IOTのセキュリティについての報道がありました。大嘘です。
(20180530に追加)フライング。
DLLのローディング問題(補完)。
DLLの検索順位の問題ではありません。根本的なセキュリティを考えない設計体質が問題です。
基本的に、ユーザープログラムに付随のDLLが、OSの根幹を成すシステムDLLと同名だったとしても、通常は置き換えてローディングすること自体が有り得ません。まず第三者モードとカーネルモードの違いを考慮しないことはナンセンスです。更に、システム領域にあるDLLの考え方が間違っています。
そのDLLがカーネルモードなのか。システムDLLなのか。登録エリアがどこなのかすらチェックしていないことになります。全くサーチパスがどうとか以前の問題であることは明らかです。
これもセキュリティを考慮したきちんとしたファイルシステムでは、根幹的なカーネルモードのシステムDLLが置き換えられたり、無くなったりすること自体がまずあり得ないことです。(ハードウエア認証のルート権限管理者が手動で行う以外は。デフォルトではネットからの遠隔で、このような操作を行えるようにすること自体も有り得ません)
更に、セキュアシステムDB(セキュリティを考慮したコンピュータの構成情報などを管理するレジストリのようなもの)などと、このセキュアなファイルシステムがあれば、アプリケーション間のDLLの管理も確実に行えます。製作者もわからない怪しいDLLが、他のアプリーケーションの使用でローディングされることもあり得ないことです。上記権限者が手動で設定、もしくは起動しないと不可能です。
USB起動問題。
USBから、挿入時に自動的にプログラムを起動する場合でも、OSが感知できない方法で行うことは絶対に不可能です。この前提をまず考えてください。ハードウエア認証のルート権限管理者がUSBからの実行可能プログラムの起動をオフにするだけです。少なくとも、インフォームド・コンセントのポリシーに則って、USBからの起動があった場合は、許可を求めるフォームが出るなどの報連相が当たり前です。2018年にもなって、何もなく恐怖だけが煽られています。
RPC問題。
私のOSではRPCのサービスを停止できません。これを停止するとOSが動かないとエラーが出ます。RPCとは、クライアントRPCは、他のPCにある関数を呼び出して実行させるものであり、サーバーRPCは、他のPCから自分のPC内部にある関数を呼び出されて実行するものです。
では、「このPCはネットに繋がないと起動できないのでしょうか。ネットに繋がずにスタンドアロンでは使えないのでしょうか」という質問と、「もし、スタンドアロンで動くなら、RPCは何をしているのでしょうか。なぜRPCサービスを停止できないのでしょうか」という素朴な質問が論理的に整合性が取れないことになってしまいます。
リモートアシスタンスのところでも書きました。私のPCの不具合で、以前調べると勝手に、消去したWiFiのドライバが復活し、リモートアシスタンスがONになっていました。私のような人間にはリモートアシスタンスは害悪でしかありません。しかし、OSはデフォルトでインストールします。これは、デフォルトではインストールするべきではないと考えます。ちなみに、ノートPCのWiFiモジュール(ブルートゥースなどの無線関連も)なども取り外し式にする方が、使用しない人には確実に安全です。特に無線関連は危険だと体験談から言っておきます。
同じように、RPCサーバー&クライアントは一般家庭のPCには必要ありません。なぜサービスすら停止できないのでしょうか。今のシステムはDLLの構築でなりたっています。DLLは簡単に入れ替えることができます。なぜRPC対応と非対応DLLに分けることすらしないのでしょうか。少なくともRPCサーバは一般家庭のPCには必要ありません。
OLE系列問題。
作成中。
覚え書き
(新パラダイム)
学術的オープンソース
コレクティブ・コードベース
(セキュアポリシー)
インフォームド・コンセント
ディープアナライジング
ディープカスタマイジング
(アルティメットセキュア根幹)
セキュア・システム構成・DB
セキュア・ファイルシステム
スフィア・プロテクション(カーネルコアと第三者プログラムの完全分離など)
(その他)
人間シュミレーション
キャラクタジェネレーション
FSS
<20180507追加>
※このオープンデザインとオープンソースですが、根幹に関わる部分で一部でもブラックボックスや非公開メソッドが存在すると、それはオープンではなくなりますので、そのような詭弁には気を付ける必要があります。きちんとした検証が必要です。あと、デバイスドライバなどの第三者プログラムが、オープンソース以外で動く場合には、それがOSと同じレベルの特権モードで動く場合は無効となります。
PCのタイミングの良い不具合ばかりです。セキュリティソフトは外しました。同じような症状ばかりです。Windowsの可能性が高いです。日本支社に創価が入り込んでいることは、村木厚子事件で露呈しています。
最近ではハッキリと、下記を推進するべきだと思っています。
仮想マシン・仮想OSは、オープンデザインとオープンソースで、セキュリティを本気で考える方向性が必要不可欠だと考えます。
一台のPCで多くのOSを干渉なく使える土台となるOSのことですが、複数のものをシームレスに切り替えて使う方が、それぞれの特徴がよく分かって良いと思いますし、高い金額で交流したものが、オープンソースでフリーのものより脆弱性だらけといった意味不明の現象をなんとかできる可能性があります。
平等で真っ当な土壌で、適切な競争があるほうが、お互いに切磋琢磨して、ダーウィンの法則の通りに良いものは自然淘汰で選ばれてくると考えます。私はセキュリティが一番大事だと考えていますし、比較検証はし続けますが、一番問題の起こらないものをメインとして選ぶでしょう。
残念ながら、歴史が物語るように、ブラックボックスが一番の腐敗の温床になるようです。公明正大(某カルトのせいであまり使用したくなりましたが)に全ての設計とソースコードを明らかにすることで、バグだけでなく、恣意的で故意に悪用されうる非公開コードを排除することが可能です。カルトなどの内部要員によるヒューマンエラーによる問題が指摘されている昨今です。コンピュータがないと生活ができない現代では当然のことのように思われます。
勿論、全てのアプリケーションをオープンソースにする必要はなく、上記のようなセキュリティに関わる根幹的なものは必要だと思います。ホストOS全体とデバイスドライバ、ゲストOSのカーネル、デバイスドライバ部分などの、特に特権モードで動く部分は、その方が安全かと思います。また、コンパイラ、ブラウザ、セキュリティソフトなども根幹なので、範囲に入ると思います。
そして、できれば、こういった基本的根幹的なものは、世界の多くの人間が参加して成長させていくためにも、多くの参加を呼びかけてフリーで提供されることが良いかと思います。この上での各社の競争があれば良いのではないかと考えます。ここはただの個人的な意見です。
コンピュータ関連が必須の時代では、これらの基本ソフトは国民や世界中の人々の資産となる大事な部分です。特にセキュリティの担保が最優先で必須です。
この部分に関しては、「オープンデザイン」、「オープンアーキテクチャ」、「オープンソース」などは自明の理だと思います。
全ての人間が理解して、全ての人間が関わり、全ての人間で担保し改善改良、保守管理するべきものです。
現在のPCには本当の堅牢性は全く感じません。PCの内容も多く露呈しているようで、この7年ほど仄めかされてきました。私はハイテクは過信し過ぎると逆に怖い存在であり、他人に任せきるのであれば、ローテクを推奨します。まだ、遠位筆とノートの方が安全です。誰にも知られたくないことや、アイデアなどは気を付けた方が良いと経験則で伝えて置きます。
XCodeBase(まだ名前が決まってない)
<20180407追加10>フライング2。
まず、カーネルモードで動くようなDLLは、システムDLLです。
これはサーチパスがどうなっていようとも、システム領域から起動します。
これがユーザー定義のものに切り替わる時点で不自然極まりないことです。
そして、私の提唱するセキュア・ファイル・システムでは、システム領域にある、システムDLLは改ざんや置き換えができません。これは、トロイの木馬のところで語ったことと同じです。実行ファイルの改ざんができないことと同じです。これに不正規の置き換えができないことがセットになります。
つまり、このようなことが起るのは設計が杜撰だからです。
また私の提唱する、セキュア・システムDBでは、各実行可能ファイルのDLL周りの規制項目が厳格に設定されています。開発元、バージョン、ビルドナンバー、サイズ、CRCなどで確実に検証されます。まず不正規に入れ替わることが可能な時点で不自然です。通常のDLLとシステムDLLは根本的に種類が違います。
それからデフォルトのサーチで、実行可能ファイルの置いてあるフォルダの優先度が高いことも意味不明で、システムDLLが優先順位の高い場所に存在していないことも意味不明なことです。きちんとした設計であれば有り得ないことだからです。
DLL(ダイナミックリンクライブラリ)も基本的には実行ファイルと同じです。
このファイルも基本的には、リング3モード・プログラムと同じ制約があり、基本的なセキュリティが機能します。静的(スターティック)なライブラリは、コンパイルの後のリンク時に実行可能ファイルと一緒にされますが、動的(ダイナミック)なライブラリは、基本的には、実行可能プログラムがAPIを呼び出したときに、それが含まれるDLLファイルが自動敵にローディングされて、動的にリンクされて、呼び出されるものです。実行時に動的にリンクされる、外部にあるサブルーチン集合体のようなファイルです。
ダウンロードした実行ファイルのあるフォルダ以下のDLLは全て、リング3モードで起動しているはずです。OS側できちんと設計してあれば、このDLLに悪意のあるコードが含まれていても、基本的には実行可能ファイルのようなセキュリティ機能が使えます。
過去にダウンロードされたフォルダ内部に残っている悪意あるDLLが呼び出されると危険とありますが、基本的に実行ファイルのあるフォルダか、それ以下のフォルダ以外のDLL、それもシステムDLLが呼び出された場合は警告を出すだけで解決してしまいます。
発見が困難というのがウゾです。上記のように簡単な規則で発見ができてしまいます。
この程度のことも考えられていません。
ウエブからのダウンロードフォルダに残っている悪意のあるプログラムからの実行とあります。通常は圧縮ファイルでダウンロードします。圧縮ファイルの内部にある、実行可能ファイルやDLLは直接起動できないようになっているハズです。また、ダウンロードファイルからの直接の実行は禁止できるようにすれば済む話しです。直接というのはEXEファイルなどを直接に実行するものです。拡張子から別の登録アプリケーションを実行するものは別です。更に、このフォルダや、それ以下のフォルダからは、ハードウエア認証の実行のみの設定にもできます。つまり、ネットワークを介したり、他のプログラムからの起動は禁止することです。まず、ウエブブラウザからダウンローヅする先はこのフォルダ以下に限定する機能も必要です。自分が作ったフォルダにダウンロードや移動するなどは、どこに移動したか忘れてしまうのでこれこそ散財してカオスになる可能性があり、一元管理の方が良いかと思います。これを勧めるのはきちんと管理できる人間だけです。ダウンロード後の自動インストールも禁止できます。
このDLLのプリロード攻撃による、カーネルモードプログラムの起動は、ルート権限でも考えられません。ルート権限でカーネルモードプログラムをユーザーが実行しようとした段階で警告するのが普通です。また、私の提唱する完全なファイルシステムではOSのコンポーネントであるシステムDLLは書き換えたり、置き換えることができません。リング3ユーザーモードが呼び出すニセモノのDLLは悪意のあるコードでも直接にはカーネルモードでは動けません。つまり、OSのメモリエリアを読書したり、特権モードの命令は実行できなく、クリティカルな問題には発展しないのが普通です。不明なプログラムが悪意あるものであって、それをダウンロードして実行してしまったことと変わりません。通常は保護機能が働きます。
DLLコンポーネントのローディング・サーチパス方式とセキュリティ
ここも基本的には、他の実行ファイルと同じことです。OS標準のシステムDLLや有名開発元のDLL以外に置き換わった場合は警告を出すというものです。個人的に変えたい人は変えれば良いだけで、デフォルトでこうなっていないことが大きな問題です。特にクリティカルなシステムDLLが変更されても警告も出さないのは、インフォームド・コンセントとしても疑問符です。
あと、レジストリファイルの実行について。
環境変数→構造化・レジストリ→DB→セキュア・システム・DB(SSDB)
ローダー→実行マネージャ(これとSSDBが連携して、DLL管理も入る)
(オープンソース関連)オープンソースのAPIとその呼び出し規則の一覧と、実際のネイティブコードの違いを検出するプログラム。これでコンパイルしなくても、ある程度のチェックが可能。
(20180403追加9)フライング。
全ての第三者プログラムは、プログラムそれぞれが実行されるメモリは全て独立しています。他のプログラムが置いてある物理メモリを指定することすらできません。きちんとしたOSではこれが可能です。
また、全ての第三者プログラムはコンピュータの機能を使うときには、必ずOSのAPIを呼び出してその機能を使う構造になっています。
第三者プログラムは、OSが使用するような特権命令は絶対に実行できません。
これらはハードウエアのセキュリティ機構で担保されています。ハード的に機能します。
つまり、本来は悪意のある第三者プログラムがどういった作りになっていても、システム領域を勝手に覗いたり改ざんすることなどは絶対にできない構造になるはずです。
これをベースにして、下記の事象を考察します。
<辞書付きパスワードの総当たりハッキング>
ハードウエア認証のキーボードからなど、プログラムからできない構造にすること。
人間だと20回も失敗する経験の方が稀です。辞書付きといっても何千何万回のトライです。現在のパスワードの複雑性のお知らせと一緒に、回数制限を厳格に行い。問題時は管理者に通知する。また解除方法もハードウエア認証方式とする。
以外と簡単な対策も成されていないということです。
<トロイの木馬>
まず、プログラムはファイル形式でHDDなどに格納されており、実行するときは、必ずローダーと言われるOSプログラムがHDDから読み込み、コンピュータのメモリに格納して実行されます。この読み込みの際に、CRCなどのチェックサムを行えば100%プログラムの改ざんが発見できます。
現在は、何故かCRCの亜種を放置しており、同じ会社名、バージョン、ビルドナンバー、サイズが同じでも、数千のCRCエラーの亜種が世界で放置されている状況です。
これを、会社からのダウンロード時やインストール時に、製造会社や公式サイトから提供されたCRCやインストール時にチェックしたCRCを、OSシステムのデータベースに登録して置くだけです。これで、ほぼ100%トロイの木馬型は消滅します。
毎回チェックするのは時間が掛かる場合は、私の提唱するファイルシステムを使うと、最初にチェックするだけで確実性が担保されますので、毎回のチェックも必要ありません。
実行ファイルにリソースなどが入る構造は分理規格(ファイルシステム上では複数のファイルを表示は1つにする方法、チャンク方式にする方法)にすることもできますし、ファイル内のコード部分だけを正確にチェックする方法も可能です。
また、自分のPCで既存プログラムの改ざんをしたい場合は、ルート権限のハードウエア認証で許可して行うことが可能です。この場合は、必ずファイル表示やアイコンが改ざんマークを付けて表示します。プログラムを起動するときに確認することや、私の提唱するインフォームド・コンセント・ポリシーでは、動線で警告します。
また、仮に悪意のプログラムが実行されたとしても、ベースの定義にあるように、第三者プログラムからはシステム領域は侵犯できません。
このようなことも実は、まだ対策されていません。
※インフォームド・コンセント・ポリシーとは、病院で行われているものを、コンピュータ・サイエンスに置き換えるだけです。例えば、掲示板などで「NGワード」とでることがありますが、そこで「どこがNGワード」なのかを表示しないことがあります。意味不明です。こういった当たり前のことができない設計が、陰でヤマシイ思惑が存在するからと疑われる部分でもあります。私の提唱するものは、こういったものは有り得ません。エラーが発生しても、ただエラーですと落ちるだけでは、これには当て嵌まらないのです。当たり前がおざなりになっています。
<テキストファイルで感染>
<デバイスドライバ問題>
実は、現在のデバイスドライバなどのサードパーティプログラム(OS会社以外が作ったプログラム)は、CPUのハードウエアセキュリティ機構の外にあります。
これも現在の仮想化技術を使うと、完全にセキュアな構造にすることが可能です。
<メモリリーク問題>
これは、致命的なセキュリティ問題(システムハックなど)の項目ではありません。しかし、効率などに多大な影響を与える可能性があります。ハッキングはされませんが、メモリが100%などになりシステムがダウンする可能性などです。
これは、OSの設計がシッカリしていると確実に把握できる問題です。
内部に第三者が作ったプラグインなどの存在するソフトウエアは、
まず、全ての第三者プログラムはメモリを使用する歳に、必ずOSのAPIを呼び出して要求します。これはベースに書いてある通りです。
OSは99%の段階で、第三者ソフトからのメモリ要求を停止しなくてはなりません。80%で全てのメモリのチェックを順次しなくてはなりません。
オープンデザインとオープンソースの強みについて。
<オープンソース>
悪いハッカー(クラッカー)が0.001%だとして、それ以外のコンピュータ技術者が9.999%とすると。クラッカーはOSなどをリエンジニアリングして解析することが仕事です。つまりオープンソースでなくても解析します。一方で通常のエンジニアはそのようなことは、ほぼしません。これがオープンソースになって通常のエンジニアの50%がソースコードを読むようになれば、0.001対50です。確率問題です。実際には世界には、マニアや研修者を合わせるともっと存在していて、クラッカーの比率は少ないでしょう。また、一人の人間が膨大にあるソースコードを一日に読める量が同じだとして、多くの人間が分散しているので、ソースコード全体への検証率も大きくなります。要は物量作戦です。これらの観点から、明らかに脆弱性発見について、比較的相対的に効果が期待され合理的です。世の中に100%絶対といったものはありませんが、こちらの方が明らかに効果が期待できると言うことです。
<オープンデザイン>
全ての規格が公開されていると。それを元に全ての機能が正常に動いているかを検証できます。これの代表例はネット通信の規格を全て定義して取り扱うRFCなどがあります。
これで悪意のあるセキュリティホールや非公開の機能を排除することができます。この問題の意味がよく分かる一例として、パトレイバー劇場版1があります。HOSです。ブラックボックスだとヒューマンエラーも防ぐことは難しいということです。私自身の経験談でも、様々の企業にカルトが潜伏しているようで、オペレータが悪さをするといった内在的な問題が露呈しています。企業内部の社員の管理徹底が、きちんと成されていません。コンプライアンスの問題が放置されているのが現状のようです。SEやプログラマも同様です。
上記2つがしっかりしていれば、アニメのようなことは起こりえません。また、過去には某サーバのプログラムに遠隔操作する機能が忍び込まされていたという実例が存在しています。プログラマの一人が画策したものと思われますが、そのメーカーは直後にオープンソースにしています。こういった問題を未然に防ぐことができます。つまり、こういった件でもオープンソース化は効果があるということです。
私の提唱するゼウスシステムでは、セキュリティソフトすら殆ど必要なくなると予測できます。これは、OSの仮想化を推奨するというものです。ホストOSは全てに置いて、オオープンデザインであり、オープンソースにするべきです。また、このことで、多くの人間が機関ソフトに興味と関心を持ち、一般人でも、要望や提案、報告が気軽に自由に行えて、皆で考えていくことが可能だからです。これが民主主義の根幹でもあります。
私の提唱する、アルティメットセキュアである、ガーディアンセラフィは、この上に乗るゲストOSですが、ここもカーネル部分とデバイスドライバ、APIを担当するサブシステムは、オープンデザインであり、オープンソースであるべきと思っています。上記の名前は私の空想です。
これらのセキュリティが担保されていれば、その上に何が乗ってもほぼ問題なく、他のOSやアプリケーションなどはその上で適切な競争をすれば良い訳です。この上の部分は、オープンデザインやオープンソースは自由となります。
(20180329追加8)フライングです。
それぞれのOSはこの上で競争する形になる。それぞれのOSに利点があり、一つのPCからどの用途にはどのOSを使うと渡り歩くことができる。これによりユーザーはそれぞれのOSを直接比較して検討し選択することが可能。これでダーウインの法則の通りの適切な競争が生まれて、セキュリティや発展を促す効果となる。それぞれのゲストOSは他のゲストOSの領域を絶対に侵犯できない。
また、それぞれのゲストOSの間やHVとの間で、高速切替や機能呼び出しスーパーインポーズ、セキュアなファイル交換が可能。そして、実験的なOSも、一台のPC上で、オンタイムに、安全にテストができるため、多くの実験的なOSの試みが起ることが期待できる。OSの敷居が下がることが期待できる。一台のPCで、クロスコンパイラと、実行テストの同時進行が、安全に可能ということ。
全てのプログラムはマシン語で動いている。全ての第三者プログラムは、一般命令のマシン語とOSが提供するAPIで実行する。OSの機能はAPI呼び出し以外では使えない。
CPUは、今走っているプログラムが第三者コード(リング3モード)なのか、OSのスーパーバイザーコード(スーパーバイザーモード)なのかを認識して、第三者コードはカーネルモードリング0のマシン語を実行させない。リング3のコードは、特権命令を実行させない。
CPUは、今走っているプログラムがハイパーバイザーコード(ハイパーバイザーモード)なのか、上記それ以外(R3モードやSVモードなど)なのかを認識する。スーパーバイザーコードの特権命令、IOポート命令、IRQ命令などの実行をフックし、所定のハイパーバイザーコードの呼び出しか、
CPU時代の機能でエミュレートさせる。それぞれのSVには単一のIOがあるように見せるのが、HVの仮想デバイスドライバに当たる。HDDもそれぞれのSVには単一のHDDが存在するように見せる。それぞれのSVからは、クラスタ・トラック・セクタ共に0から始まるように見える。実際はパーティショニングされており別れている。それぞれのSVから他のSVのHDD領域は直接には読書できない。
ゲストOSは仮想ハードを従来のデバイスドライバモードでコール(レガシーモードなど)するのか、ホストOSのデバイスAPIとして呼び出すかの選択をする。または、CPUが提供する仮想ハード割り込みとして直接ハード(これにはHVの設定がハード的に適用される)を呼び出す。
各ゲストOSのスーパーバイザーコンテキストスイッチを処理する。
SV用のタイムシェアリングスケジューラの概念を更に上のHVで処理する。
上のゲストOSは、通常のDOSV構造のみを対象に設計されていても問題なく動く構造にする。仮想化OS規格(オープンデザイン)に対応した方が早い。
CPUが同じだと一般命令のマシン語は通常通り実行される。勿論、メモリ境界チェックやセキュリティチェックは今まで通りと、HV用に拡張されてチェック機構が入る。ここでパーティショニングなどのHDDの境界チェックやセキュリティチェックが追加される。CPUが違うとマシン語コードの変換を要するので、平均顔の中間コードにしておくとまだ早い。
(20180327追加7)フライングです。
セキュアのためには、「国民総プログラマー」と「国民総コンピュータ理解者」の養成を目指す必要があります。全体を底上げし、誰でもがDIYで、あらゆるソフトウエアを作れるように目指します。 生活に欠かせなくなったPCの深い知識と理解を持ち、もっと身近にすることが大事です。そのために下記の流れも必要になると思います。
根幹部分のプログラムの、「オープンデザイン」と「オープンソース化」が望まれます。
根幹部分とは、クリティカルな部分で、セキュリティの根幹を担当する基本システム部分です。ゲストOS のカーネルやデバイスドライバ部分、ホストOS の全体部分などのことです。
オープンデザインとは、全ての構造や機能を明示的に規格化することです。具体的な方法論を網羅し周知することで、規格外の機能や非公式のメソッドを排除して、誰でも全てをチェックできるようにして、見えないセキュリティホールの脆弱性や悪用を防止することです。全てを規格化し、全て明確に定義し、全てを公開し、周知徹底した方が、脆弱性は確実に発見し易いことは、周知のことです。
オープンソースは、読んで字の如くですが、オープンデザイン規格に則った、具体的な実装コードを読める人は誰でも可読可能にして、多くの人間にチェックしてもらい、脆弱性の発見や効率の改善などの意見を募るものです。明らかに問題の発見が早く、故意の悪意を防ぐことが可能です。不特定多数の人間がチェックする方が、脆弱性が確実に発見し易いことは、周知のことです。
オープンデザイン規格を準拠してれば、オブジェクト指向的単位や機能単位のブロックやモジュールは、誰が作っても正確に動作し、セキュアが担保されます。そして、優秀な人間のコードに、ブロッグやモジュール単位で、簡単に入れ替えることが可能です。より完成に近づくマインドも発生します。多くの人間の参加で、プログラム自体も美しく収斂されていくでしょう。
私の言うオープンソース化とは、ソースコードの開示だけでなく。その機能や構造の説明や、ブロック図、インターフェース図、データモデルとアルゴリズムの説明などの、ソースコードの可読性を上げるための資料も付けることを推奨します。多くの人間により深い理解を求めるからです。
その他に、「トレンドイシューの規格化共有化」と「コードライブラリ構想」があります。
トレンドの共有化は、(Secure OS Engineering Task Force:SOSETF と、その Request for Comments:RFC)などを担当する、公開された組織が、最新のイシューを導入して、セキュリティに影響がないかどうかのチェックを、参加する全ての人の意見交換で進めていきます。これはネット関連のRFCと同じで、全てを明確に定義して、公開することで、見えない非公開やブラックボックスを排除します。
また、コンピュータ・サイエンスの世界も、もっと科学の世界と同じように、シンプルイズベストが称賛されるようになる必要があります。ここへ向かって収斂させ指導することも、この機関の仕事です。関係者の全体における理解も早く、無駄に複雑化して重複、肥大化するよりは、遥かに脆弱性に堅牢だということは周知のことです。
実験段階のものは、オープンデザインのみで構いませんが、実際の実装には、オープンソース化が必要です。
後進を育てるために、その時点で存在する全ての情報を、図解で、分かり易くテキストにすることや、出版に関わる部分の作業をするなどの、エデュケーションも担当します。
コードライブラリ構想は、ちょっと説明が難しいですが、端的にいうと、、、
(20180311追加6)
メモリリークについて。
メモリリークはメモリ使用率が莫大になる効率面の不具合に関わりますが、基本的に乗っ取られることや操作されるなどの脆弱性ではありません。これもOSの基本機能の対策で完全に防ぐことは可能です。
Wifiなど無線モジュール。
私のノートPCでは、BIOSでOFFにしても、OSでOFFにしてタスクマネージャから消えていても勝手に動いている可能性があります。私は無線LANもブルートゥースも使用していません。常日頃は有線LANを使用し、使わない時はハブの電源を落とします。それでもPC内部のフォルダの内容が大きく変更されていることや、タイミングよく何かが動作することがあります。それでこの辺りも少し可能性があると考えます。
解決策は簡単で、WiFiモジュールなどを外せるようにするか。ビルトインされてないモデルを作ることです。何事も選べることが大事で、選択の幅が広いことが大事です。
機能がないPCでもUSB対応の無線LANもあり、使う時に取り付ければ良いだけです。私は必要がないので、無線LANが入ってないモデルが欲しいです。
また、USB3規格のPCカード規格を作るだけです。規格も1USB、2USB、4USBタイプと上位互換のカード規格にするべきです。USBは4線で、二本が電源なので、2+2Nの端子が必要なだけです。USB規格のPCカードなら使う人は取り付けていれば良いだけです。あとで簡単に増設できるので便利です。
固定IPについて。
固定IPが大きな脆弱性をもたらしています。昔は一般は固定IPではなかったですが、IPv6や光ケーブルになって個人宅も固定IPが進んでいます。しかし、これは攻撃者としてはとても行い易い形になります。
漏洩電波を傍受して画面を除くテンペストですが、最近ではPC内部から敢えてディスプレイの伝搬を飛ばすアクティブテンペストの存在も疑われています。昔のタイプはパッシブテンペストと名前にしました。
オープンデザインについて
何事にも規格がきちっと決まっています。ネットだとRFCなどです。これ以外の非公開メソッドや規格などのブラックボックスを作ることは脆弱性の元以外の何者でもありません。私は禁止するべきだと考えます。規格にないものなので、我々はそこに脆弱性があっても調べようがありません。だから、オープンソースも似たようにまだマシなのです。一部の人間が調べるよりは世界中の多くの人間が調べた方が脆弱性は発見されやすいのです。
下記は証拠として、もう一度書き足します。(追加5フライング)
「バッファオーバーラン(すみません、メモリオーバーランと書いていました)」は、オブジェクト指向とMMCにより、コード部分とデータ部分を分離する対策で不可能になります。バッファは必ずデータ用のメモリになり完全に実行不可能の領域として分離されます。そこにどれだけのマシン語コードを上書きしようと実行されることは有り得ません。
「スタックオーバラン」は、同じようにスタックもスタック用のメモリとして分離していれば、どれだけコード部分が上書きされてアドレスが増えようとも、リミッタでそれ以外のメモリに上書きすることはできません。つまり、スタックに上書きすることは事実上不可能です。
呼び出し関数のリターン時に使用する戻りアドレスが上書きされて、バッファを超えて書き込んだマシン語コードにジャンプさせる技は、バッファのあるデータ領域では実行が禁止されていれば起動(IPやPCはこのメモリをさせません)しませんし、スタックメモリが分離しているとアドレスが上書き(PUSH、POPなどスタック操作コード以外の操作を禁止することもできる)できませんので、この2つの欠陥がどちらも動いて始めて悪意のあるプログラムが動けることになります。どちらも根本的に対策を取ると、どのようなソフトのプログラマが目アレスミスしても発生できません。この手のものは一生生み出されないと言うことです。
また、この機能がなくて、仮に同じようなミスをしても、単体テストで、仕様以外のあらゆるパターンのデータを仕様以上に大量に投入してエラーが出ない段階で気付かなければ不自然という程の基本的なものです。また、結合テストでは、本来のデータが上書きされて意味をなさないので、動作が正常に動く方がオカシイ話しです。カーネルモードのプログラムを書けるほどのエキスパートの人間がこのような基本的なミスをすること自体ナンセンスですが、このミスが単体テストや結合テストで、すり抜けることも、とても考えられないものです。
また、オブジェクト指向の考え方とMMCによるセキュリティ構造以外にも、ハードレベル、OSレベル、コンパイラレベルにおいて、防ぐ方法は他にもいくつも考えられます。つまり、全てのプログラマーに指導しなくても、完全に根治することは不可能ではないということです。
(緊急に報告追加します)20180202
本日、2018年の2月2日に急にネットに繋げなくされました。
下記の文章を書き終わってアップしようとした瞬間にです。4時間以上繋がりませんでした。ツイッターには携帯から報告しています。このタイミングです。
明らかな言論妨害と人権蹂躙です。現在の日本では憲法に定められるプライバシーや人権は無視されます。このようなことが平気で起こりますので、明らかに法治国家でもありません。
独裁国家や奴隷制度と呼ばれても不思議ではないことが現実に被害者の家では起こっています。
『先程の「メモリーオーバーランとスタックオーバラン」のフライング直後に、画面が数行暗転して、その後画面が壊れた表示になり戻りました。この間のスクリーンショットが使えませんでした。こういったことが起こります。このぶ具合は今回が始めてです。
この部類の以上は明らかにデバイスドライバクラスのものです。第三者プログラムでは出来ない芸当が平然と起こっています。
因みに、OSの会社が作っているもの以外の第三者のカーネルモードプログラムが現在では最高特権モードで動いています。これはOSカーネルやシステム領域を書き換えることもできるということです。デバイスドライバとセキュリティソフトです。
これだけの因果関係や相関関係が明らかなことが起こっています。被害者のPCでは多数の事象がタイミングよく起こっています。
世界中の「どんな立場」の「どのような人」が「どのような目的のウイルス」を作ってたと仮定して。
ウイルスを作成すると必ず「創価SGI」に反応するようになってしまうのでしょうか。
そのようなことは有り得ません。逆に言うと、日本で起こるウイルスは創価学会が作っていることになってしまいます。
これが「セキュリティはマッチポンプである」という根拠です。他にも証拠はアップしています。
#創価 #ウイルス #マッチポンプ』
(20180202追加4)フライング
メモリオーバーランとスタックオーバーランについて。
この2つは、「これは気付かなかった」といった根幹的な脆弱性です。
以前の設計(フラットなメモリモデル)でこの2つを利用すると第三者が自分のプログラムを実行することが可能なレベルです。最高レベルの危険度のものでした。
しかし、これは20年以上も前の「石器時代」のものです。
現在では、きちんと考えれば根本的な対策が取れます。
プログラマーがミスをする可能性があるので、プログラマーが対策をといったページもありますが、基礎の段階で対策を取れば問題はなくなります。
また、カーネルモードで動くようなエキスパートの仕事を行うようなプログラマーには有り得ない初歩的なミスで、そこに使われるようなコアなプログラムでは単体テストや結合テストで、必ずといって良いほどテストされる基本的なものだと思います。このテストをすり抜ける方が難しいです。
現在では基本的な対策が取れますし、まだ根幹的な部分で存在している方が不自然なものです。
基本的に現在のCPUセキュリティ機構MMCセキュリティ機構で対応できる問題です。
基本的にオブジェクト指向型の考えを導入していると、コードメモリとデータメモリ、スタックメモリは分離して管理できます。
なので、メモリオーバーランはどれだけデータをマシン語コードで埋め尽くそうが実行されることは有り得ません。また、スタックも、コードやデータと同じ論理メモリ空間にマッピングされていても、セレクタのリミットがあるので上書きできません。本来はこういった設計になっていなくてはダメなのです。
更に万が一に第三者プログラムが暴走しても、そのプログラムが管轄する範囲内だけで、システム領域が暴走する訳ではありません。タスクマネージャで終了させるだけです。
また、通常はバッファにはループを使って格納していくので、バッファの長さを見ないプログラムの方が珍しいです。データとスタックが混在していても、ヒープ領域を確保する段階でスタックポインタの位置を確認するなどは大した量のコードでもなく普通にチェックします。単体テストで膨大な量の入力を行ってデバックテストも普通はします。それが第三者ソフトの商用ならまだしも、暴走すると問題になるカーネルモードのプログラムやライブラリでは当たり前の手順でしょう。考えにくいです。普通は通常の単体テストですぐに発見できるレベルのものです。
まあ、根本的な対策が複数考えられるもので、完全に根治できるものなので、どのような有り得ないヘタレのプログラマがミスしても良いように、根本的な対策をするのが筋です。もう20年以上も経過しても、まだ問題視されている現状にはちょっと悩みます。
これ以外にもOSレベルやコンパイラレベルで対応策も様々あります。
この対応さえ出来ていれば、どのようなプログラマがケアレスミスを犯しても、悪意のあるプログラムを実行することはできません。そのタスクが暴走するだけです。タスクマネージャなどでリセットさせます。
こういったものが本来の「気付かなかった。見落としてた」レベルの根幹に関わる脆弱性ですが、この2つは90年台後半のものです。
素人予測ですが、こういったものを利用するウイルスが数十万、数百万、数千万種類あると言うことでしょうか。残念ですが、根本的な対応をすれば数千万の亜種が一気に消えます。そして、これを利用したものは金輪際の根絶です。
何故か根絶治療の特効薬ではなく、亜種を発見するシグネチャ方式の飲み続ける知帳しかないような気がします。
しかし、このような根幹に関わるものは、現在、あまり出てきません。
ここ(『』内)は前置きなので飛ばして貰っても良いです。(20180130追加3)
『近況。OSの「Microsoft compatibility telemetry」というタスクが毎回ディスクを100%にして困っていましたが、最近では明らかにタイミング良くこれが起こるようになりました。最近は起動直後に起こるようになったのですが、今日は創価関連の編集を始めた途端に起動しました。いつもとタイミングまで違うのにこのようなことが起こります。これが連日続きました。確率統計的にも明らかに人為的作為的な相関関係があります。自然発生的には起き得ないというレベルです。以前にサービス管理ツールで起動をOFFにすることもやっていましたが、何度でも勝手に復活しますし、最近ではOFFにできなくされています。以前に証拠もアップしましたが、更新プログラムなどもかなり異常な動きをしていました。
私は日本支社は問題があると思います。コンプライアンスの問題です。いい加減に社員が性善説だけで動いていないことに責任を持ってください。日本はカルトのお陰でどこの会社にもオペレータ問題はありますが、信頼問題です。
この文章を読むと明らかに誤字ばかりになっています。IMEの挙動もオカシク、一度変換したものは次も同じものが出るのが普通ですが、毎回違う字が出ます。それでも再度読み直して修正しています。書いたものが明らかに変換されています。こうやって真実を語るものに対する非合法の妨害が日本では平然と行われています。
「486の内部説明」や「Windowsの内部アーキテクチャ」関連の書籍を読んでみてください。NTからのセキュリティ保護機能や堅牢性の話がありますが、第三者プログラムで何千万もの侵入ルートができるとは思えません。ここに書いてある堅牢性は全てウソだと言うことでしょうか。
いつものように貶めの妨害をされましたので、誤字の修正とついでに文章も読み易くしました。』
(20180105追加2)
「ウイルス所持で逮捕」とかの報道がありました。その件で少し。
これは私が「オープンソースの勧め」、と一緒に「リエンジニアリング」の勧めを掲示板などに投稿し始めた直後に起こっています。
明らかに不自然な動きです。この国では国民を意識誘導するための故意に作られた事件事故も多く起こっています。この件も同じように都合の悪い流れを払拭するために故意に作られた可能性があります。
よく考えてみてください。現在のセキュリティソフトが役に立たない状況です。更新の新しい技術者がでないようにする動きです。全くもって危機管理上有り得ないことです。マッチポンプが囁かれる昨今、では誰が検証するのでしょうか。
明らかに「自分たちのマッチポンプを調べさせたくない」といった意図が見え見えです。本当は殆ど存在していないものだから、それが露呈しては困るといった思惑とも取れます。
私の考えですが、「ネットワークに接続しない環境」での検証や、サンプルの所持は問題ないと思います。そして、これらの検証結果をキチンと報告している、又は常に議論に参加している団体や個人であれば何も問題はないでしょう。
本来は危機管理上、他の分野と同じく「傾向と対策」を広く一般に普及させて、おなじ鉄を踏まないように注意喚起することが、本来のあるべき姿です。でなければ、同じようなプログラムミスをする者が跡を絶ちません。
この当たり前のことがこの国では出来ていませんし、真逆のことが発生しています。危機管理の鉄則が成されていない。この不自然な状況を問題視してください。
「プログラマのミスでIDとパスワードがネットに送信される」という報道もありました。
基本的に経験者だと分かると思いますが、有り得ないことです。現在はすべてOSのAPIを通してしかハードウエアには直接に司令が出せません。通信を司るAPIも全てです。そしてOSの部分はオブジェクト指向であり、サーバークライアントモデルです。CPUのMMCで第三者プログラムのメモリは完全に独立しています。第三者プログラムは特権命令が実行できません。様々のセキュリティ機構の上で実行されています。
ちょっとしたプログラムミスで、一番守られねばならないIDやパスワードが送信される。正直、これを意図して作る方が難しいです。
実際にそれほど簡単にできてしまう方法があるのならば、具体的にどうプログラムすると問題になるのかを説明する必要があります。危機管理上当たり前です。
こういったものを周知徹底して危機管理をしないと「また同じようなプログラムを量産する」ことになるからです。なぜ意味不明の対策をするのか。何故今までのウイルスの手口を公開しないのかが意味不明なことです。
誰も気づかなかったような。「これは分からないよね」といった根幹的な脆弱性が年間数千万も発生するというのはとても考えられません。現在のPCは生物ほどの多様性はありません。
そして、その一方で「ほぼ素人の私でも考えられる対策」が、2018年にもなってまだ対策されないのは何故でしょうか。#ウイルス #セキュリティ #マッチポンプ
(20180105追加)
追加として、もう一つ参考を示します。
既存のプログラムに寄生するウイルスがあると言われますが、これもよく考えると不自然なことです。
プログラムやそれが使うライブラリモジュールなども通常のファイルと同じようにファイル単位であり、インストール時に内容も固定であり、その名前も決まっています。
また制作会社名、ファイル名、バージョン番号、コンパイル番号、ファイルサイズで一意に決まるものです。
PCで使用するものは全て、ファイルという単位であり、そのフォーマットは決まっています。
つまり、これらのファイルは、その中に自分のプログラム以外のものが混入するとサイズの変化や内容が変化して、CRCチェックサムなどで判別できるということです。
プログラムを実行するということは、その実行ファイルをプログラムローダーがユーザーメモリーに読み込んで実行されます。
この段階でCRCチェックサムなどで調べると改ざんは明らかに分かることです。なぜ検出しないのでしょうか。
インストール時の記録や、会社の公開情報を記録するなり、世の中で実行されている統計上の一番使用されているCRCチェックサム(一つです)を記録したりと、システムり領域にデータベースを作るだけです。
このデーターベースと照合するだけで実行する前に毎回チェックができる分野です。実は毎回チェックすることを無くす方法もあります。
このような簡単なことでsも、現在は対策が取られておらずに放置されています。
同じ実行ファイルで、CRCチェックサムが複数あるものが世の中に複数存在しています。数千の亜種が放置されている状態です。
素人のおやじ程度が考えられる基本的な方法論すら適応されていない状況で、危ない危ないと恐怖だけ煽るような状況が続いています。
実行ファイルから変化の可能性部分(内在リソースなど)をペアファイルとして別にすることもできますし、CRCチェックサムを実行可能コード部分のチャンクのみに対応させることも行おうと思えば可能なことです。
(20171222追加)
ウイルスとセキュリティについて。ウイルスは年間に数万もの種類が作られていると聞きます。
しかし、不思議に思いませんか。
年間数万もの対策ができたものが有るはずですが、その方法論については具体的に出てきません。
通常、危機管理と言えば「同じ轍を踏ませないために情報の共有や告知をする」することが鉄則ですが、このセキュリティに関しては危機管理の常道が成されていません。
その一方で、「プログラムのミスで「IDとパスワード」をネットに送信してしまう」という報道があります。
これでは、永遠と続くことは想像に難くありません。
なぜそのような基本的なミス(彼らの言う)が、もし本当に存在するのだとすると、危機管理対策の常識を実行しないのかが不思議です。
情報の共有や対策を告知し、周知徹底させることが一番の防止策になりることは他の分野の事例を見ても理解できることと思います。
それを行わないで、毎回「同じようなミス」として、同じ事後報告だけあります。
もう一つに、「このウイルスの方法論は殆ど出てこない」割には、出て来るのは経験者でもびっくりするような「基本的で稚拙」なお粗末極まりないものばかりです。
例えば、「辞書方式で、パスワードに使いそうな単語を絞り込んで総当りする」といったものは発表があります。
もう2017年です。まだこのようなことをやっています。
よく考えてみてください。辞書方式と逃げの手を打っていますが、これでも数千回のトライは当たり前の総当り戦に近いものでしょう。組合せですから。記号などを付けると更に膨大な数になります。
どのように面倒くさがりの管理者でも、サーバー用途などに10回や20回で予測できるような「素人のようなパスワード」を設定する人がいるとは思えません。
そして一般の方でも、20回以上もパスワード入力をミスした方はどれだけいるでしょうか。そうです。20回も入力ミスをすること自体が希少なことなのです。
私は企業用の複雑なネットワークやサーバーなどは対象としていませんが、個人向けのOSでは、簡単な対策で問題がないということです。
まず、個人向けのOSではデフォルトで外部からのログインなどのサービスが起動していること事態がナンセンスです。基本的に病院などと同じくインフォームドコンセントが必要で、Telnetが起動しているだとか、リモートアシスタンスが起動しているだとか、良くわからない普段使用しないスクリプトが起動しているなどはもっと分かり易く知らせるべきなのです。
基本的にデフォルトでこれらのプログラムコードがインストールされている時点で私は不自然に思います。私は使ったことがありませんから。
ログオンに話を戻しますが、私がもし、この手のプログラムを作成するのなら、「20回も間違え」たら、正式なユーザーにお知らせするようにします。
私なら、正規の起動ログオンがあったときに表示します。または登録したスマフォや携帯などに直接にメールするようにします。
一般向けOSであれば、これで間違いなく対策はできます。実際にはまだ何通りも対策は可能です。
現在のセキュリティは、この程度の対策もしていないということです。
本当のウイルスは言われているほど多様性もないし、本当は無限に存在し得ないと思います。本当は詳しく説明したいところですが、まだ専門家でもないですし、文章が苦手なもので。
本当の「これは気づかなかった盲点だ」というレベルの構造欠陥はそうそう存在しないでしょう。そのために公開できないのではないか。と勘ぐられてもしょうがない状況です。
また、このご時世になっても、「メールで感染する」と言います。
私がプログラマなら有り得ないことです。何故ならば基本的なタグやメソッドは、絶対に脆弱性が存在できないからです。
文字を表示する。文字を修飾して、色を付けて、大きさを決めて、フォントを決めて、それを公文に従った構造で表示する。などの基本的な機能ではどうやっても乗っ取れません。
なぜ「絶対に安全な基本機能だけの規格」は作らないのか。完全にクリアしたものだけの最低限の安全規格は作らないのか。
使用もしない難しい機能やごちゃごちゃの機能を押し売りして脆弱性だけを広げようとするのか。理解に苦しみます。
だから「未だにメールやテキストファイルで感染する」なのです。
私ならメールごときは「安全規格LV1」帝都で十分ですし、相手も「安全規格LV1」のメールなら安心して読んでくれるでしょう。
あと、メディアはメールを見るだけで感染するなどと誇張しますが、よくよく聴くとその中にある不明の添付ファイルをダブルクリックして起動しているようです。
紛らわしい表現で、恰もメールを見るだけで感染するような恐怖を煽ることがあるので気を付けてください。昔にPDFの件を書きましたが、これらが恐怖政治や言論妨害の目的があることが確認されています。よくよく考えるべきです。
ちなみに、プチ対策ですが、起動するファイルはまず拡張子を確認してください。問題のないプログラムで起動するようになっているかを確認してください。
圧縮ファイルなどは、ダブルクリックしないで、お使いの圧縮解凍ファイルのアイコンに直接ドラッグアンドドロップする手もあります。意味不明の実行可能ファイルであれば圧縮解凍ソフトがエラーとなりますので、意味不明の添付された実行可能プログラムは起動はしません。
メディアなどで仰々しく報道されるウイルス事件は、良く調べるとこのような人間の単なるミスも多いです。これはウイルスというよりただの実行ファイルです。
また、高校生がパスワードを盗むウイルスを作って知り合いのゲームアカウントを盗んだとかありましたが、ネットでも事さらに恐怖を煽る一大ハッカー誕生みたく書かれていました。これ実は私でも簡単に作れるものだと予想できます。
Windowsのプログラムが作れる程度でもできるものがあります。起動するとウインドウを表示して、「チートハッキングの為に、○○のゲームサーバーに接続します。アカウントのIDとパスワードを入力してください。」と表示するだけです。後は入力されたIDとパスワードを自分のPCに送信するだけのプログラムです。誰でも作れます。
こういった誤魔化しも良くある話なので気を付けてください。
類似のもので、ネット銀行のHPの上にウインドウを表示させてIDパスワードを入力させるものや、銀行からのメールとしてパスワードを聞くものなど、ウイルスというよりはヒューマンエラーを狙ったものの方が多いです。きちんと、URLのドメインを確認してください。また本社からパスワードを聞くなど有り得ませんから、平和ボケや性善説は止めてください。論理的に考えれば分かることです。
何か作為的なものの多いオカシナ国になりつつあります。
蛇足ですが、根幹にあるようなクリティカルなプログラムや、間違うとリアルに危険が発生するような部分は「本当の意味のオープンソース」にするべきと考えます。本当の意味のオープンソースは別で語っています。
何事も、ブラックボックスが一番怖く腐敗し易くなることは、現実の世界と同じで理解できることと思います。歴史が物語っています。
オープンソースが120%完璧だと言うことではないですが、まだセキュリティに絶大な効果があります。更に言うと、非公開の機能やAPIを禁止することです。
非公開のものは、検証が難しく、脆弱性を生みやすい様です。昔のクラッカー(悪いハッカー)もこの非公開未公開の部分を利用したものが多くありました。利用者にとっては百害あって一利もないことばかりです。
また蛇足ですが、ブログ別項に書きましたが、日本の大手セキュリティ会社は明らかに言論誘導をしている証拠が出ています。彼らには、悪意があれば言論妨害ができるということです。これもハイテクを使う人間の問題が一番難しいことを示しています。
例えば、「実はウイルスなど関係のないホームページ」でも、彼らが「このページは危険です」と表示すれば言論妨害が可能だということです。もっとネットの「透明性」と「健全性」を考える必要があります。ウイルスも恐怖政治や言論弾圧、独裁国家や奴隷制度に悪用される危険性があります。
(以下、これから修正します)
===============================
(前回)
IOTのセキュリティについての報道がありました。大嘘です。
その中で、複数のIOT機器、防犯カメラや冷蔵庫などがサーバを攻撃するものがありました。全く基本的な対策も取られていません。私は現在のIOT機器の構造はまだよく知りませんが、IOTの通信に使用するICチップがあると思いますが、そのICにハードウエア機能としてIOTからの発信パケットである種別コードを入れるようにするだけで関係のないサーバーは簡単に弾くことができます。ロウパケットにです。このぐらいの基本的な規格は作ってください。私のような人間はIOTなど怖くて求めません。少なくともIOTのない製品も準備して選択性を持たせるべきです。一部のIOT機器は生活スタイルの漏洩だけでなく、ご動作によって火災などの原因になる可能性もあります。PS法はここまで対応できるのでしょうか。
またルーティングの段階で禁止や規制する規格が必要だと思います。混雑時は発信元と発信先(サーバ)のIPのセットで再リクエスト時間や容量の規制を行う必要があります。ただしこの依頼は発信元のサーバをきちんと認識して機能する必要があります。
また、もうひとつ。
ウイルスセキュリティ関連の情報は殆ど出てこないことに懐疑的だと言っていましたが、この番組で一つの手法が紹介されました。「辞書リストによる総当りハック」のようですが、辞書リストですので完全総当りよりは数は少なくなるとは思いますが、結局はパスワード入力メソッドにコンピュータが接続して何度も可能性のあるパスワードをエラー&トライするものと思われます。
これは手動でも間違えたらエラーが出てやり直すことと同じです。実際問題として手動でも10回20回間違えることの方が稀で、これに対する対策すらできていないと言うことです。2018年になろうとするこの時代において、この程度の対策も施していないということです。
解決策として20回間違えるとパス入力を停止して、登録されたスマフォガラケーなどに状況を知らせて、発行ナンバーからの再認証をさせて、新しいパスワードに変更させて、その後にパスワード入力動作を再開させる。または、セカンドパスワードを作っておいて、これに合格するとパスワード入力を再開する。これも20回ほど失敗で完全に自閉モードとなり別の再認証方法を容易する。流石に人間がここまで間違えることはないと思いますが、この程度の対策も取られていないことが露呈しました。
最後に。
IOTなどのハイテクのお陰で通常の車が暴走する可能性も視差されています。だからハードだけでなくソフトウエアも透明性と健全性が、より追及されなければならないということです。セキュリティ情報の共有や周知徹底はもちろんのこと、基幹部分のオープンソース化や複数の採算者基幹でのリエンジニアリングチェックなどが必要です。もっと国民がソフトウエアのセキュリティについて興味と関心を持つべきです。
本来は災害などと同じく、セキュリティ情報は広く共有して対策を取らせ危機管理しなければならないものです。現在では、素人の私程度が考え付くものすら対策されていません。またプログラマーが同じ鉄を踏んで毎回同じレベルの問題を起こしていますが、知識の共有もされていません。こうやって出てくるものは初歩の初歩で対策ができるものばかりです。本当に誰もが気付かないような脆弱性が何千何万も生まれるとはとても思えないのが真実です。本当にそれほどの脆弱性があるのかどうかは懐疑的です。私のPCではセキュリティソフトがあっても、どれも対応できませんでした。創価学会関連の行動で異常が起こります。ウイルスを誰が作っても創価学会に反応するようになる必然性でもあるのでしょうか。よく考えるべきです。;
#ウイルス #セキュリティ #八百長 #マッチポンプ #IOT #オープンソース
(周知用) #victim084平こうじ #被害者@広島県福山市
どうか本当の被害者が戦っていたということを覚えて置いて下さい。
各ブログ内の目次リンクページです。
http://victim084.hatenablog.com/entry/2017/06/04/170509 (はてな)
http://victim084.seesaa.net/article/victim084_links.html(SeeSaa)
http://victim084.jugem.jp/?day=20170528(JUGEM)
http://blog.livedoor.jp/victim084/archives/17627365.html(ライブドア)
http://ameblo.jp/victim084/entry-12278295700.html(アメーバ)
※これはあくまで何かが起こったときの保険です。覚えて置いて貰うだけで、何もない間は取り立てて取扱いは必要ありません。ただ、覚えて置いてください。よろしくお願いいたします。保険というのは万が一何か起こったときのために残しておくものです。それ以上でも以下でもありません。あくまで万が一のためです。
現在、あらゆる仄めかしで創価sgiから「命を狙われる」脅迫を受けています。このことはリアル、ネット、メディアを問わず同じ内容ですので、彼らの仕業だと断定しています。このことだけは強調しておきます。理由は私の文章に全て目を通して考えてください。
広島県福山市 平こうじ(これに近い名前です。)2018年現在45歳です。念のために記述しておきます。創価関連の配信者などに暗殺脅迫を受けています。
私には騒いで保険をかけることしかできませんので、念のために最近の仄めかしを書いて起きます。一般の方には関係ありません。犯人側との記録です。「合流」「参加」「家」「突撃」など。広島県福山市平こうじ45です。この地域での類似の事件があり、私の活動が急に無くなったりすると「創価」関連だと思っておいてください。
木造の古い家ですので押し入る可能性や放火、将来的に通院だけは外出しなくてはならなくなるのでその時に襲うケースが考えられます。創○学会を扱ってこういったことが起こることは確率的に問題があります。朝木市議の件もありますので仄めかしで
(それらの内容で)脅迫され続けている以上は知っておいて貰う必要がありました。普段はスルーしてください。もし広島県福山市で私の名前で事件が起こり、また音信不通やキチガイ活動に変わった場合は工作があったものと伝えていただければ有り難いです。
現在人生を完全に潰された被害者はこの位の覚悟で行動していると言うことを知ってください。祖母のカタキでもあります。