Re:エンドユーザにはどうしようもない (#1913497) | セキュリティソフトに含まれるファイルを悪用したマルウェア

「セキュリティソフトに含まれるファイルを悪用したマルウェア」記事へのコメント

記事ページを表示すべてのコメント取得

検索26コメント Log In/Create an Account

エンドユーザにはどうしようもない (スコア:0)

by Anonymous Coward

すべてのモジュールは正しく署名されており
これエンドユーザにどうしろと？
署名が正しいから信頼してインストールするはずだよね？
大本の鍵が割れたってことならエンドユーザは信頼性ってものを何に頼ればいいのかな？
- Re:エンドユーザにはどうしようもない (スコア:3, 参考になる)
  
  by Anonymous Coward on 2011年03月06日 20時23分 (#1913497)
  
  鍵は割れてないでしょ。署名済の正しいプログラムが参照する設定ファイルを書き換えているだけ。
  設定ファイルには署名されていないのだから署名の信頼性が低下した訳じゃなくて、
  署名無しの設定ファイルを元に特定のサイトに飛ばしてしまう挙動の穴を突かれたと言うこと
  
  シェア
  
  親コメント
  - 電子署名の運用が誤っていたって話だよね　(Re:エンドユーザにはどうしようもない (スコア:5, 興味深い)
    
    by kousokubus (37099) on 2011年03月07日 2時08分 (#1913640)
    
    挙動の穴を攻撃されたとか言うと、新しい攻撃方法みたいに見えちゃうから問題な気がする。
    これって単純に、やっちゃいけない電子署名の運用やってたって話だよね。
    バイナリは署名してました、バイナリが使う設定ファイルは署名してませんでしたっていう単純な話。
    　# メール本文は署名してました、添付ファイルはしてなかったので差し替えられました、レベルの話:-P
    パッケージ全体を署名すれば良かっただけ。
    もしアップデートがあるなら、それもまるまる署名すれば良いだけ。
    　# まあ、んなことエンドユーザは気をつけようがないとは思うので難しい問題ですが:-(
    
    シェア
    
    親コメント
    - 単純だが、ありがちな穴(Re:電子署名の運用が誤っていたって話だよね) (スコア:0)
      
      by Anonymous Coward
      
      設定ファイルやデータなどにも署名が必要なのは分かるが、しかし、それを徹底するのは難しい。
      今回は悪用されたのがセキュリティソフトだったので注目されているが、このパターンの穴は至る所にあると思う。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        このニュースでアイデアが広がっちゃったからね。
        暫くしたら「オンラインヘルプを見ようとしたら何故かバイアグラの販売に」とか出て来そうな。
        
        最近は重箱の隅どころか裏側までつつかれる (Re:単純だが、ありがちな穴) (スコア:0)
        
        by Anonymous Coward
        
        別のソフトですが、インストーラの脆弱性としてCVEに登録されていた内容をみてビックリしました。
        
        インストール先のパスに、インストーラがインストールしようとしているファイルと同名で、より新しいタイムスタンプのファイルがすでにある場合には、インストーラがそれを上書きしない。
        
        これがセキュリティ・ホールとして扱われるというのです。
        悪意のあるプログラムによって悪意のあるファイルを先に配置されていると、それをそのままソフトの一部として実行してしまう、具体的にはhtml形式のヘルプファイルに悪意のあるスクリプトを仕込まれるということなのです。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事？
    それってまずくない？
    - Re:エンドユーザにはどうしようもない (スコア:1)
      
      by t-wata (10969) on 2011年03月07日 17時45分 (#1913899) 日記
      
      まずいも何も設定ファイルって変更するためにあるのに、署名しちゃったら変更できないじゃん。
      インストール時や設定時に動的に変更できるように「設定ファイル」にしている訳で、
      配布時決定するような設定なら初めから実行ファイルに入れちゃうでしょう。
      設定ファイル（レジストリとかにおく設定も含め）は署名するものでは無いと思いますが。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事？
      
      動的な修正とかいろいろを考えると、そこまで徹底して署名することには問題があるかも知れません。
      まぁ、パターンデータぐらいは署名があっても良いかもしれませんが、一方で、差分アップデートとかが難しくなるわけで。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

セキュリティソフトに含まれるファイルを悪用したマルウェア More ログイン

「セキュリティソフトに含まれるファイルを悪用したマルウェア」記事へのコメント

エンドユーザにはどうしようもない (スコア:0)

Re:エンドユーザにはどうしようもない (スコア:3, 参考になる)

電子署名の運用が誤っていたって話だよね　(Re:エンドユーザにはどうしようもない (スコア:5, 興味深い)

単純だが、ありがちな穴(Re:電子署名の運用が誤っていたって話だよね) (スコア:0)

Re: (スコア:0)

最近は重箱の隅どころか裏側までつつかれる (Re:単純だが、ありがちな穴) (スコア:0)

Re: (スコア:0)

Re:エンドユーザにはどうしようもない (スコア:1)

Re: (スコア:0)

スラド

セキュリティソフトに含まれるファイルを悪用したマルウェア More ログイン

「セキュリティソフトに含まれるファイルを悪用したマルウェア」記事へのコメント

エンドユーザにはどうしようもない (スコア:0)

Re:エンドユーザにはどうしようもない (スコア:3, 参考になる)

電子署名の運用が誤っていたって話だよね (Re:エンドユーザにはどうしようもない (スコア:5, 興味深い)

単純だが、ありがちな穴(Re:電子署名の運用が誤っていたって話だよね) (スコア:0)

Re: (スコア:0)

最近は重箱の隅どころか裏側までつつかれる (Re:単純だが、ありがちな穴) (スコア:0)

Re: (スコア:0)

Re:エンドユーザにはどうしようもない (スコア:1)

Re: (スコア:0)

電子署名の運用が誤っていたって話だよね　(Re:エンドユーザにはどうしようもない (スコア:5, 興味深い)