パスワードを忘れた? アカウント作成
12107795 story
セキュリティ

フットプリント100kB以下のソフトウェアが核施設などのインフラを守る? 31

ストーリー by headless
防御 部門より
taraiok 曰く、

英スタートアップ企業Abatisのアンチウイルスソリューション、「Abatis HDF」が注目を集めているそうだ。Abatis HDFはロッキード・マーチンや民間の原子力関連施設、航空交通管制システム、スイス軍、国連Webサイトなどで使われているという(Abatis HDFThe Stackの記事ロッキード・マーチンによるリポート: PDFSlashdotの記事)。

Abatis HDFのフットプリントは100kB以下であり、Windows版はカーネルドライバーとして実装されている。Linuxバージョンも用意されており、すべての攻撃者からストレージへの書き込みを防ぐことができる。サンドボックスや署名ファイル、ホワイトリストといったものは一切必要とせず、電気料金を7%節約することにもつながるという。

同社CEOのChristian Rogan氏は、具体的な動作は説明できないとしつつも、オンメモリで動作しカーネル内防御機構として機能するとしている。リポートによれば、不正なI/Oアクティビティを100%防止できるとされる。

SlashdotではAbatis HDFの性能について懐疑的な見方が強いようだが、皆さんはどう思われるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by 90 (35300) on 2015年06月06日 17時31分 (#2826528) 日記

    ネトゲで使われるチート対策ツールの変種っぽい気がする。同じCPUで動いているんだから原理的には無力なのに蔓延るのが謎だけど、一定の採用数はありそう。

    • by Anonymous Coward

      日本や韓国ではすでに当たり前(役に立たないのに害しかないことも含めて)だけど欧米人には珍しかったんじゃねーの。

    • by Anonymous Coward

      コレが本来のOSをゲストとして動作させるハイパーバイザとして実現されているなら、
      昇格などのセキュリティホールが無ければ一応まじめに保護することが可能だよ。
      この場合ハイパーバイザの「制御下にある」ゲストを拘束する物だから問題ない。

      チート対策ツール付きクライアントの挙動を真似た変造クライアントなんかだと、
      「通信先の」サーバからそれを識別できないからチート対策ツールが無意味となる。

      自分的には、どうせセキュリティホールが残ってるだろうとか、
      真面目なハイパーバイザじゃないだろう的な意味で信用しきれないけど。

  • フットプリントが小さいのに効果絶大、と言われると、
    システムが入っているローカルディスクへの書き込みを、ウイルスかどうか等、見分けずに、一切不許可とする、とか、
    新しいプロセスの立ち上げを一切不許可とする、とか、そういうソフトかしら?

    産業用のシステムで、一旦起動後は決まったプログラムしか使わない、インターネットから切り離されているから、アップデートもしない、
    決まったプログラムしか使わないので、メモリの使用量も分かっていて、ディスクスワップも発生しない、
    とか、そういう処理系ならば、ログ出力に使うディスク(システムが入っているものとは物理的に別のディスク)以外に、
    一切書き込みを行わない、とかの荒っぽい処理でもセキュリティ上、有用かもしれない。

    プロセスも、決まったものしか使わないのなら、起動後、通常運転に移った時点で、新規プロセスを立ち上げる必要はなくなるし、
    ディスクに一切書き込みしないのなら、起動時に不正なプロセスが混じることもないし。

    • by Anonymous Coward

      codered ワームをお忘れですか?

  • by galag (37512) on 2015年06月07日 15時34分 (#2826851) 日記

    Abatis のサイトをざっとを読んだけど、

    "HOW ABATIS HDF WORKS"のところに以下のように書いてある。

    "Ideally, Abatis HDF should be deployed on a newly installed ‘clean’ operating system. From this secure initial state (baseline), Abatis HDF will prevent malware infection then on."
    (理想的には、abatis HDF はクリーンなOSに新規に導入されるべきである。このセキュアな初期状態[ベースライン]よりAbatis HDF はマルウェアの感染を防ぐ)

    ここから想像すると、クリーンな安定稼働状態でのアプリからのストレージのI/O をベースラインとして記録してそれをホワイトリストとして記憶する。それ以外のI/Oはブラックリストとしてアクセスを禁ずる、って感じかな。

    ホワイトリスト方式なので、新しいマルウェアが出てきても対応できる、ってことだね。

    最初のベースラインの定義が多少面倒だけど、運用を一通り回してやれば定義できるだろうし、原発システムや交通管制システムとかの「安定稼働が最重要項目」であるシステムには役に立ちそう。

    • by Anonymous Coward

      緊急停止など、滅多に行わない動作のテストを忘れて、
      いざ実行しようとすると動かない、までテンプレ。

  • このpdfファイルはabatis-hdf.com下に置かれてるけど、ホンモノなの?と思ったりする。
    や、ロッキード・マーチン社は軍関係だからウソなんぞ広められたりしたら大騒ぎになるだろうから、本当にロッキード社で書かれたpdfなんだろうけど、まさかなぁと疑ってみたり。

    # そもそも私はまだ当のpdfを読んですらいないで疑ってたりするい失礼なヤツである

    • まあ、いくらなんでもpdfを読まずに疑うってのもアレだ。

      というわけで少しpdfを読んだら、さらに疑問が出た。

      1) Anti-Virusプログラムの「電力消費」だけを論じており、その本来の目的については何も論じていない(なんで?)
      2) Abatis以外のAVは名が伏せられている(どうして?)
      3) 試行回数等、ロッキード・マーチン社の研究者なら書くであろう項目がぜんぜんない

      見た感じ、「売り込み用」のこんな感じのレポート出して稟議通してくださいよ、といったテンプレものに思えるなあ。

      親コメント
  • by Anonymous Coward on 2015年06月06日 17時27分 (#2826525)

    ただのnopの塊だったりして

    • by Anonymous Coward on 2015年06月06日 17時33分 (#2826529)

      最初はまったくの白紙で、未感染状態の稼動履歴からホワイトリストを生成するとか、そんな方式なのかしらん?

      親コメント
  • by Anonymous Coward on 2015年06月06日 17時31分 (#2826527)

    英語は苦手なんで元記事やリンクは読んでいないんですが、
    HDD等のファームウェア感染タイプは防ぐことができるのかしら?

    • by Anonymous Coward on 2015年06月06日 17時48分 (#2826533)

      すべての攻撃者じゃなくてすべての利用者がストレージに書き込めないのでは。それなら防げるね

      親コメント
      • by Anonymous Coward on 2015年06月06日 17時53分 (#2826535)

        確かにそれなら100%ですね。
        読み込み専用のHDDとか聞いたことないので、それを実現するものとしては有りです。

        親コメント
        • by Anonymous Coward on 2015年06月06日 21時37分 (#2826612)

          HDDへの書き込みを乗っ取り書き換え内容をHDDの空き領域に保存して、
          読み込み時に合成するってタイプのPC保護ソフトは存在してるね。
          再起動時には空き領域に書いた内容は無視されるので保護開始時点の状態に戻る。
          # XPで触ってみたことあるけど、名前とかジャンル名を忘れた…
          # PXEブート(ネットワークブート)でも実用性のためにそういうことする場合もあるし

          その手の奴は大抵(恐らく)ドライバレベルで乗っ取り掛けるから、
          コイツも同じ方向性だとするとハイパーバイザとして動いてカーネルの上で仕掛けるのかな。

          でも、HDD等のファームウェアへの感染の場合、防げる保証はないと思います。
          SMARTの取得とかそういう部分に脆弱性があってファームが云々って場合だと、
          該当するAPIをこのシステムがエミュレーションなり無効化していないと保護できない。
          ファームに感染した場合、次回起動時にこのシステムがロードされる前に悪さを出来るので意味が無い。

          …そもそも、感染したら再起動するまでは感染したままだから機密保護とかの役には立たない……
          全システムを一斉に再起動すれば復旧できるってだけでも十分使い道はあるんだけど、銀の弾丸とは程遠い。

          親コメント
        • by Anonymous Coward

          メモリ上で動作するウイルスから情報流出させ放題?

          • by Anonymous Coward

            本文信じる限りではそうかも。ストレージには書き込まれ無いってことだからリセットすれば直るってことなのかな。

      • by Anonymous Coward

        SDカード「横についてる書き込み禁止のスイッチを思い出して!」

  • by Anonymous Coward on 2015年06月06日 17時43分 (#2826531)

    って時点で機能的に怪しくないか。効果あるならその他のアンチウィルス要らないし被害も出ないはず。

    • by Anonymous Coward

      カーネルを乗っ取るアンチウィルスソフトなんて、怖くて誰も使えないだろ。OS側の機能として提供されるのならまだしも。

  • by Anonymous Coward on 2015年06月06日 18時15分 (#2826540)

    この機能自体がサンドボックスだったりしないか?

    そういや似た機能をSDカード上に搭載したものを
    最近リリースで見たような気が
     
    読み書き自体をアクセス元アプリごとに
    自動で暗号化できるとかなんとか
    プライベートキーとパブリックキーみたいな
    管理の仕方だった気がします
     
    OSやそのうえで走るアプリに組み込むと
    複合時に便乗されるから
    ストレージ側で対処したほうがいいってコンセプトでしたね
     
    # 最近物忘れが激しくてのぉ

  • by Anonymous Coward on 2015年06月06日 20時37分 (#2826578)

    インストール後、
    ストレージがROで動作しオンメモリで稼働。
    組込用途特殊バージョンのwindowsにプロセス監視を強化したもの
    常時プロセスファイルの署名を監視とか。
    これくらいなら100kに収まりそうだ。

    • by Anonymous Coward

      署名ファイルは一切必要ないって豪語してるみたいだけど

  • by Anonymous Coward on 2015年06月06日 23時23分 (#2826655)

    なにをどうやったら電気料金まで下がる?
    ASテクノロジーでも搭載しているのか?

  • by Anonymous Coward on 2015年06月08日 10時37分 (#2827143)

    例えば、どこか地下の秘密基地かどこかで
    デンゼル・ワシントンあたり演じる”ボス”が

    「なんとか突破できねえのか、このタコ!」

    なんて、プログラマーに銃をつきつけてる場面を
    妄想してしまうんだけど・・・

    アンチウイルスソフト作るのも人間なら、ウイルス作るのも人間だからなあ

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...