パスワードを忘れた? アカウント作成

DNAに格納したエクスプロイトでコンピューターを攻撃する実験」記事へのコメント

  • by Patilise (45974) on 2017年08月12日 18時11分 (#3260444) 日記

    本家Slashdotでもつっこまれている通り、脆弱性を自らの手で追加してそれを自らのコンピューターで自ら突くことは無意味。(ソフトウェアの脆弱性を発見したわけでもないので、何にも寄与しない)しかもバッファオーバーフローというありふれた脆弱性なので、特に新種というわけでもなく、一般的にも注意すべき話で何もDNAに限定する意味がない。
    従ってまず一般的なソフトウェアには見られない特異性を見つけてからDNAうんぬん言うべき。

    ここに返信
    • by Anonymous Coward on 2017年08月12日 18時40分 (#3260451)

      攻撃対象に意図的に変な遺伝子組み込んだ物の調査をさせれば、計測機器をおかしくさせることは可能ということですよね。
      計測機器メーカー等の情報から使ってる装置の型番まで調べ上げれば、それなりのことが可能かと。

      これはユーザーじゃなくて機器メーカーに対する警鐘だと思ったんですが、違うのでしょうか。

      • by Patilise (45974) on 2017年08月12日 19時45分 (#3260458) 日記

        まず、前提として、本件はユーザーではなくソフトウェア開発者または会社に対する警告であるとすることは同意します。(ユーザーに脆弱性対策をしろと言っても仕方ありませんし)
        となれば、残る疑問はそれは「研究」と言えるほどのものでしょうか。IPAに類する機関が警告を発するならともかく、新規性も何もない、外部入力でバッファオーバーフローを誘発しただけの話ですので、「研究」と言うには疑問が残ります。

        • by Anonymous Coward on 2017年08月12日 20時08分 (#3260462)

          まだ実際に試験した人がいない事を試して成功させただけで、セキュリティの研究としては成立してると思いますが。
          DNAストレージに関するものは全て生命科学の研究でなければならない、なんて決まりは無いかと。

          • by Anonymous Coward

            基本的にこの攻撃は既存の防御手段で対応できるんですよね。
            ストレージの種類が変わってもこの手の攻撃は有効なので。

    • by Anonymous Coward on 2017年08月12日 19時11分 (#3260452)

      最初にやることに意味があるのだよ。

    • by Anonymous Coward on 2017年08月12日 20時14分 (#3260466)

      そうでもない。セキュアに作れ、だなんてただの一般論だろ、というのはその通りだけど、その一般論を徹底するのが難しい。

      ITに詳しくない会社上層部がしょおもないコスト削減のためにセキュリティについて予算を割かないなんてのはよくある話。
      「ここに脆弱性を組み入れてしまうと、細工のされた検体を調査した場合にxx%の確率で不具合が起こる可能性があります」という机上の計算より、
      実際に機能する実例を見せた方が、説得力を補強できるかも知れない。
      ITに詳しくない連中には、それが自作自演のパフォーマンスでしかないとは見抜けないだろうし。

    • by Anonymous Coward on 2017年08月12日 23時10分 (#3260499)

      セキュリティ対策には脆弱性だけでなく、攻撃経路や、それらに基づくexploitシナリオの研究だって必要だろう。

      貴方のコメントは脆弱性しか見えてない。

    • by Anonymous Coward on 2017年08月13日 0時56分 (#3260515)

      DNAが信頼できない入力であることが証明されたので、十分価値があると思うが

    • by Anonymous Coward

      >DNA分析に使用するオープンソースプログラム
      って、PCの空き時間に遺伝病の解析とか行うボランティアのプログラムの事じゃないの?
      配布されるデータを改ざんすることで侵入を図るとしたら現実的脅威かなと思ったんだけど

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...