「Winnyやめました」がホントかどうかを調べるソフト登場 132
ストーリー by yoosee
未だに職場で使っている人、いませんよね… 部門より
未だに職場で使っている人、いませんよね… 部門より
freaks 曰く、
ITmediaエンタープライズの記事によると、ネットエージェントは1月17日より、PCにおけるP2P型ファイル共有ソフトウェアの利用履歴やウイルス感染歴をチェックするソフトウェア「Winny特別調査員」の販売を開始した。
Winny特別調査員は CD-ROM形式で配布されるソフトウェアで、企業と社員が P2Pソフトウェア使用禁止に関する誓約書を交わした上で、それが守られているか、また報告されていない Antinny系ウイルスの感染がないかを確認する、といった利用法を想定しているという。 このソフトウェアを実行すると、 Winny等のインストール履歴、最終実行日時、暴露ウィルスの感染歴が検知できるとの事。
仕様を見ると、Winnyの他にも検知可能なソフトウェアとして Share、Perfect Dark、cabos、limewire、BitComet、Antinny があるらしい。 隠れてP2Pソフトウェアを使用している対象ユーザは、このソフトウェアを実行する前にOSをインストールし直して履歴を消してしまうのでは、と心配してしまうが、OSのインストール日時を記録するなどで対策できているのかな? 業務に(恐らく)関係の無い P2Pソフトウェア利用者の検知に有効な手段となり得るか興味深い。
レジストリの実行履歴を参照してる? (スコア:5, 興味深い)
と
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
にrot13で「暗号化」され記録されてるプログラムの実行履歴&実行回数を参照している模様。
上のバイナリ値はプログラム名のみ記録されるので適当なプログラムを"winny.exe"等に変更しても「Winnyを実行した」ことになるようです。ここを消してみたところWinnyもShareも「なし」になりました。が、なぜかWinnypだけは「あり」「実行回数: 不明」になります。どこか別なところも参照してるのかな?
あと、スタートメニューの「すべてのプログラム」の上に表示される「最近使ったプログラム」はここの実行回数カウンタを利用してるらしく、上のバイナリ値を全部消すと空っぽに(他にも何かあるかも)。困る人はWinnyとShareとWinnypのバイナリ値のみを消すのが無難かと。
そんな履歴残したくないって人は、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
にDWORD値"NoInstrumentation"を作り値を0にすれば、ここのキーは追加されなくなるみたいです。
Re:レジストリの実行履歴を参照してる? (スコア:2, 参考になる)
"%windir%\Prefetch"に実行ファイル名の解析情報(デフラグの先読みに使用)が蓄積されるのでそのファイルが存在するかも見ているようです。
# まぁ、ACで。
参考リンク (スコア:4, 参考になる)
Re:参考リンク (スコア:5, 参考になる)
http://d.hatena.ne.jp/acqua_alta/20070117/Winny [hatena.ne.jp]
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
run.bat (スコア:2, 興味深い)
Winny.exe
とだけ書いたバッチファイルから実行するだけで、デモ版は回避できますね。
いくらデモはやっつけ仕事で十分とはいえ、これはひどいんじゃないかと。
つまり (スコア:4, おもしろおかしい)
と、
# 本当に暴露が恐いならPGPもngなんだよねぇ。
# その内、ほんとにメール感染で自前でPublic keyで暗号化して添付するようなウィルスが出そうだけど。
M-FalconSky (暑いか寒い)
あ~びっくりした (スコア:3, 参考になる)
PerfectDisk [powerx.jp]と空目。
何でデフラグソフトが!って言うか、こんなP2Pソフトあったのね。
知らんかった...。
# 知らんかったついでに、こっちもバージョンアップしてるし... > PerfectDisk
Re:あ~びっくりした (スコア:1)
>何でデフラグソフトが!って言うか、こんなP2Pソフトあったのね。
>知らんかった...。
そりゃそうでしょう。
だって、正式名称は「XXXX」ですから。
# アレ?何故か伏せ字にw
# 私は入信していませんので詳しくないですが
Re:あ~びっくりした (スコア:2, 興味深い)
何のことかと思ってググろうと思ったら、Firefoxの検索窓(Google)の候補にモロに出てきて爆笑しました。
お題目を唱えないとファイルが落ちてこないんじゃ信者専用だろうなぁ、とかくだらない事を考えてしまいました。
「いろいろな事を考えるヤツが居るもんだなぁ」と個人的に参考になりました。
#「XXXX」(って言うか信者)が怖いからAC...にしようと思ったけどまぁいいや。
Re:あ~びっくりした (スコア:1)
情報漏洩対策っていってもなぁ。 (スコア:3, 興味深い)
CDを挿入した環境で動くとあるが、毎日CD入れて起動させなさいと義務つけるのか?
そうでないならどこから履歴を取るつもりなんだろう。初回CD挿入時に何かサービスでもインストールされるのかな。
『フォレンジック技術を応用』と書いてあるのも気になる。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
試しに動かしてみました。 (スコア:3, 参考になる)
と思ったら自分で過去にWinny起動を防止するソフトが出たときに動かした
Windowsのメモ帳(notepad.exe)をWinny.exeやwinnyp.exeなどにリネームして試したのが原因でしたorz
その他のBitTorrentですが、Debian落すため何度か使用しています。
ですが1回ってのはどうにも腑に落ちないです。
BitTorrentばかりですが、何度も起動しているはずなので・・・
過去のバージョン検出漏れな気がします。
BitTorrent系に関しては歯抜けが多そう。
ウィルス報告数ですが、特定ファイル名の含まれるファイルを見た感じで判定みたいですね。
[仁義なきキンタマ]~~.jpgを閲覧するとショートカットが残るわけですがこのファイルに誤反応するようです。
何時の間にか感染したのかと焦った・・・
当然回避できるわけですが (スコア:3, 興味深い)
ただ、僕の解釈としてこのソフトのメッセージはきっと「そんな程度の回避策すら考えられない人がWinnyを使っているから危ないんだ」にあるんだろうと思いました。
なので誤検出したっていいわけです。
パトカーが近くを通れば普段何げなく渡っている横断歩道もちょっと緊張してみたり、お店で万引き防止ゲートがたまに意味も無く鳴れば、それだけでふと後ろめたさを感じるもの…だったりして。
- Sparklegate, Yam.
1got!!! (スコア:2, すばらしい洞察)
Re:1got!!! (スコア:3, すばらしい洞察)
このソフトでぶっこ抜き系雑誌に影響された低スキル層がWinny使用を停止すれば十分な効果が出る。
Re:1got!!! (スコア:1, おもしろおかしい)
Re:1got!!! (スコア:1, 興味深い)
#もちAC。
Re:1got!!! (スコア:1, 参考になる)
まぁ、ホスト側のパワーにもよりますが。
Re:1got!!! (スコア:1, 参考になる)
Win2000SP4 + Winny
たぶん (スコア:1, おもしろおかしい)
知人自体が仮想知人なんじゃね
「~とよく聞きますが」とか書きながら実際は聞いておらず
ググって糞サイトを読んだだけとか、角度とか。
Re:1got!!! (スコア:2, すばらしい洞察)
Re:1got!!! (スコア:1)
&&
仮想マシンでスピードでないからってホストOSでやったらやばいよという突っ込みを誘導
というネタとみましたが如何に?
うわ少ねっ (スコア:2, 参考になる)
入っていないか調べてくれたまえ」などと、会社で言われて
同じような手抜きチェックBATファイル作ったことあるけども
下調べ2-3時間、製作時間5分くらいでも、これよりずっと
沢山チェックしてくれるぞ。
プログラム名をc:\からdir /s でチェックするのを十数行
書いてあるだけの奴だけども。
いやしかしマジで明日か来週頭くらいに、うちの会社の
セキュリティ調査室の人に「これって使ってみていいですか?」とか
聞かれそうだな……。
自宅のマシンを調査する権利 (スコア:2, すばらしい洞察)
タレコミの記事には書いてないけど、
こいつの目的は、従業員の自宅のパソコンの中身を調べることです。
@ITの記事 [atmarkit.co.jp]にはちゃんと書かれています。
仕事のデータを自宅に持ち帰らせなきゃいいのに、
流出は怖いけど自宅で仕事はしてもらいたいという心積もりが表れてますね。
しょせん日本の企業は従業員を私物としか思ってないからこんなのが出てくるんですな。
当然のことながら (スコア:1)
アンインストールされてしまったかどうか(あるいは無効化されたか)を
調べられるようになっているんでしょうねぇ
#ユーザーに監視されないようにされちゃ意味無しソフト
アップデートは? (スコア:1)
セキュリティ専門会社並みの対応が可能なんだろうか?
#ひょっとして、定義データみたいな概念がないとか?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:仮想PCで動かしてたら (スコア:1, 興味深い)
わざわざVPC側に機密情報コピーする考え無し出ない限り
Re:前から思ってたんですが (スコア:5, おもしろおかしい)
Re:前から思ってたんですが (スコア:3, 参考になる)
取る必要は無いと思いますよ。
>実行中のプロセスの名前を調べる位なら知りませんけど、逆アセンブリとかして解析しちゃうといろいろまずいと思うんですが。
一般のソフトで、逆アセンブリしちゃダメなものは、ソフトの提供者と利用者の間で結ばれた任意の契約によるものです。
法律で禁止されてるわけじゃありません。
この場合、ネットエージェントはWinny等の作者達とそんな契約してるとは思えませんから問題ありません。
暗号の解読なんかの場合、DVDのCSSとか放送のスクランブルなんかの解除は違法です。
でも、これは暗号の解読そのものが違法なのではありません。
著作権法や不正競争防止法で定められた特定の機能や仕組みを、不正に解除してはいけないのです。
Winnyとかはそういったものじゃないんで、関係ないです。
>少なくとも、自分が作ったソフトを他人が作ったソフトで調べたりされるのはやだなあ。
そういう人は、ソフトを配布する時に、配布を受ける条件として解析してはいけないという条項を入れるのです。
相手がそれを承諾すれば、それで契約成立です。
承諾しない相手には配らなければ良いのです。
Re:前から思ってたんですが (スコア:1)
Winnyを利用する時に、利用許諾への同意って求められるんですか?
というか、利用許諾とかあるの?
無いなら逆アセンブルしようが何しようが問題ないんじゃない?
Re:前から思ってたんですが (スコア:1, 参考になる)
readme.txt
> 禁止事項
>
> 本ソフトウェアの販売。
> インターネット上以外のメディアでの配布。
> リバースエンジニアリング。
> 改造改編版の配布。
> 意図的なShareネットワークへの攻撃。
>
> 禁止事項に違反した場合、著作権者の了承を必要とせずに、任意の個人または団体が禁止事項についての注意勧告、
> 場合によっては法的措置を行えるものとします。
Re:前から思ってたんですが (スコア:2, 参考になる)
「プログラム本体を持っている=利用許諾を含めた契約が成立している」とは限らないのでそうはなりません。
>映画を違法コピーしてもどこにもそんなコピーすんなとか書いてなかったよって言われたらそれまででしょ。
著作権や不正競争防止法による禁止事項と、民事の契約上の禁止事項は別です。
映画のDVDに関する暗号解読に関しては、#1094175 [srad.jp]に書いたように、著作権法のコピーコントロールに関する条文によって保護される可能性があります。
ですから、利用許諾とか、それに対する同意などは必要ありませんし、違反すれば犯罪になる可能性があります。
Winnyの利用許諾はそういった法律による規制とは違い、開発者とユーザーの間の契約なので、まず契約が成立していなければ意味がありません。
そして、その契約に対する違反は、開発者とユーザー間の問題であり、犯罪ではありません。
基本は、両者の間で話し合う事になります。
もし裁判という事になっても、民事裁判になります。
>いや、いいんならWinnyでバンバンダウンロードしまくるだけなんでいいんですが。
著作権法で禁止されているのは、コピーコントロールの回避と、複製したり配ったり変更する権利です。
ダウンロードしてそれを利用する事は禁止されていません。
(法改正をして、違法なものをダウンロードするのも規制しようという動きはあります。)
意図的に不正に配っている人が著作権侵害の犯人となります。
ただ、Winny等は知らないうちに「配る側」になる可能性があり、それが違法と判断される可能性があるので注意してください。
Re:前から思ってたんですが (スコア:2, 参考になる)
ダウンロードしてそれを利用する事は禁止されていないと書いたけど、プログラムの場合、それが違法にコピーされたものだと知って利用したら権利侵害となります。(著作権法 第113条の2)
もちろん、Winnyから落としたものについて「不正コピーだとは知らなかった」なんて言っても、通じないと思います。
Re:前から思ってたんですが (スコア:2)
コピペコーダーにはたまらんですな。
Re:前から思ってたんですが (スコア:2, 参考になる)
オープンソースのソフトウェアを実行する分には、著作権による制限はありません。
複製や頒布等、著作権者の許諾が必要な行為をする場合に、許諾の条件としてライセンスへの同意する必要があります。
Re:前から思ってたんですが (スコア:1)
# Winnyのライセンスがどうなっているか知らないので、
# 推測というのはあらかじめ断っておきます。
ネットエージェントは逆アセンブルして解析するだけ。実行が必要だったら、資本関係のない外部団体に委託して実行結果を受け取るという方法だったら、使用許諾に関しては違反してないと言い張ることができるかもしれません。まどろっこしいけど、この方法だとネットエージェントはプログラムを実行してはいないから、実行する場合の許諾に縛られないですみます。
ただし、それが裁判で認められるかは別問題。逆アセンブル自体が元の実行ファイルがなければできない訳で、それが「元の実行ファイルの使用」だとは判断される可能性はあります。
Winnyをダウンロードしたことがないので知らないのですが、ダウンロードする前に何かの許諾が出てきてないなら、ダウンロードしたものを逆アセンブルするのは、利用許諾には引っかからない可能性はあると思います。
vyama 「バグ取れワンワン」
Re:ん? (スコア:2, 参考になる)
CSSはコピーコントロールではなく、アクセスコントロールという解釈が有力らしい。
その場合、CSS解除は問題ない。
でも、コピーコントロールだって主張してる団体もあるし、答えは出てないみたい。
どちらにしろ、アクセスコントロールに対しての法整備がされれば違法とされる可能性がある。
とりあえず、違法である可能性もあるので、そう思って行動しておくと良いですよ。
Re:前から思ってたんですが (スコア:3, おもしろおかしい)
Re:前から思ってたんですが (スコア:3, 参考になる)
パス情報もあるので非検出対象に追加して欲しいですね。
そもそもSystem32以下のexeを一通り実行するなって?
好奇心過剰なイケナいマウスポインタが原因なのだよ。
# はむ。(謎)
Re:前から思ってたんですが (スコア:2, おもしろおかしい)
# 俺のバカ
Re:前から思ってたんですが (スコア:1, 興味深い)
今の世の中の方が住みやすい (スコア:3, 興味深い)
私も雑誌に載っていたダンプリストをディスアセンブルってのはよくやりました。ただ、20年位前でもASCIIとかI/Oとかにソースファイルが掲載されていたことは結構ありました。私はそっちも結構読んでました。だからみんながみんなディスアセンブルばかりやっていた訳じゃないと思います。私の記憶だと、ディスアセンブルまでやっていたのはマイコン人口からすればかなり少ないと思います。もちろん今に比べれば比率は多いですが。
優れたコードを沢山読むというのがスキルアップにつながるというのは、今も変わりません。ただ、現在では昔よりもコンパイラの利用率が高いし、コンピュータの高性能化とコンパイラの最適化技術が進んだおかげで、ディスアセンブルしてアーキテクチャー依存のテクニックを勉強して利点があるって分野が極端に小さくなりました。メーカー提供の開発環境もすごく安価に手に入るし、無償でも相当充実した開発環境がある場合が多い。ちょっとしたプログラムならLLで十分だし。(組込みは別としても。)
私の感覚だと、OSSってマイコンの「なければ自分で作る」「作るスキルがないなら作った人の真似をさせてもらう」「他人の成果をちゃっかり使わせてもらう」というMy Computerなんですよね。
# その割には普段使っているOSはWindowsだけど。(笑
vyama 「バグ取れワンワン」
Re:通信プロトコルがHTTPSなP2Pファイル共有OSが登場したら、どうやって技術的に遮断・検知で (スコア:1, 興味深い)
必要な通信なら申請してくれれば対処する
とでも言っておけばいいかと。
技術的な検知・遮断は状況証拠で十分な事も多い。
証拠不十分なのにネットワーク管理者が通信を遮断するのは (スコア:1)
「怪しい奴は全員捕らえろ!」みたいじゃん。
端末とネットワーク端子くらいは特定出来ないとなぁ...などと思いつつ。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:証拠不十分なのにネットワーク管理者が通信を遮断するのは (スコア:1)
インターネットプロトコルだけで特定できるなんてすごいな。
#この場合知財ではないよね
Re:証拠不十分なのにネットワーク管理者が通信を遮断するのは (スコア:1)
> 怪しい通信をしている端末のIP、さらにはarpを調べて行けば
> 端末までたどり着いちゃいますよ。
確かに「怪しい」という目星をつけることは出来るし、囮捜査用の箱を用意すればIPとARPを調べて辿っていけるけど、キャプチャしたパケットが「証拠」にはならないでしょ?
・いちいち人(ネットワーク管理者や監視者)が介在して、怪しい端末の目星をつけるの?
・証拠不十分なのに怪しい端末や周辺のネットワーク通信を遮断しちゃうの?
ってことを指摘したいだけ。
コンピュータの管理者や監視員が介在しないと安全を保てない通信(ネットワーク)仕様だと、コンピュータの管理者に本来不要な権限と権力を与えることに繋がるから改善する余地があると思うけどなぁ。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:証拠不十分なのにネットワーク管理者が通信を遮断するのは (スコア:1, 興味深い)
>・証拠不十分なのに怪しい端末や周辺のネットワーク通信を遮断しちゃうの?
ん。
えーっと上の流れは、怪しいHTTPS通信を止められればいいだけではないんですか?
HTTPSで大きな流量の通信をしていたとき
持ち主に何に使っているのか確認すればいいじゃないですか。
証拠はパケットの中身ではなくてパケットの量でしょ?
通信遮断の前にそういう人手のチェックが入ってから
なら問答無用に遮断されるわけじゃないから現場も納得じゃないですか。
>コンピュータの管理者や監視員が介在しないと安全を保てない通信(ネットワーク)仕様だと、
>コンピュータの管理者に本来不要な権限と権力を与えることに繋がるから改善する余地があると思うけどなぁ。
人手が入らないと、抜け道ができるか、通常の運用に
支障が出るくらいガチガチなのが目に見えているので
人が出てくるのは仕方ないと思いますよ。
極端な使用だけのチェックなので人が常時チェックするわけでも
ないでしょうから無用な権限とも言えないでしょう。
ネットワークを適正に運用する為に、必要な権限の範囲だと思いますよ。
HTTPSのパケットの中身解析・・・までやり始めると権限過多とは
思いますけどね。
対象を間違えています (スコア:2, 参考になる)
しかし、@ITの記事 [atmarkit.co.jp]にある通り、
こいつの本来の目的は自宅のパソコンで実行させるのが目的です。
従業員の自宅のパソコンのリソースの使い方まで聞くのがまずくないとでも??
しかも証拠もなしで?
Re:北風と太陽 (スコア:2, すばらしい洞察)
Re:メールの自動送信 (スコア:2, すばらしい洞察)
簡単で格安なツールタダで配ってリサーチして「おたくの会社はこんなにインストールされてまっせー」って言う流れで One Point Wall とか売りつけるって言う。
こんなツールに引っ掛かるような会社が相手ですし、まあカモですよね。