パスワードを忘れた? アカウント作成
1533 story

役に立たなくなるファイアウォール 20

ストーリー by wakatono
確かに役にたたないこともある 部門より

bravo 曰く,"CNETによると、シマンテック社の「Norton Internet Security」などのパーソナルファイアウォールでは、外部からのアタックそのものは防ぐことはできても、トロイの木馬的な場合では、あっさりと防護機構を回避されてしまうようだ。これはMicrosoftのDLLの仕様に問題があるらしく、今回挙がっているものは、他のプロセスからもDLLにアクセスできてしまうということらしい。"

ファイアウォールにどこまで求めるかってのもあるとは思うが…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • おいおーい (スコア:2, 参考になる)

    by isi (4853) on 2001年11月12日 15時25分 (#37535) 日記
     妙なところでプロックかけてくれるのはいいとしても、そういう肝心なところを素通りさせてどうするのよ(-_-#)

     先日までWindows Updateの特定のダイアログ(IE6とかを落すときに出るやつね)が空白になるところで 心理的ドツボ、に入まっちゃて重要でもないのに原因追求、結果はパーソナルファイアウォールでした。
     前バージョンでは全く問題なかったので全然気が付かなかった。他にも、Httpsに移るときに高い頻度でエラーが出るので、レポートしようとしてたんですが……

     件のベンダーは、先日勤め先にも営業が来てて、ファイアウォールアプライアンスを宣伝してったんですが、ちょっと突っ込んだ質問には全く答えられませんでした。

     製品は十分良いものだと思うんですけどねー。
    がんばってくださいよ、ベンダーさん。

    • Re:おいおーい (スコア:3, 参考になる)

      by isi (4853) on 2001年11月12日 15時50分 (#37538) 日記
       CNETを見直してみたら、「トロイの木馬」に感染してたら、パーソナルファイアウォールで防御するのは無理って話なのね。たれこんだ人には失礼だけど そりゃ当然だわ。

       パーソナルファイアウォールを販売してるベンダーさんは、たいてい自社のアンチウィルスとペアで提供しているはず。フリーのパーソナルファイアウォールを使うにしても、あらかじめアンチウィルスでチェックしておくのは、やっぱり当然だと思う。

       城壁に穴があいてる状態でいくら防御を厳重にしても限界はあるよね。

       やはり 基本は守りましょう、というのが結論でしょうか。

      親コメント
  • うーん (スコア:2, 興味深い)

    by monalisa (871) on 2001年11月12日 15時51分 (#37539) 日記
    #じゃあ、トロイの木馬が入っていても安全なシステムってどこかにあるの?って思いますが、、
    もともと、IEとOutlook(Express)が脆弱なのが原因で、これだけウイルスなどの被害が起こっている現状がある。
    この背景があればこそパーソナルファイアーウォールなどのツールが売れるのですね
    もしかしてM$は技術がないのではなくて、わざとセキュリティーの弱い製品をだしているのかな?
    だって、儲かる人がいるし。
    どっちにしてもユーザに余計な負担がかかる事に変わりはないが
    • by doripush (653) on 2001年11月12日 18時01分 (#37569)
      うんうん。M$は、クライアント向けOSだけでなく、サーバ
      向けOSでもF/W依存の体質を助長していると思う。F/Wが
      無くてもいいとは言わないが、F/Wがないという前提で
      製品を作ったら、少しは状況が改善されると思うのだが。
      親コメント
    • by Bill Hates (2038) on 2001年11月13日 6時42分 (#37753) 日記
      > この背景があればこそパーソナルファイアーウォールなどのツールが売れるのですね

      個人的にはファイヤウォールにWindowsを選択する行為そのものが
      疑問だったりします.Windowsが打たれ弱くて心配だからとWindows
      で防護しようというのが根本的に間違ってるような….

      FreeBSDでipfwとはいわないけど,Windowsぢゃなんだかなぁって
      PCにFLOPPY-1とかfloppyfwとか使う方が安上がりでいいような
      気がするんですよねぇ.
      親コメント
      • by isi (4853) on 2001年11月13日 11時38分 (#37817) 日記
        えーと、ここで話題になっているパーソナルファイアーウォールとは

           ソフトウェアです。

         アンチウィルスの機能拡張版だと思えば良いでしょう。アンチウィルスがファイルを監視対象にしているのに対して、パーソナルファイアウォールはPCの接続先や接続しようとしているソフトまで判別して、接続を許可、拒否したり、カスタマイズできます。

         ハードウェアで実現したファイアウォールほどの堅牢さはありませんが、安価で比較的扱いやすいのがメリットでしょうね。

         Windowsを使用しているホームユーザー向けの製品です。

         もちろんUnixをお使いの方にはナンセンスに見える製品だと思います。

        親コメント
        • by Anonymous Coward
          >もちろんUnixをお使いの方にはナンセンスに見える製品だと思います。

          ナンセンスではないでしょう。
          そーゆー機能が手軽に使えるソフトは歓迎しますが。

          UNIX だ Windows だ、なにか関係あるの?
          • by isi (4853) on 2001年11月13日 17時29分 (#37943) 日記
            UNIX だ Windows だ、なにか関係あるの?
             残念ながら関係ないとは思えません。

             そもそも、Unixではアンチウィルス自体が稀でしょ? 私はソフォス(綴りを思い出せないのでかな書きでご容赦を)ぐらいしか知りません。

             また、Unix用のパーソナルファイアウォールは存在しているのでしょうか?
             私は知りませんし、実際作るとしても、Unixがデフォルトで持っている機能にリストやフィルタ機能を追加する程度で十分実用的なものが出来るように思えます。まして今回ネタになったCNETのような問題は生じにくいように感じるのですが。

             元コメントの方が書いておられたように、それ自体でファイアウォールを組めるOSと、どうしても出自がクライアントであることから抜け出せず、脆弱性を抱えたままのOSでは、どうしても差が出てしまうのではないでしょうか。

            親コメント
            • by nekopon (1483) on 2001年11月13日 18時26分 (#37960) 日記
              親コメント
              • by isi (4853) on 2001年11月14日 17時22分 (#38092) 日記
                For Your Infomation ありがとうございますm(_ _)m

                 せっかくですので、googleで「パーソナルファイアウォール」を検索してみました。5000件以上ヒットしたのですが、ぜーんぶWindows用でした。Linux用のなら、いくつか見つかるのではないかと思ったのですが。
                 それらしいのは、やはりsophosのSAVI (Sophos Anti-Virus Interface)ですが、説明を見る限り、いわゆる「パーソナルファイアウォール」では無いようです。

                 以上、ご報告まで。

                親コメント
    • by Anonymous Coward
      Sub7とか古典的なトロイはZoneAlarmで外向きの通信を弾けますね。BlackICEは駄目らしいですが。

      もっとも、最近の流行はしらないのでなんとも。日進月歩の世界ですからねえ。:-)

  • ファイアウォールにもいろんな形式のものがあるし、いろんな形態のものもある。でも、どれをとっても完全ということはありえないよね。

    だって、そのファイアウォールをかいくぐって、システムに侵入してダメにする、というのがアタッカーの「お仕事(?)」じゃないですか。

    方や「守るのがお仕事」だし、方や「攻撃するのがお仕事」ですから、結論は出ないよね。どちらにも「止めろ!」って言ったって止められるもんじゃなし。

    まぁ、ええんでないの?

  • 個人情報関係の文字列を予め設定しておくと、外に投げるデータにその文字列が含まれている場合、警告を出すようにできたはず。
    圧縮がかかってたりデコードされてたりした場合まで面倒見てくれるのかどうかは調べてないけど、その程度の対応なら現状でもできるんですけどね。
  • by wosamu (4952) on 2001年11月12日 16時09分 (#37545) 日記
    CNETの記事を見る限りではたとえばNetscapeを乗っ取って情報発信を行なうと普通パーソナルファイアウォールではNetscapeからのデータ送信は認めているから素通しにするって話ですよね?
    それなら以前話があったファイアウォールはメールウィルスを防いではくれないってのと同じような話な気がします。
    ノートンインターネットセキュリティってウィルスチェッカとパーソナルファイアウォールとかの統合製品なんでこういう場合でもある程度は防げますね。
    もちろん自分でセキュリティ情報に常に目を通しておく必要はあるんでしょうが。
    • こう、PCをよく知ってない人は、こういう防御ソフトを入れて、「これさえあればいつもだいじょうぶ」と思ってるだろうから、いつ痛い目にあってもおかしくない。

      先日セキュリティセミナーの告知があったけど、MS-Word形式で添付されると「自社のセキュリティポリシーは大丈夫ですか?」と小一時間問いつめそうになるが。

      親コメント
      • Re:よくわからないけど (スコア:2, すばらしい洞察)

        by isi (4853) on 2001年11月12日 18時30分 (#37580) 日記
        どうも、上記コメントでは失礼を。
        こう、PCをよく知ってない人は、こういう防御ソフトを入れて、「これさえあればいつもだいじょうぶ」と思ってるだろうから、
         いや、私が実際に使っているパーソナルファイアーウォールでは……と書きかけましたが、確かに「知らない人」は、こちらが予想もつかない、想像もできないことをするものですよね。インストール時にいくら警告されても、そのとおりに実行してくれる保証は何もありません。まして、雑誌を読みかじってフリーのツールを使うような人は……

         それにOutlook Express自体がMS社公認の「トロイの木馬」みたいなものだし、Windowsの根本的な脆弱性がセキュリティソフトの隆盛をもたらしている現実は、
        城壁に穴があいてる状態のままで防御を厳重にする。
        そのままなんでしょうね。

        親コメント
      • だからこそ、NortonもSymantecもNetworlAssociatesも、ウイルス検知ソフトとパーソナルファイアーウォールをセットで売ってるんじゃん。
        今となってはあんまり考える必要の無い事だと思うけど。
        # 無行動 -> セットで導入 -> カスタマイズ
        # 分
        • ># 分かってない奴は纏めて入れると思うが
          動作が重いからとリアルタイムスキャンは停止にします。
          勝手に更新されるのが怖いので、ウィルスパターン定義の更新はしません。
          何に使うかわからないけど、とりあえず最新のパッチやウィルス駆除プログラムを収集しています。
          お金払っても効果がわからないとさびしいので、ウィルスを収集しています。
          …とかだったりして。
          --
          タブレット中毒者。
          親コメント
          • by SAY (54) on 2001年11月12日 18時32分 (#37581) 日記
            shield 動かしっぱなしでも動作が軽いですよ。
            ただ VisualStudio でプログラムをステップ実行させつつデバッグしていると希に shield が落ちるけど...。

            Internet から定義ファイルをダウンロードさせる以外(定義ファイルを別途拾っておいて手動インストールが)出来ないのが嫌なんだよなぁ。
            親コメント
  • by T.Sawamoto (4142) on 2001年11月13日 1時04分 (#37715)
    ちょっと記事&レポートを読んだだけではよく分からないんですが、DLL注入の問題点を指摘しているのカナ? いるのカナ?

    ご存じない方に説明すると、現在実行中のプロセスに対して、各々のプロセス空間で強制的にDLL(ダイナミックリンクライブラリ)を走らせることができる、というテクニックです。
    例えばここでは、本来別プロセスからは知ることができないはずの実行ファイル名取得を行うために、これを使用しています。

    ある意味、今さらって感じもするんですけど…。
    (始末に負えないことに、このテクニックって結構メジャーなんですよね…)
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...