知られていないウィルスも対処 40
ストーリー by wakatono
必要なメールの中身も消えたら嫌だな 部門より
必要なメールの中身も消えたら嫌だな 部門より
ncube2 曰く,"日経新聞によると、ウイルス情報のデータベースには登録されていない未知のウイルスも検出するメールシステムが開発されて、無償公開されるそうな。
1日平均3通はウイルス付きメールが飛んでくるワシとしては早く公開して欲しいところだが、公開時期は今年度中と書かれているところを見ると、未だ完成度は高くないのか?
それから、このシステムでは「コンピューター内に作り出した仮想のパソコンで模擬的にソフトを動かし、ウイルスかどうかを検知する」とあるが、どれだけの種類のパソコンとかOSとかをサポートするのだろうか?充分な処理スピードは得られているのだろうか?
ちなみにワシは「電子ウイルス」という言葉が聞き慣れないんだけど、これって結構一般的な言葉なのだろうか?"
実際にモノがリリースされてから試してみたいものである。でも、ホントにどうやって「ウィルスである」と判別するんだろうか。バグのあるソフトやコマンドを送ってきたら、このソフトの対処対象になったりして…
仮想のパソコンって、 (スコア:2, すばらしい洞察)
Re:たしか・・・ (スコア:2)
製品の発表会では確かにそう言ってました。発表資料にも載ってたと思うけど今どこに行ったかわからん。
だから元記事を見たときに「?」と思ったんだけど....。
時限爆弾 (スコア:2)
すぐには何も起こらないから大丈夫だろうと思って本番の環境でダブルクリックしてしまった…みたいな。
# そういえば最近はそういうウイルスを見かけなくなったような気がします。
Re:仮想マシンで妄想 (スコア:2)
でも日経新聞の記事もかなりそのような書き方ですね。うーん。
やはりもっと詳しい検出方法が知りたい…。
Re:ちょっと怪しい・・・ (スコア:2)
javacだってyaccだってコンパイラだし。
Re:たしか・・・ (スコア:2)
Re:ちょっと怪しい・・・ (スコア:2)
本当にそうだといいですね。(^^;)
Re:仮想マシンで妄想 (スコア:2)
Content-Type: text/htmlな添付ファイルで、画像とかを外から取り込んでくるものもありますよね。
ネットワークにアクセスするものは全てクロ、とするのは、無理があるような気がします。
どのような動作をするものがウイルスなのか、というところがもうすこし厳密に定義されてないと、何でもかんでもクロになってしまって、かえって役に立たなさそうな気がします。
実際のソフトウェアの説明が見つけられないので、なんとも不毛な議論ですが。
Re:仮想マシンで妄想 (スコア:2)
HTML添付メールで、MUAがHTMLをノーチェックで開いて表示してしまうのであれば、そのHTMLがローカルファイルやネットワークを参照してれば灰色ですよね。
だけど、それは「自動的に開かれてしまって、そこに書いてある通りのアクセスをノーチェックで実行してしまうから」危険なわけだ。
実際には一部のヘボMUAを除いてHTML添付メールの扱いはもっとセキュアになっています。
Java Appletのセキュリティが厳しいのは「素姓のはっきりしないWebサーバー」から「内容のはっきりしないプログラム片」が送られてきて「クライアントの計算機資源を使って」「自動的に」実行されてしまうから、なのであって、それを妙に拡大しちゃうのは無意味。
十把一絡げにしたい人はしても構わないけど、必要のないところでそれをやるのが当たり前だという方向の話には全然説得力を感じません。
てな感じなんだけど。元コメントの言いたかったことを見失ってるのであればスマヌ。
Re:仮想マシンで妄想 (スコア:2)
件のシステムってMUA?「送信元の身元を確認して大量受信を排除」ってことはMTAでは?
誰かHTML添付メールの扱いに限定して話してます?あらゆるファイル(アプリ・データ含めて)が検証対象ですよね?
「不便でも安全性が簡単に検証できるほうがまし」なのは認めるけど、それは「検証できれば」の話ではないの?なんぼ安全側にマージンを取ってあるにしても、実用的な程度には安全なファイルを通過させてくれないと誰も使わないだけですし。そもそもそんなに大きなマージン取るんだったらポリシーとして「添付ファイルは全部禁止」(添付ファイルを発見した時点で受信拒否)っていうのでいいんじゃないの?
未知ウイルス撃退メールシステム (スコア:1)
にこの件について書かれているようです。
ウイルスをブロックするかは抽象的な表現で、 実際どうやるのはまでは、わからなかったです。
ぷにお punio@punio.org
なんでも回避できてしまうと (スコア:1)
ウィルス対策ソフトの売り上げが下がったりして(笑)
Sin
たしか・・・ (スコア:1)
余計な機能は穴の素 (スコア:1)
って言われないようにガンバって欲しいかな。まぁ、誤検出にかなり気を遣う必要があり、それが最優先になるシステムでしょうから、大いに「役立たず」となる可能性がある気もします。そして「余計」まっしぐら、ってのも想像しがたくはないですね。
Re:わかっててやられたら (スコア:1)
// kraymor
検出するだけだったら (スコア:1)
tripwire みたいに,ファイルのチェックサムやタイムスタンプ・ディレクトリの内容を突き合わせる,というのはだめなのかしら.
ちょっと怪しい・・・ (スコア:1)
まあ、こういうのは「完成してナンボ」ですからね。今、ここまでできていますというのでも示さない事にはね。
Re:ちょっと怪しい・・・ (スコア:1)
> ハードを物理的に破壊するのはちょっと難しいぞ
ビデオ系なら(比較的)簡単だったような?
Re:ちょっと怪しい・・・ (スコア:1)
Re:ちょっと怪しい・・・ (スコア:1)
X Windows の設定では、スペックを超える値を設定するとディスプレイが破壊される場合がありますといった内容の注意書きがあったような。
BIOS を破壊するというのもありますが、あれは書き換えだから、ハード的に、というのかな、、、まあ、起動しなくなるのは確かだけど。
すごく怪しい (スコア:1)
Q: 次の研究項目の中の間違いを見つけよ。
A: インターネットは1969年の ARPANET ぐらいが起源と考えるのが妥当だろう。
「現在広く普及しつつあるインターネット」なんてのは、マスコミや文化人並の発言に思える。
まあ、いいんじゃない? 研究すれば。あまり成果は期待していないけど。
Re:時限爆弾 (スコア:1)
仮想マシンで妄想 (スコア:1)
ですから、java.securityをがちがちにしてという前提で
1.JavaMail APIにより、コンテンツを分析
2.添付ファイルを構成して、アーカイブしてあるものは解凍する。
3.ひとまず実行してみて、ローカルな資源にアクセスまたは、ネットワークにアクセスするとException発生
4.Exceptionの発生を持って怪しいと判断。
この場合だと、自己解凍の書庫ファイルも怪しいになって しまうのだが。感染してしまうよりいいか。
てな具合でうまくいきませんかね。
ぷにお punio@punio.org
Re:仮想マシンで妄想 (スコア:1)
メールに添付されたファイルで、ネットワークにアクセスするものは、ほぼ間違いなくクロでしょう。
ですから、ローカル資源にアクセスするpolicyを設定すれば、結構イケテルと思うのは私だけでしょうか。
例えば、C:\WINDOWS下はgrantしないとかして
ぷにお punio@punio.org
Re:なんでも回避できてしまうと (スコア:1)
「ウィルスチェッカーが有料になると、マッチポンプをやる奴が出てくるかも知れない」
という動機があったように記憶してますが…。
今後、売り上げが落ちたウィルスチェッカーのメーカーが、その会社の製品でしか捕まえられないウィルスを作って流したりして…。
Re:ちょっと怪しい・・・ (スコア:1)
どうせなら「アセンブラが機械語を生成する」の方がいいでしょう。
ウイルスにやられなきゃいいなら (スコア:1)
ウイルスごときでOS自体がやられる現在の Windows を前提に、クライアントがセキュリティー面で今後も改善しない、 Windows 以外に選択肢が無いとの発想で、脆弱だから仮想マシンで防御しようというのは意味不明です。(Windows だって、セキュリティー面で数年後に改良される可能性も残されています)
そりゃそーだけど (スコア:1)
何でもガチガチにプロテクトすれば安全にはなるけど使い勝手が悪くなるし、逆に自由度を増せば脆弱になる可能性が高くなるのは当然で、安全性と自由度をどうやって(アドホックな方法でなく)両立させるかが今後考えなければならないことでは?
大学の人たちがやっている研究なんだから、何も現在のWindowsを相手にしているわけではないんでしょう。実際にホームページをみると理論的な研究が多いみたいだし。
Re:余計な機能は穴の素 (スコア:1)
メールシステムかどうかは別とすれば、誤検出しても安全側に倒れればいいっていう用途もあるだろうから、そういう用途に限ればいいのかも。
案外、この文部省科研費の研究グループにとって、メールシステムっていうのは自分たちの研究のひとつの応用例に過ぎないのかもね。
Re:仮想マシンで妄想 (スコア:1)
>画像とかを外から取り込んでくるものもあり
>ますよね。
それこそいらない。 画像と見せかけてTrojan
持ち込んだり、カモの居場所名簿を作る手助け
したりすることもできるわけでしょ?
十把一絡げで「危険」と見なしていいのでは?
Re:仮想マシンで妄想 (スコア:1)
疑わしきは罰せずを誠実に守ろうとしてセキュリティポリシーが疲弊していくよりは不便でも安全性が簡単に検証できる方がなんぼか増しだろうと。
時間稼ぎでしかないのかもしれませんが。
Re:仮想マシンで妄想 (スコア:1)
#35
で、とりあえずはHTML添付メールの扱いに限定したつもりだったのですが、そう読めなかったのならばごめんなさい。
それにしても、「サンドボックスで検証」と「添付ファイルは全部禁止」は、かなり距離があると思いますが。同一視にはかなり抵抗があります。
(ただし、ポリシーとしてなら「添付ファイルは全部禁止」もありでしょう、当然。)
「実用的な程度には安全なファイルを通過させてくれないと誰も使わない」というのはおっしゃるとおりで、結局これが問題として残ります。
/.なら「実用的な程度」に関して百出した議論をだれかが取捨選択して一つの強烈な個性 :-) を持ったシステムに仕上げていくわけですが、この段階で百人百様の意見が出てしまうのは避けがたいことなのでは。
Re:仮想マシンで妄想 (スコア:1)
(仮想マシンはVBSの仮想マシンだけで十分なような気もしますけど…)
わかっててやられたら (スコア:0)
でも、このウィルス検知ソフトが動いているかどうかの判定はソフト側からできるだとろうと思うので、結局どうどうめぐり、いたちごっこのような気がするなぁ。
ということで、最初の投稿メッセージに戻る →→→
東工大の柴山さん? (スコア:0)
拝見しましたが それっぽい研究は表立ってはやっておられないようですね。
柴山研究室自体はセキュリティとはあまり関係なさそうなことをやっているように見受けられます。
http://www.is.titech.ac.jp/~etsuya/lab/index-j.html
Re:ちょっと怪しい・・・ (スコア:0)
これは正しいと思うが・・・どこが間違い?
Re:ちょっと怪しい・・・ (スコア:0)
Re:ちょっと怪しい・・・ (スコア:0)
たしかに昔のCコンパイラはアセンブラのソースを生成していた。
それから、初期のC++コンパイラは、C言語のソースを生成していた。
だが、最近のコンパイラでは、直接、機械語を生成しているものも多いはず。
「実行可能な機械語に変換」という表現には、そんなに問題があるとも思えないのだが・・・
現在ではむしろ、「機械語以外を生成するコンパイラ」のほうが、例外的になりつつあるのでは?
# オフ・トピックス気味だが、/.らしい話題だと思うので、勘弁・・・
ヘボ、引っ込め (スコア:0, フレームのもと)
>「機械語以外を生成するコンパイラ」のほうが、例外的になりつつあるのでは?
gccは?
プリプロセス、コンパイル、アセンブル、リンクを連続して行うのを、直接機械語が生成されるのと思い込んでるの?
本当に、迷惑だから大間違い意見で他人に反論してこないで欲しい。これ以上何か言ってきても無視する。
Re:ヘボ、引っ込め (スコア:0)
・・ということですが。一応。(無視していただいて結構です)
gccが今でもアセンブラを経由しているのであれば、たしかに「例外的」と書いたのは言い過ぎであったかもしれません。 まず、その点については、お詫びしたいと思います。
以前、私が4.xbsdのpccを使っていたときには、たしかにアセンブラを経由してオブジェクトを生成していました。 でも、その後はUNIXを離れていたので、gccについては詳しくは知りません。
pcc以降、私が使ったコンパイラは、アセンブラは経由せず、直接オブジェクトを生成しているものばかり。 そこで「例外的」と書いたわけですが。
自分の開発環境を中心に考えてしまったのは、失敗でした。
ただ、考えてみていただきたいのは「コンパイラ=アセンブラを経由」という考え方もまた、絶対ではないということ。 アセンブラを経由せず、直接、オブジェクトを生成するコンパイラも、けっして珍しいわけではありません。(Turboシリーズとか、CodeWarriorとか。Visual Cも、もしかするとそうかも)