パスワードを忘れた? アカウント作成
12354605 story
Windows

イスラエルのセキュリティー企業、「ハッキング不可能」なバージョンのWindowsを開発中? 56

ストーリー by headless
鉄壁 部門より
イスラエルのセキュリティー関連スタートアップ企業 Morphisec が、「ハッキング不可能なバージョンのWindows」を開発しているそうだ(Business Insiderの記事Softpediaの記事Slashdotの記事)。

このプロジェクトはベングリオン大学のCyber Security Research Centerで、軍用アプリケーション向けに100%ハッキング不能なOSを作る研究から始まったものだという。

Morphisecで開発中のWindowsは、特定のWindowsアプリケーションで「すべてのメモリーをランダム化」することでゼロデイ攻撃を不可能にするとのこと。これ以上の説明がないのでOSが備えるASLRなどの仕組みを利用するのか、独自に実装されたものなのかは不明だが、Morphisecでは誤検知なしに100%ゼロデイ攻撃を阻止できると主張しているという。なお、Microsoftはプロジェクトにかかわっていないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ハッキング不可能だったらすごいね。

    攻撃不可能なのかな?

  • by Anonymous Coward on 2015年08月09日 19時37分 (#2861509)

    「特定のアプリケーションで」なら既存だと思うんですが、
    わしの勘違いでしょうか?

    https://en.wikipedia.org/wiki/Address_space_layout_randomization#Micro... [wikipedia.org]

    • by Anonymous Coward

      まずタレこみを第3段落まで読んでみようか

    • by Anonymous Coward

      まぁ、EMET [microsoft.com]が無理矢理全実行アプリで有効(危険)なWindows10との違いはなんなの?とは思ってしまうね。

      • by Anonymous Coward

        EMETは現行バージョンでは、Windows10ではサポート外なのであしからず。
        実際、ログインできなくなった被害者がいたり、EMET上で設定変更ができなくなっていたりと、まともに動作してません。

  • by StandardIO (47182) on 2015年08月09日 21時00分 (#2861537) 日記

    https://www.rcis.aist.go.jp/project/FailSafeC-ja.html [aist.go.jp]
    絶対にバッファオーバーフローしないコンパイラ。
    誰も興味持ってないだけで、まあたぶんできるだろうから研究者の自己満足に過ぎない。
    #「私は完璧を嫌悪する。」とか言ったマッドサイエンティストいましたね、漫画に。

    • by Anonymous Coward

      http://compcert.inria.fr/ [inria.fr]
      バグのないコンパイラもあります
      もしコンパイラにバグあるならばGCCのバックエンドが悪いコンパイラ

    • by Anonymous Coward

      メモリのランダム化とスマートな整数やポインタの導入を似たようと言ってのけるやつが知っているくらい知名度の高い研究です

    • by Anonymous Coward

      その昔バッファオーバーフローがないしコードはサンドボックス内で安全に実行されるJavaという言語がありましてね

      • by Anonymous Coward

        メモリ管理はほぼ自動というおデブ養成マシーンですね。
        使ってますけど重いね。

      • by Anonymous Coward

        JavaはCとはセマンティックスが違うから比較は無意味だが

    • by Anonymous Coward

      OpenBSDってメモリのランダム化してなかったっけ?せっかくランダム化しているのにそれを使わないようにOpenSSLに出し抜かれていて、結果OpenSSLが心臓出血して大惨事になりTheo様激オコって聞いたけど。

  • by Anonymous Coward on 2015年08月09日 21時16分 (#2861542)

    ウワサで買って事実で売れ

  • by Anonymous Coward on 2015年08月09日 21時39分 (#2861549)

    「非常に有望(ドヤ」とかのたまっていた、かのWindows 10ですらこの有様 [sproutgroup.co.jp]。
    仮にOpenBSDよろしく、仮想メモリまで合わせた全てのメモリがランダマイズされるような、堅牢()なWindowsをこさえたとしても無意味。
    何故ならば、Windows自体が全力でお漏らしするから。
    「マイナンバーにはファイアーウォールがある。年金番号のような失態にはならない」とかドヤってる老害にマイナンバーの管理させるようなもん。

    この件に限らず、どうもMicrosoftのプライバシーに関する意識が一般的な感覚とズレてきているように思うのは筆者だけだろうか。

    ほんとこれ。
    西方望のみならず、Windows 10を使った全ての人が実感したと思う。
    最近のMSはマジヤバイ。

    • by Anonymous Coward

      昔はやばくなかったとでも?

      • by Anonymous Coward

        LANMANを入れる前のDOSは比較的堅牢だった

    • by Anonymous Coward

      >何故ならば、Windows自体が全力でお漏らしするから。

      貴方は本当にその記事の内容を読んで理解したのでしょうか
      おかしいやり方をMSがしたのは事実だがWindows自体が漏らすというのは悪意か思い込みが先行している

      ただ、MSアカウントとかGoogleと同じことを後追いしているのは間違いない
      今のGoogleがヤバすぎるからこそMSに期待してたのにGoogleのダメな部分を真似されちゃ存在価値がなくなる

      • 元コメは書き方が悪いですが、「Windows自体が漏らす」という可能性は考えないとダメでしょう。
        メモリアドレスのランダム化などで、アプリケーションが堅牢なものになっていたとしても、
        アプリが呼び出すOS機能内に脆弱性があったら意味がありません。

        具体的実例で言えば、「WindowsのGDI+にバッファ オーバーラン脆弱性」 [srad.jp]みたいなのですね。
        OSの提供する機能内に脆弱性が存在したら、その機能を利用するアプリは、たとえアプリが問題なくてもそれだけでは意味がありません。
        まず「OSが堅牢なものになっている」のが大前提でしょう。

        親コメント
  • by Anonymous Coward on 2015年08月09日 20時24分 (#2861519)

    皆さん、クラッキングされないように考えて作っているんでしょうけどね。OpenBSDだって頑張ったけどね。
    Windowsにしたってクラッキングされない最大の手法はネットに接続しない事だよね
    でも渋谷の街を歩っていてもやばい人達とすれちがうし、わざと肩ぶつけてくる奴もいるよね
    ネットの世界って下手すりゃメキシコよりも治安が悪いのかも知れない
    結局、パソコンなりOSを使う人の裁量というかモラルで決まるんじゃないの?
    怪しいメールをいきなり開く程度の悪い奴がいる限りセキュリティーは向上しないと思う

    • by Anonymous Coward
      コメントタイトルでさらっと「殿方」って書くんだよなあ
    • by Anonymous Coward

      怪しいメールをいきなり開くのは善人であって、それを前提にセキュリティを構築するのがセキュリティ管理者ですが何か?

    • by Anonymous Coward

      なぜ、敢えてメキシコ?

      • by Anonymous Coward

        わからんけど治安の悪い場所の例じゃないですかね。

    • by Anonymous Coward

      やっぱりいくらシステムが完璧でも、使う人間が漏らすソーシャルハック最強ってことですな。

    • なかなか来ねぇと思ったら
      こんなところで歩ってやがる。

  • by Anonymous Coward on 2015年08月09日 21時47分 (#2861552)

    dbMagic [magicsoftware.com]を思い出したのは私だけですか、そうですか。

    • イスラエル企業のソフトってご利益ありそう
      ロシアのクラッキングツールといい勝負

      • >イスラエル企業のソフトってご利益ありそう
        ユダヤ教の神様のご利益って、なんかろくでもないという印象があるんだけど。
        つーか、ご利益という概念あっただろうか?

        --
        #存在自体がホラー
        親コメント
        • ≪コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い≫ -- Joseph Campbell

          というのが真っ先に浮かんだ。
          規則を守らないと無慈悲な神の怒りに触れる?
          だから無事でいられるように身を守っていられることがご利益なのかな。
          そういう意味ではNASAよりもNSAが同じ印象

          ※あくまで個人の印象・感想です。

          親コメント
        • by Anonymous Coward

          ユダヤ教の神様もキリスト教の神様もイスラム教の神様も同じ人(?)だけど、どの神様と比較しての話?

          ご利益はないかもしれないけど、”汝の隣人を愛しなさい”とも言わなかったらしくて、ユダヤ人には金貸しが多い。

          • by Anonymous Coward

            その台詞はキリストだけど、何故か死後に神様と同一人物って設定にされた。
            なので神様が言った事になってる。
            んでイスラムは同じ神様なのに西洋式の高利貸しはいないというか、経済に関しての思想が異なる。
            日本に来た神様達も色々とご都合主義的な祀られ方はしてるけどさ。

            • >イスラムは同じ神様なのに西洋式の高利貸しはいないというか、経済に関しての思想が異なる。

              西洋式の高利貸し(単純な時間経過による利殖)そのものが原典レベルで否定されてなかったっけ?

              --
              #存在自体がホラー
              親コメント
        • by Anonymous Coward

          日本企業の製品だからといって、べつに日本の神道や仏教がどうだ、という話にはならないと同様、
          イスラエル企業の製品だからといって、ユダヤ教の話になるのは、唐突すぎると思います。

          別にネタとしては構わないとは思いますが、(失礼だとか差別だとか不謹慎だとかやめろとか言うつもりはまったくない)、
          もうちょっと関連性を説明しないとというか屁理屈を用意しないとネタとしても成立しにくいような。

          • すいません、「イスラエル」「ご利益ありそう」→ユダヤ教にご利益って概念あんのかよ(宗教観の違いのギャップの表面化)という連携で連想しただけです。

            考えて見れば、旧約のエホバという神様の「ご利益」って、あるとすると、「お前には罰を与えない(なかった)」というひどい話しかないような気がする。
            #暴風雨が来ても暴走してやらなかったんだから感謝しろ.....嫌な製品だな

            >日本企業の製品だからといって、べつに日本の神道や仏教がどうだ、という話にはならないと同様、
            「製品」をソフトウェア以外と拡張すると以外と話がつながるかもしれませんよ。(オフトピもいいところですが)
            とっかかりは商標とかのデザインかな。
            「ソフトウェア」であっても、製品と利用者に対しての思想を比べると繋がるかも。
            #「契約」のあり方に違いはあるかな?ライセンスの枠組自体、日本発のものがないか?

            単純に名前だけでも「勘定奉行」系のネーミングで神様仏様系の名前使っているやつがあるかも。ネーミングはメーカーの製品に対しての考え、製品をユーザーにどう受け取ってもらいたいかが現れるところかもしれません。

            --
            #存在自体がホラー
            親コメント
      • by Anonymous Coward

        [イスラエル 暗号] あたりでググるとそんなイメージ。
        そういえばインテルの開発拠点の一つもイスラエルにあったよね。

  • by Anonymous Coward on 2015年08月09日 22時04分 (#2861561)

    もちろんソーシャルハッキングも含むんだよね?

    • by Anonymous Coward on 2015年08月09日 22時38分 (#2861577)

      はい。メモリ内容のランダム化によりあらゆるアプリケーションが実行できないようにしてあります。
      # いやいや...

      親コメント
      • by Anonymous Coward

        組織の人事も毎日ランダム化すればソーシャルハッキングも防げるのでは?

        #あらゆる仕事が実行出来ないようになるかもしれんけどもw

      • by Anonymous Coward

        安全なWindowsは動かないWindowsだけだ!

    • by Anonymous Coward

      そういうオプションがあるのでは?
      担当者だけ口封じなのか建物ごと破壊なのかは分かりませんが。

    • by Anonymous Coward

      インストール時にも使用中にもランダムで知識テストがあり、
      間違えるとディスクの内容ごと消去して安全性を保ちます。

      とかだったらできるかも。

      • by Anonymous Coward

        生き残ったのはスパイだけ、となるかも。

    • by Anonymous Coward

      もちろんでしょう。
      安心してパスワード書いたポストイットをモニタに貼っておけます。

  • by Anonymous Coward on 2015年08月10日 0時50分 (#2861600)

    会社名だけでもう失敗する臭いしかしない

    • by Anonymous Coward

      「企画」が付いてないからギリセーフ

      ご連絡先

  • by Anonymous Coward on 2015年08月10日 8時52分 (#2861652)

    どの企業もバグのないクラッキングされないようなOSを目指して開発しているとは思いますよ
    # 完成したら教えてね!

  • by Anonymous Coward on 2015年08月10日 8時57分 (#2861655)

    軍や企業がスポンサーのひも付き研究の発表は、権威ある雑誌にでも載ってから取り上げて欲しい。

  • by Anonymous Coward on 2015年08月10日 11時58分 (#2861727)

    O/T

    Windows10でEMETはまともに動作しません。サポート外だそうです。次のバージョンのEMETが出るまでインストールしないほうが幸せです。
    Windows10でEMETを使用すると、設定によっては、再起動後にホワイト画面でログインできなくなります。
    ちなみに、Windows10にアップグレード前からEMETを使用していた場合、EMETの設定が殺されて、正常に動作しない状態になっています。放置しても、問題ないようですけれど、設定変更すると、再起動後にホワイト画面でログインできなくなる可能性があるので、アンインストールしておいた方が無難です。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...