こちらも参加していますのでよろしくお願いします。
アスペルガー症候群ランキング
今日は、5月第1木曜日でWorld Password Day (世界パスワードの日)
強力なパスワードをつけるのは、当たり前かもしれないが
ここ近年、いや、昔からもシステムの攻撃が、もっとも有効なのは、ハッカーの常套手段。
いくら強力なパスワードをつけようが、システムの穴、裏口をつけば、いとも簡単に侵入されてしまう。
このシステムの穴は、マイクロソフトのWindowsは、かなり多い。
そんでもって、当局は、そのセキュリティホール、脆弱性を活用して、諜報活動を行ったりしている訳だ。
Webシステムの脆弱性は、OS、言語の仕様、隙間をついたインジェクション攻撃から
OS自体の、脆弱性をつくやり方がある。
ここ最近のマルウェアは、システムを効率よく乗っ取る為、脆弱性をつくタイプの物が増えている。
パスワードの総当たりなんてするのも、たまにいるが、それはそれで、システムの設定を変更するとか対処方法がある。
厄介なのは、脆弱性をつくタイプで
MS17-010 Windowsのファイル共有機能「SMBv1」に存在する脆弱性を悪用
WannaCryが悪用した脆弱性(MS17-010)は、ファイル共有機能が有効になっているWindows ServerやWindowsパソコンにネットワーク経由でアクセスして、Windowsのシステム権限で任意のプログラムを実行できてしまうというもの
WindowsXPやWindows8とか、サポートが終了したOSにはセキュリティパッチが提供されていないので、乗っ取り放題になった。
CVE▼-2017-0144/0145 任意のプログラムを実行できるリモートコード実行の脆弱性
Windowsの脆弱性「MS17-010」は、元々は米国家安全保障局(NSA)が発見し、諜報活動に利用するためMicrosoftに連絡しないでおいたものだった。
MS17-010の脆弱性の存在は、ハッカー集団の「Shadow Brokers」がNSAの利用していた脆弱性情報や攻撃ツールを盗み出したことによって明るみに出た。
Shadow Brokersは2016年夏ごろから、NSAから盗み出した情報やツールを裏社会でオークションにかけて売りだそうとしていた。
そして2017年4月に、それらの情報を一般に公開してしまった。Windowsハッキングツール58本は、パスワードを入れれば、無料でダウンロード出来た。
https://github.com/misterch0c/shadowbroker/
今まで、乗っ取られたサーバーを、何度も検証してきて、大抵、似たようなことをハッカーは、やっている。
ハッカーは、侵入した後に、ローカルのネットワークの調査を行う。
私でも、自分が知らない会社のネットワークだと
arp -a
netstat -an パソコンのポートの開閉状態
っていう感じで、ネットワークの構成、接続されているコンピュータを調査分析する。
米国政府が、linuxシステムの重大な弱点に関する知識を隠蔽し、それがリークされてきたあたりから、Linuxのウイルス、マルウェアが一杯出現してきた。
コンピュータセキュリティ問題は、なぜ起こるのかというと、OS開発に、C言語を使っているから、メモリ管理、特にポインターが原因で、メモリーリーク起こしやすい。
このメモリ管理を解決する為、「Rust」というプログラム言語を使おうという動きが、Rust for Linux、Windows も起こっている。
Rustは、プログラムに必要なメモリーの確保や解放に関連するバグが生じない「メモリー安全」が保証されたプログラミング言語。
それに対してこれまでのOS開発に使われてきたC/C++は「大規模な開発においてメモリー安全なコードを記述することがほぼ不可能」
コンピュータのセキュリティは、単純なところが、ほころびになって、そこから侵入を許す場合が多い。
AppleのiPhoneは、セキュリティは、かなり強力だが
指紋認証、顔認証より前の時代は、パスワードをかけてなかったり、かけたとしても、「8888」というのが、昔は多かった。右手でiPhoneを握って、親指で一番連打しやすい位置にあるから
iPhoneユーザーが1日にロック解除する回数は平均80回。4桁のパスコードなら1日320タップ、最近のiOSの標準である6桁なら1日480タップをロック解除のためだけにしなければなりません。
指紋認証のiPhone、iPadが出た時、ロック解除の手間と時間を考えると、時は金なりというか、時間と、手間と、安全を買うコストは、安い、と思った。