アカウント名:
パスワード:
本家Slashdotでもつっこまれている通り、脆弱性を自らの手で追加してそれを自らのコンピューターで自ら突くことは無意味。(ソフトウェアの脆弱性を発見したわけでもないので、何にも寄与しない)しかもバッファオーバーフローというありふれた脆弱性なので、特に新種というわけでもなく、一般的にも注意すべき話で何もDNAに限定する意味がない。従ってまず一般的なソフトウェアには見られない特異性を見つけてからDNAうんぬん言うべき。
攻撃対象に意図的に変な遺伝子組み込んだ物の調査をさせれば、計測機器をおかしくさせることは可能ということですよね。計測機器メーカー等の情報から使ってる装置の型番まで調べ上げれば、それなりのことが可能かと。
これはユーザーじゃなくて機器メーカーに対する警鐘だと思ったんですが、違うのでしょうか。
まず、前提として、本件はユーザーではなくソフトウェア開発者または会社に対する警告であるとすることは同意します。(ユーザーに脆弱性対策をしろと言っても仕方ありませんし)となれば、残る疑問はそれは「研究」と言えるほどのものでしょうか。IPAに類する機関が警告を発するならともかく、新規性も何もない、外部入力でバッファオーバーフローを誘発しただけの話ですので、「研究」と言うには疑問が残ります。
まだ実際に試験した人がいない事を試して成功させただけで、セキュリティの研究としては成立してると思いますが。DNAストレージに関するものは全て生命科学の研究でなければならない、なんて決まりは無いかと。
基本的にこの攻撃は既存の防御手段で対応できるんですよね。ストレージの種類が変わってもこの手の攻撃は有効なので。
最初にやることに意味があるのだよ。
人類で最初にお尻の穴に突っ込んだ人に 同じことが言えますか?
そうだな、ちゃんと伝えなければ意味がない。
そうでもない。セキュアに作れ、だなんてただの一般論だろ、というのはその通りだけど、その一般論を徹底するのが難しい。
ITに詳しくない会社上層部がしょおもないコスト削減のためにセキュリティについて予算を割かないなんてのはよくある話。「ここに脆弱性を組み入れてしまうと、細工のされた検体を調査した場合にxx%の確率で不具合が起こる可能性があります」という机上の計算より、実際に機能する実例を見せた方が、説得力を補強できるかも知れない。ITに詳しくない連中には、それが自作自演のパフォーマンスでしかないとは見抜けないだろうし。
セキュリティ対策には脆弱性だけでなく、攻撃経路や、それらに基づくexploitシナリオの研究だって必要だろう。
貴方のコメントは脆弱性しか見えてない。
DNAが信頼できない入力であることが証明されたので、十分価値があると思うが
>DNA分析に使用するオープンソースプログラムって、PCの空き時間に遺伝病の解析とか行うボランティアのプログラムの事じゃないの?配布されるデータを改ざんすることで侵入を図るとしたら現実的脅威かなと思ったんだけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
何の意味もない (スコア:2)
本家Slashdotでもつっこまれている通り、脆弱性を自らの手で追加してそれを自らのコンピューターで自ら突くことは無意味。(ソフトウェアの脆弱性を発見したわけでもないので、何にも寄与しない)しかもバッファオーバーフローというありふれた脆弱性なので、特に新種というわけでもなく、一般的にも注意すべき話で何もDNAに限定する意味がない。
従ってまず一般的なソフトウェアには見られない特異性を見つけてからDNAうんぬん言うべき。
Re:何の意味もない (スコア:1)
攻撃対象に意図的に変な遺伝子組み込んだ物の調査をさせれば、計測機器をおかしくさせることは可能ということですよね。
計測機器メーカー等の情報から使ってる装置の型番まで調べ上げれば、それなりのことが可能かと。
これはユーザーじゃなくて機器メーカーに対する警鐘だと思ったんですが、違うのでしょうか。
Re:何の意味もない (スコア:2)
まず、前提として、本件はユーザーではなくソフトウェア開発者または会社に対する警告であるとすることは同意します。(ユーザーに脆弱性対策をしろと言っても仕方ありませんし)
となれば、残る疑問はそれは「研究」と言えるほどのものでしょうか。IPAに類する機関が警告を発するならともかく、新規性も何もない、外部入力でバッファオーバーフローを誘発しただけの話ですので、「研究」と言うには疑問が残ります。
Re:何の意味もない (スコア:1)
まだ実際に試験した人がいない事を試して成功させただけで、セキュリティの研究としては成立してると思いますが。
DNAストレージに関するものは全て生命科学の研究でなければならない、なんて決まりは無いかと。
Re: (スコア:0)
基本的にこの攻撃は既存の防御手段で対応できるんですよね。
ストレージの種類が変わってもこの手の攻撃は有効なので。
Re:何の意味もない (スコア:1)
最初にやることに意味があるのだよ。
Re:何の意味もない (スコア:1)
人類で最初にお尻の穴に突っ込んだ人に 同じことが言えますか?
Re: (スコア:0)
そうだな、ちゃんと伝えなければ意味がない。
Re:何の意味もない (スコア:1)
そうでもない。セキュアに作れ、だなんてただの一般論だろ、というのはその通りだけど、その一般論を徹底するのが難しい。
ITに詳しくない会社上層部がしょおもないコスト削減のためにセキュリティについて予算を割かないなんてのはよくある話。
「ここに脆弱性を組み入れてしまうと、細工のされた検体を調査した場合にxx%の確率で不具合が起こる可能性があります」という机上の計算より、
実際に機能する実例を見せた方が、説得力を補強できるかも知れない。
ITに詳しくない連中には、それが自作自演のパフォーマンスでしかないとは見抜けないだろうし。
Re:何の意味もない (スコア:1)
セキュリティ対策には脆弱性だけでなく、攻撃経路や、それらに基づくexploitシナリオの研究だって必要だろう。
貴方のコメントは脆弱性しか見えてない。
Re:何の意味もない (スコア:1)
DNAが信頼できない入力であることが証明されたので、十分価値があると思うが
Re: (スコア:0)
>DNA分析に使用するオープンソースプログラム
って、PCの空き時間に遺伝病の解析とか行うボランティアのプログラムの事じゃないの?
配布されるデータを改ざんすることで侵入を図るとしたら現実的脅威かなと思ったんだけど