アカウント名:
パスワード:
Intelはこれらの製品にMCUを提供しない理由として、マイクロアーキテクチャーの特性上、現実的なSpectre Variant 2の緩和が難しいこと、システムソフトウェアのサポートが限られていること、製品の多くがクローズドシステムで使われており、攻撃を受ける可能性が低いことを挙げている。
IoTかどうかという以前の話として、ファームウェアをアップデートするのにネットにつなぐことが普通に行われてるし、その装置自体は繋がなくても、ネットからファームウェアをダウンロードした端末を使って、ファームウェアのアップデートを行う訳で。内部で、外部と隔絶されたネットワークを構成してる場合も少なくない。
スラドではネットワークに「繋がってる」「繋がってない」の二元論や、繋がってなくても記録メディア経由も含めて「全ての脆弱性にパッチが必要がある」としてセキュリティを論じる風潮があるけど、現実のリスクは不特定多数からのインバウンド通信が発生するオープンシステムと「それ以外」では天と地以上の差があるんだけどね。
「それ以外」の方では、システム内の別の「何か」を先に攻略する必要があるのでソーシャルエンジニアリングも組み合わせなければいけなかったり、内部システムを把握してなければいけなかったりで攻撃側が相応のコストを払わないと攻撃を受ける可能性はないんだけど、そういった事情を無視してオープンシステムと同列に語るから「セキュリティ屋」以外は賛同しかねる意見になってしまう。LACなどのセキュリティ屋はそれが商売なので営業トークの一環として主張するのはまぁ分かるけどね・・・
で、Variant2はオープンシステムでも悪用するには先にローカル権限を奪取する必要があるので攻略難易度は高めなんだけど、元々難易度の高いクローズドシステムでまで対応する必要がコストを考慮して正当化されるか?との話になれば正当だと考えるコスト負担者(経営者)はいません。
もちろん、標的型攻撃で狙われやすい金融機関や大規模な個人情報を取り扱う事業者は別としても、元々リスクが高くない「それ以外」では「攻撃を受ける可能性が低い」としたインテルは妥当な判断をしたと言えます。
# 実際のところ、オープンシステムでも意図的に狙われない限りは簡単に攻略されたりはしないんですけどね。# RedHat6.2(RHELではない)のシステムを未だにインターネットに晒してる不届き者を知ってますが、# 晒してるサービスには権限を取られる脆弱性が出てないせいか、今のところ無傷みたいですw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
普通なんでもネットにつながる時代なのに… (スコア:0)
IoTかどうかという以前の話として、ファームウェアをアップデートするのにネットにつなぐことが普通に行われてるし、その装置自体は繋がなくても、ネットからファームウェアをダウンロードした端末を使って、ファームウェアのアップデートを行う訳で。
内部で、外部と隔絶されたネットワークを構成してる場合も少なくない。
Re:普通なんでもネットにつながる時代なのに… (スコア:0)
スラドではネットワークに「繋がってる」「繋がってない」の二元論や、繋がってなくても記録メディア経由も含めて
「全ての脆弱性にパッチが必要がある」としてセキュリティを論じる風潮があるけど、現実のリスクは不特定多数からの
インバウンド通信が発生するオープンシステムと「それ以外」では天と地以上の差があるんだけどね。
「それ以外」の方では、システム内の別の「何か」を先に攻略する必要があるのでソーシャルエンジニアリングも
組み合わせなければいけなかったり、内部システムを把握してなければいけなかったりで攻撃側が相応のコストを
払わないと攻撃を受ける可能性はないんだけど、そういった事情を無視してオープンシステムと同列に語るから
「セキュリティ屋」以外は賛同しかねる意見になってしまう。
LACなどのセキュリティ屋はそれが商売なので営業トークの一環として主張するのはまぁ分かるけどね・・・
で、Variant2はオープンシステムでも悪用するには先にローカル権限を奪取する必要があるので攻略難易度は高め
なんだけど、元々難易度の高いクローズドシステムでまで対応する必要がコストを考慮して正当化されるか?との
話になれば正当だと考えるコスト負担者(経営者)はいません。
もちろん、標的型攻撃で狙われやすい金融機関や大規模な個人情報を取り扱う事業者は別としても、元々リスクが
高くない「それ以外」では「攻撃を受ける可能性が低い」としたインテルは妥当な判断をしたと言えます。
# 実際のところ、オープンシステムでも意図的に狙われない限りは簡単に攻略されたりはしないんですけどね。
# RedHat6.2(RHELではない)のシステムを未だにインターネットに晒してる不届き者を知ってますが、
# 晒してるサービスには権限を取られる脆弱性が出てないせいか、今のところ無傷みたいですw