批判されるべきなんじゃないかなって思ってます
http://pbs.twimg.com/media/CdCJfTiUMAAqB34.jpg [twimg.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
今どきCRC? (スコア:0)
SHA-256では駄目なのかなぁ?
Re: (スコア:0)
32bitで、しかもファイルサイズをチェックしていないとなれば
古いPCでも動作サクサク(笑)ですね。
いくらでも偽造できちゃうじゃないですか。これはひどい
Re:今どきCRC? (スコア:2)
|。・ω・)。o (うわ酷い!と思ったら、同梱のDLLを使ったら、
CRC成してファイルに埋め込んでくれるところまでやって
くれることが判明したので、それ以前の問題だったと
いうお話っす)
怖いのは、例えば特定の企業のProxyサーバーやDNSサーバー
乗っ取れば、インストールされてる全 PCに任意のファイルを
ダウンロードさせて管理者権限で実行させることが可能なんで、
セキュリティソフト20年も作ってる企業が把握してないのは
考えにくく、韓国によるバックドアにしか見えないってことです。
Re: (スコア:0)
批判するべきは SaAT Netizen と 採用している銀行であって、
目的はろくでもないソフトウェアを採用している銀行を一般に知らしめて
そういったものの採用を撤回させることであるべきです。
そうしたときに、
>韓国によるバックドアにしか見えないってことです。
といった特定国批判を書くと「また嫌韓厨が騒いでるのか」で片付けられてしまい
本当に伝えたい問題が伝わらなくなります。
Re:今どきCRC? (スコア:2)
http://blog.livedoor.jp/blackwingcat/archives/1924193.html [livedoor.jp]
追加検証をしました。
海外で広く販売している自社製のセキュリティソフトはほぼ同じ更新システムを採用しているにもかかわらず、SHA-256 証明書による保護機能もあり、セキュリティが担保されていることが分かりました。
少なくとも技術力がなかったわけではなく、意図的な脆弱性があるようです、わざわざ日本の金融機関・利用者向けに無料で押し売りしているあたり、バックドアを仕込んだと考えた方が自然ではないでしょうか?
Re: (スコア:0)
もしかしたら仰る通り意図的にバックドアを仕込んでいるのかもしれませんし
そうだとしたらもちろん大きな問題です。
ですが、もし意図的でなかったとしてもこれは重大な問題です。
広く世間の話題として銀行が採用を撤回せざるを得なくしなければなりません。
残念ながら世間では非常に低レベルな韓国叩きが横行しているため、
タイトルに韓国という文字が入っているだけでしょうもない叩き記事だと思われて
スルーされてしまいやすくなります。
韓国企業と韓国を批判したいだけでしたらこれ以上何も言うことはないのですが
そうでないのであれば、まず第一段階としては
「銀行が推奨しているソフトウェアに問題があること」
だけを前面に押し出していくべきです。
銀行のセキュリティ問題であればたいていの人が食いつきます。
そうして十分に話題になったのち、あの問題は韓国企業のソフトウェアが原因で、
状況的には意図的なバックドアである可能性すらある、と展開していけば、
より多くの人に問題意識を持ってもらうことが出来るでしょう。
Re:今どきCRC? (スコア:2)
技術力がないわけではないのでバックドアを意図的に仕込んだのでは?
と思ったのですが、その後、暗号化されたログファイルのデコーダーなどを作って解析してみた結果、アップデート自体はV3インターネットセキュリティ同様、SHA-256での定義ファイルの検証の仕組みがあるところまでは分かりました。(インストール時のダウンロード定義ファイルではノーチェック)
なので、『意図的なバックドアであると考えるのが自然』というのは撤回します。本当に単なる実装脆弱性なのかもしれません。
http://blog.livedoor.jp/blackwingcat/archives/1924212.html [livedoor.jp]
調査についてはこれが最終のまとめになると思います。
かつて JustSystems が中国製セキュリティ商品をOEM元明らかに
せずに日本製かのように扱って売ったのと同じで、韓国製なのを
隠して製品のコピーライトまで、日本企業名で置き換えて責任の
所在が分からなくしたいい加減なものを『無料のセキュリティソフト』
というエサで、銀行決済という重要なものに紐づけて宣伝してる
NetMoveが批判されるべきなんじゃないかなって思ってます
http://pbs.twimg.com/media/CdCJfTiUMAAqB34.jpg [twimg.com]