パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティソフト「SaAT Netizen」には中間者攻撃などとの組み合わせで任意のプログラムを送り込んで実行される可能性がある」記事へのコメント

  • by Anonymous Coward

    SHA-256では駄目なのかなぁ?

    • by Anonymous Coward

      32bitで、しかもファイルサイズをチェックしていないとなれば
      古いPCでも動作サクサク(笑)ですね。
      いくらでも偽造できちゃうじゃないですか。これはひどい

      • |。・ω・)。o (うわ酷い!と思ったら、同梱のDLLを使ったら、
        CRC成してファイルに埋め込んでくれるところまでやって
        くれることが判明したので、それ以前の問題だったと
        いうお話っす)

        怖いのは、例えば特定の企業のProxyサーバーやDNSサーバー
        乗っ取れば、インストールされてる全 PCに任意のファイルを
        ダウンロードさせて管理者権限で実行させることが可能なんで、
        セキュリティソフト20年も作ってる企業が把握してないのは
        考えにくく、韓国によるバックドアにしか見えないってことです。

        • by Anonymous Coward

          批判するべきは SaAT Netizen と 採用している銀行であって、
          目的はろくでもないソフトウェアを採用している銀行を一般に知らしめて
          そういったものの採用を撤回させることであるべきです。

          そうしたときに、

          >韓国によるバックドアにしか見えないってことです。

          といった特定国批判を書くと「また嫌韓厨が騒いでるのか」で片付けられてしまい
          本当に伝えたい問題が伝わらなくなります。

          • http://blog.livedoor.jp/blackwingcat/archives/1924193.html [livedoor.jp]
            追加検証をしました。

            海外で広く販売している自社製のセキュリティソフトはほぼ同じ更新システムを採用しているにもかかわらず、SHA-256 証明書による保護機能もあり、セキュリティが担保されていることが分かりました。

            少なくとも技術力がなかったわけではなく、意図的な脆弱性があるようです、わざわざ日本の金融機関・利用者向けに無料で押し売りしているあたり、バックドアを仕込んだと考えた方が自然ではないでしょうか?

            • by Anonymous Coward on 2016年03月08日 19時55分 (#2977099)

              もしかしたら仰る通り意図的にバックドアを仕込んでいるのかもしれませんし
              そうだとしたらもちろん大きな問題です。

              ですが、もし意図的でなかったとしてもこれは重大な問題です。
              広く世間の話題として銀行が採用を撤回せざるを得なくしなければなりません。

              残念ながら世間では非常に低レベルな韓国叩きが横行しているため、
              タイトルに韓国という文字が入っているだけでしょうもない叩き記事だと思われて
              スルーされてしまいやすくなります。

              韓国企業と韓国を批判したいだけでしたらこれ以上何も言うことはないのですが
              そうでないのであれば、まず第一段階としては
              「銀行が推奨しているソフトウェアに問題があること」
              だけを前面に押し出していくべきです。
              銀行のセキュリティ問題であればたいていの人が食いつきます。

              そうして十分に話題になったのち、あの問題は韓国企業のソフトウェアが原因で、
              状況的には意図的なバックドアである可能性すらある、と展開していけば、
              より多くの人に問題意識を持ってもらうことが出来るでしょう。

              親コメント
              • 技術力がないわけではないのでバックドアを意図的に仕込んだのでは?
                と思ったのですが、その後、暗号化されたログファイルのデコーダーなどを作って解析してみた結果、アップデート自体はV3インターネットセキュリティ同様、SHA-256での定義ファイルの検証の仕組みがあるところまでは分かりました。(インストール時のダウンロード定義ファイルではノーチェック)

                なので、『意図的なバックドアであると考えるのが自然』というのは撤回します。本当に単なる実装脆弱性なのかもしれません。

                http://blog.livedoor.jp/blackwingcat/archives/1924212.html [livedoor.jp]
                調査についてはこれが最終のまとめになると思います。

                かつて JustSystems が中国製セキュリティ商品をOEM元明らかに
                せずに日本製かのように扱って売ったのと同じで、韓国製なのを
                隠して製品のコピーライトまで、日本企業名で置き換えて責任の
                所在が分からなくしたいい加減なものを『無料のセキュリティソフト』
                というエサで、銀行決済という重要なものに紐づけて宣伝してる
                NetMoveが批判されるべきなんじゃないかなって思ってます

                http://pbs.twimg.com/media/CdCJfTiUMAAqB34.jpg [twimg.com]

                親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...