アカウント名:
パスワード:
物理的にアクセスできる時点で、そういうセキュリティは終わってるんだよ。こんなもんを脆弱性だと言うんだったらHDDを外して持ち運べよ。
物理的アクセスが必要ってだけなら移動中を狙うとかあると思いますがFeature Updateを実行させる必要があるっていうのは…現実的にどうなんでしょうか。ストーリーには「アップデートさえ実行できれば」とか気軽に書いてるけど。
アップデート管理が緩い、かつ管理者権限を与えられてない社員がマシンの前に座ってる、ぐらいなら現実的
これがサーバ経由の配信でも行えるならアップデート時に社内の人払いを確実に行う必要があるな。あとは自宅で個人所有のパソコンをアップデートする際に何もできることがないからと風呂にはいったらいたずらされるとか不倫調査されるとか。
嫁にそれだけのスキルがあればほかの手段でとっくに探知されてそう。
何があったかは聞かなかった(聞けなかった)けど、「結婚するなら同業者はやめておけ」と昔の会社の先輩がいっていたなぁ。
うちの嫁は画面から出てこないから大丈夫って言う人もいるんだろうけど、中からだと暗号化関係なく見放題?
画面の中の嫁が浮気して、ヨソのオトコの言うままに個人情報をばらしちゃって、という事件も発生しそうですね。そして数年後は「嫁」の脆弱性にもCVEの番号を振るようになったり。
# 三次元のほうは昔からある話なので、キニシナイコトニ
ウィルスの「種」仕込まれて資産吸収されて人生棒に振るんですね。♯マジリセット欲しいよ
仕込むのは大体男側だと思うんだ…
#人生、不公平にできているので諦めが肝心。
息子か娘が制限を外すほうが現実的か。子供との喧嘩とアップデートが重なってハードディスクを初期化される可能性はあるがこっちは外して他のパソコンに繋げば済むからな。
アップデート中には管理者権限を持っていない人間には触らせない、という対策が要りそう。残業してる奴とか寝泊まりしてる奴を完全に追い出してからでないとアップデート出来ない。
HDDの暗号化とか最低限の権限しか与えないとか、適切に設計された社内システムなら、一般社員用の端末に物理アクセスしても、
・与えられた権限の範囲でその端末、および、社内LANの情報にアクセスしたり攻撃したりする・その端末に保存されたデータ、および、その端末自体を破壊する
しかできないけど、今回のお粗末な脆弱性を使うと、
・その端末に保存された全情報にアクセス出来る
という可能な悪さが増えてしまう。
シンクライアント化して機能アップデート中はアクセスできないようにすれば解決。
シンクライアントなら、個別にアップデートなんかせずに普通マスタ化してるだろ。
エロサイトで電話番号書いたダイアログ出せば、わざわざ電話してくれて、指示通りに何でもやってくれる人が居るから。♯このレベルへのフールプルーフはムリゲー♯どこの役所関係だったか忘れた
いやストレージ暗号化は物理アクセス対策じゃないの?
bitlockerはダメだろ
https://msdn.microsoft.com/ja-jp/library/hh831507(v=ws.11).aspx [microsoft.com]BitLocker を使用すると、スワップ ファイルや休止状態ファイルを含め、オペレーティング システムのドライブ上にあるすべてのユーザー ファイルおよびシステム ファイルを暗号化したり、初期ブート コンポーネントおよびブート構成データの整合性をチェックしたりすることで、紛失した、または盗難に遭ったコンピューター上のデータへの不正アクセスを防止できます。
暗号化の解除ができてしまう事が問題って事でしょ?今まではPCが紛失しても暗号化してあればある程度の対策時間を稼げました。
これの場合は比較的簡単に解除が出来るので組織で情報収集する様な事をしていればLANに繋いでDNS書き換えてアップデートサーバの振る舞いをさせてアップデートがある様に見せかければ解除ができるでしょう実際ロック画面でもアップデートをインストールして終了とか出てきちゃうしねログインした状態でロックだとセキュリティリスクが高まってるぞって話じゃないっすかね
とりあえず持ち歩くノートPCなんかはDHCPをまずは無効にしてIP割り当てるのもセキュア認証必要にしましょう
LANに繋いでDNS書き換えてアップデートサーバの振る舞いをさせてアップデートがある様に見せかければ解除ができるでしょう (中略) とりあえず持ち歩くノートPCなんかはDHCPをまずは無効にしてIP割り当てるのもセキュア認証必要にしましょう
Windows はアップデートの際に、証明書の検証をきちんとやっているので、そういった手口は使えません(偽サーバは正規の秘密鍵を使用できない為)。
WSUSで出来てしまうんじゃ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
物理アクセス (スコア:0)
物理的にアクセスできる時点で、そういうセキュリティは終わってるんだよ。
こんなもんを脆弱性だと言うんだったらHDDを外して持ち運べよ。
Re: (スコア:0)
物理的アクセスが必要ってだけなら移動中を狙うとかあると思いますが
Feature Updateを実行させる必要があるっていうのは…現実的にどうなんでしょうか。
ストーリーには「アップデートさえ実行できれば」とか気軽に書いてるけど。
Re:物理アクセス (スコア:1)
アップデート管理が緩い、かつ管理者権限を与えられてない社員がマシンの前に座ってる、ぐらいなら現実的
Re: (スコア:0)
これがサーバ経由の配信でも行えるならアップデート時に社内の人払いを確実に行う必要があるな。
あとは自宅で個人所有のパソコンをアップデートする際に何もできることがないからと風呂にはいったらいたずらされるとか不倫調査されるとか。
Re:物理アクセス (スコア:1)
嫁にそれだけのスキルがあればほかの手段でとっくに探知されてそう。
Re:物理アクセス (スコア:1)
何があったかは聞かなかった(聞けなかった)けど、
「結婚するなら同業者はやめておけ」と昔の会社の先輩がいっていたなぁ。
Re:物理アクセス (スコア:1)
うちの嫁は画面から出てこないから大丈夫って言う人もいるんだろうけど、
中からだと暗号化関係なく見放題?
-- う~ん、バッドノウハウ?
Re: (スコア:0)
画面の中の嫁が浮気して、ヨソのオトコの言うままに個人情報をばらしちゃって、という事件も発生しそうですね。
そして数年後は「嫁」の脆弱性にもCVEの番号を振るようになったり。
# 三次元のほうは昔からある話なので、キニシナイコトニ
Re: (スコア:0)
# 三次元のほうは昔からある話なので、キニシナイコトニ
ウィルスの「種」仕込まれて資産吸収されて人生棒に振るんですね。
♯マジリセット欲しいよ
Re:物理アクセス (スコア:1)
ウィルスの「種」仕込まれて資産吸収されて人生棒に振るんですね。
♯マジリセット欲しいよ
仕込むのは大体男側だと思うんだ…
#人生、不公平にできているので諦めが肝心。
Re: (スコア:0)
息子か娘が制限を外すほうが現実的か。
子供との喧嘩とアップデートが重なってハードディスクを初期化される可能性はあるがこっちは外して他のパソコンに繋げば済むからな。
Re: (スコア:0)
アップデート中には管理者権限を持っていない人間には触らせない、という対策が要りそう。
残業してる奴とか寝泊まりしてる奴を完全に追い出してからでないとアップデート出来ない。
HDDの暗号化とか最低限の権限しか与えないとか、適切に設計された社内システムなら、一般社員用の端末に物理アクセスしても、
・与えられた権限の範囲でその端末、および、社内LANの情報にアクセスしたり攻撃したりする
・その端末に保存されたデータ、および、その端末自体を破壊する
しかできないけど、今回のお粗末な脆弱性を使うと、
・その端末に保存された全情報にアクセス出来る
という可能な悪さが増えてしまう。
Re: (スコア:0)
シンクライアント化して機能アップデート中はアクセスできないようにすれば解決。
Re: (スコア:0)
シンクライアントなら、個別にアップデートなんかせずに普通マスタ化してるだろ。
「大丈夫だ 問題ない」 (スコア:0)
エロサイトで電話番号書いたダイアログ出せば、わざわざ電話してくれて、指示通りに何でもやってくれる人が居るから。
♯このレベルへのフールプルーフはムリゲー
♯どこの役所関係だったか忘れた
Re: (スコア:0)
いやストレージ暗号化は物理アクセス対策じゃないの?
Re: (スコア:0)
bitlockerはダメだろ
https://msdn.microsoft.com/ja-jp/library/hh831507(v=ws.11).aspx [microsoft.com]
BitLocker を使用すると、スワップ ファイルや休止状態ファイルを含め、オペレーティング システムのドライブ上にあるすべてのユーザー ファイルおよびシステム ファイルを暗号化したり、初期ブート コンポーネントおよびブート構成データの整合性をチェックしたりすることで、紛失した、または盗難に遭ったコンピューター上のデータへの不正アクセスを防止できます。
Re: (スコア:0)
暗号化の解除ができてしまう事が問題って事でしょ?
今まではPCが紛失しても暗号化してあればある程度の対策時間を稼げました。
これの場合は比較的簡単に解除が出来るので組織で情報収集する様な事をしていれば
LANに繋いでDNS書き換えてアップデートサーバの振る舞いをさせてアップデートがある様に見せかければ解除ができるでしょう
実際ロック画面でもアップデートをインストールして終了とか出てきちゃうしね
ログインした状態でロックだとセキュリティリスクが高まってるぞって話じゃないっすかね
とりあえず持ち歩くノートPCなんかはDHCPをまずは無効にしてIP割り当てるのもセキュア認証必要にしましょう
Windows は証明書を検証しています (スコア:2)
Windows はアップデートの際に、証明書の検証をきちんとやっているので、そういった手口は使えません(偽サーバは正規の秘密鍵を使用できない為)。
Re: (スコア:0)
WSUSで出来てしまうんじゃ?