[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00278] Re: あやしい OSははたして怪しいのか?

こんばんは、いはらです。

On Mon, 18 Jun 2001 16:48:59 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:

>| 意味不明な Subject の上に、さらに唐突に質問です「いまお使いのシステムは
>| 安全である」って皆さん証明できます?
>
>  これは「disk 上に格納されているファイル改変されていないことを証
>  明できますか?」という意味と理解してよろしいですか?

それに近いです。

動作中の OS が改竄されていた場合、その OS 上で動作するアプリ
ケーションの結果は正しいとは限りませんよね。

例えば、NT の rootkit はレジストリに設定された一定の文字列を
持つ値を、レジストリエディタ等に対して正確に表示しません。

例えば Run キーにトロイの木馬を起動するように設定していても、
rootkit の動作により、Run キーをレジストリエディタで見ても
何も値が設定されていないように表示されてしまい、管理者は実際
に設定されている本当の値を知ることができません。

これを確認するには、rootkit の動作していない状態、すなわち
別の OS から起動するなどして確認する必要があります。

>  あと、SecureBSD (開発止まってる?!) だとそういうことをコマンド実
>  行毎に自動でやっているようです。
>
><http://www.securebsd.com/>

rootkit と整合性チェックツールの相性が悪い点として、Tripwire
などはファイルを読み取りで開くという点があるかと思います。
rootkit は、Tripwire などがファイルを読み取りモードで開いた
場合には本来のファイルを読み取らせますが、実行モードで開いた
場合には、まったく別の悪意を持ったファイルを実行させるという
ことが可能です。
この為、SecureBSD のように実行時点でハッシュをチェックするに
してもそのチェックの方法によってはやはり回避される危険性があ
るのではないかと個人的には推測しています。

根本的には、rootkit をロードさせない、という点につきますが、
ではロードされていないかどうかを、未知の rootkit を含めて検証
するにはどうすんべ?というのが現在の課題といいますか頭を悩ま
せているところです。
 
---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/