C# と VB.NET の質問掲示板

ASP.NET、C++/CLI、Java 何でもどうぞ

C# と VB.NET の入門サイト

Re[12]: ウイルス作成 [2]


(過去ログ 28 を表示中)

[トピック内 47 記事 (41 - 47 表示)]  << 0 | 1 | 2 >>

■13321 / inTopicNo.41)  Re[14]: ウイルス作成
  
□投稿者/ れい (395回)-(2008/01/27(Sun) 00:28:52)
No13316 (ちゃっぴ さん) に返信
> それは極論ではないですか?

極論です。
法律というのは、取り締まる側、取り締まられる側、双方がどう暴走してもよいように作るのが理想です。
ですので、極論の議論は必須です。

> Buffer overflow を起こすような software を公開するのは確かに問題がありますが、公開してはいけないとはいっていません。
> 現実には Winny のときもそうですけど、第一弾としては警告 (改善命令) がいくと思います。

罪の重さはともかく、
やはりソフトの公開を行うと罪になる可能性がある、ということですね。
そうすると、何がOKで何がダメなのか、基準が明確でないといけませんが、

> そこら辺を簡潔にくくるのは非常に難しいです。

簡潔にくくれないならどうしたらいいのでしょうか?

> 一般的には trade-off の関係にあるでしょから、どこまでやるのが現実的か?といったところで落とし所を探ることになるでしょう。
> 私の持論は開発者に対して著しく不利益をもたらすものと思っていませんが、皆さんの考えはどうでしょう?

現実的かどうかの問題は残りますが、「署名」は抑止力になるでしょう。
ですが、「どんなプログラムが悪なのか」という問題をちゃっぴさんは放置していますので、
開発者に不利益があるかどうかはこれだけでは不明です。
その落としどころはどこなんでしょう?

「署名」による抑止はいいアイデアですが、私には些細な事項に思えます。
引用返信 編集キー/
■13323 / inTopicNo.42)  Re[15]: ウイルス作成
□投稿者/ ちゃっぴ (89回)-(2008/01/27(Sun) 01:15:56)
ちゃっぴ さんの Web サイト
2008/01/27(Sun) 01:19:03 編集(投稿者)
2008/01/27(Sun) 01:17:30 編集(投稿者)
2008/01/27(Sun) 01:17:21 編集(投稿者)

No13321 (れい さん) に返信
> やはりソフトの公開を行うと罪になる可能性がある、ということですね。

それは悪意のある software が存在する以上、避けては通れない問題だと思います。

> ですが、「どんなプログラムが悪なのか」という問題をちゃっぴさんは放置していますので、
> 開発者に不利益があるかどうかはこれだけでは不明です。
> その落としどころはどこなんでしょう?

すでに提示したものに下記があります。

1. 自己増殖する software
2. System に対して著しく損害を与え、かつ自動実行する (勝手に scheduling されるものを含む) ような software

それから、制限すべき対象として上記の他に下記のものがあるでしょう。

3. 脆弱性を利用する software (PoC 等を含む)
4. Password crack 等、場合によっては攻撃に利用できる software

その他に、下記もあるんですがうまく定義する方法が見つからない。

5. その software を攻撃目的に誘導するような site

もっとも、5. に関しては software の問題というより、それを公開もしくは推奨する側の問題と完全に切り分けられるわけですが。

上記すべてにおいて当てはまりますが、公開したからといってすぐに犯罪とするわけではありません。
その重要度によって、当然切り分けるべきですし。

上記の他にも制限すべきものがあったり、厳しすぎるという意見もあるかとは思います。
また、定義自体が不十分であったり、曖昧との指摘もあると思います。
ですが、私一人の脳では限界があるのでぜひ皆さんにも考えていただいて、その意見を公表していただけないでしょうか?

> 現実的かどうかの問題は残りますが、「署名」は抑止力になるでしょう

現時点では不可能ですね。これを行うためには、公的な証明機関および OS を作成している vendor の協力が必要です。その対応が一巡しないと却って危険性を招くことになりますので。

私一人では限界があるので意見を募ったわけですが、私ばかりが意見を述べるのはなんなので、れいさんの意見も聞きたいところです。
れいさんはどのような制限をかけるのが適切だとお考えでしょうか?
引用返信 編集キー/
■13326 / inTopicNo.43)  Re[5]: ウイルス作成
□投稿者/ シャノン (272回)-(2008/01/27(Sun) 02:31:18)
2008/01/27(Sun) 02:53:28 編集(投稿者)

No13178 (凪瀬 さん) に返信
> IPAからウイルスの定義を引用すると、
>
> 第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
> (1)自己伝染機能
> 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
> (2)潜伏機能
> 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
> (3)発病機能
> プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

凪背さんに言っても仕方ないことですが…
要件は3つのうちいずれかですが、(2)単独ということはありませんね。
(2)で使われている「発病」という言葉が(3)で定義されていますので、(2)を満たすものは必ず(3)も満たすからです。…って(2)は要らなくね?
(2)だけ満たすものをウィルスと定義すると、たとえばシェアウェアが「非送金状態で30日経過したら送金を促す」なんてのはウィルスになっちゃいますね。

(3)も問題があるような。
「設計者の意図しない動作」って、ウィルスの場合は害をもたらすことこそが「製作者の意図しない動作」なわけですね。
製作者が意図しないバグによってデータが破壊されるプログラムはウィルス扱いですね。
もっとも、そのプログラム以外が利用するデータを破壊するプログラムは、製作者に害意があろうが無かろうが、ウィルス同様に対処すべきですけど。

# れいさんに書かれてた。
引用返信 編集キー/
■13329 / inTopicNo.44)  Re[16]: ウイルス作成
□投稿者/ れい (396回)-(2008/01/27(Sun) 06:13:39)
2008/01/27(Sun) 06:15:07 編集(投稿者)

No13323 (ちゃっぴ さん) に返信
> 私一人では限界があるので意見を募ったわけですが、私ばかりが意見を述べるのはなんなので、れいさんの意見も聞きたいところです。
> れいさんはどのような制限をかけるのが適切だとお考えでしょうか?

それなんですが。

私もいろいろ考えましたが、何をどう規制しても、うまくいかないのです。
全てのソフトが規制対象になってしまうか、
全ての項目について非現実的なほど事細かに規制するか、
どちらかになってしまい、現実的な案がどうしても出せません。

ですので、私の案はありません。全くのお手上げです。

でも、何か違う気がします。
うまくいかないことに、納得ができません。
私の頭が足りないだけならそれでいいのですが、
そうではない気がしてなりません。

以下は駄文です。
ただの直感であって、人を説得できるような理論も思想もありません。


「鋏は事務に必須です。無いと事務処理ができません。
でも鋏は悪用も可能です。なので、「刃の長さ」で規制します。
刃渡り12cmまでの鋏しか市販してはいけません。」

同じ発想で。

「ポートスキャナは管理者にとって必須のソフトです。無いとサーバー管理ができません。
でもポートスキャナは悪用も可能です。なので、「1秒間に接続できるポート数」で規制します。
1秒間に5個以下のポートに接続するソフトしか公開してはいけません。」

これは不便ですが、納得できますし、明瞭です。
こういったふうに、全てに次々適用していったらどうでしょうか?

項目数は山のようにあります。そしてどんどん増えてます。
法律を作る速度より、新しいセキュリティリスクが生まれる速度の方が早そうです。
PCはどんどん不便になっていきますが、仕方ありません。

「ファイルの削除は悪用が可能です。1秒間に3個までしかファイルを削除してはいけません」
(テンポラリも?フォルダごと削除とか、何十分もかかるの?
「ファイルの上書きは悪用が可能です。どんなファイルでも上書きするたびにユーザーに聞かないといけません」
(MFTとかもファイルだけど?
「画面表示は悪用が可能です。表示する前にユーザーに(略」

という感じで、おかしな話になっていきます。
項目数的にも非現実的ですし、ダメですね。

現在ある法律の線引きを考えてみます。

銃刀法は「弾薬」「運動エネルギー」というもので、二つに分けています。
ある程度うまくいってそうです。
これだって、「弾薬の定義は何?」と訊き続けることも可能ですが、
みんなあまり問題にしない。私もあまり気にならない。

何ででしょう?

線の引き難い問題を考えてみました。
例えば「脳死」の問題。(どこから脳死?
例えば「インサイダー取引」の問題。(どこからインサイド?
いろいろ調べましたが、「線の引き難さ」が、何か違う感じです。

具体的な物があるかどうかが問題なのかと思い、
情報だけが問題となるような罪を考えてみました。

例えば名誉毀損罪。秘密漏示罪。わいせつ物頒布罪。
どれも線引きは複雑で、難しいようです。
この中ではわいせつ物頒布罪が一番近いように感じられましたが、
これもやろうと思えば明確な定義は可能です。
「女性の屋外での肌の露出は目と手、足以外禁止」みたいな。
やっぱり何か違います。

なんで、ソフトウェアの時だけ変になるのでしょう?

私も散々考えました。
ですので、私はちゃっぴさんの案の不都合な点を指摘できます。
(少なくとも、私にとって致命的に不都合な点があります。)
同様に、他の方が案を出しても、不都合な点を指摘できるような気がします。

でも、銃刀法の不具合は私には指摘できませんでした。他の法律も無理でした。
だからといって、ソフトウェアに詳しいから不具合が見える、というわけではないような気がします。
法律には穴がたくさんあるものですが、そういう穴ではなく、
何か違う、本質的で致命的な穴に思えます。

もしかして…。

ソフトウェアの時は何かが違うのではないでしょうか?
誰がどういう法律を作っても、絶対に不都合が生じるんじゃないでしょうか?
ソフトウェアって、本質的にそういうものなんじゃないでしょうか?

我々はとてもナンセンスな話をしてるのではないでしょうか?

私の思考は今この辺です。
引用返信 編集キー/
■13341 / inTopicNo.45)  Re[10]: ウイルス作成
□投稿者/ 774RR (130回)-(2008/01/28(Mon) 08:31:36)
ちょうどひろみつ先生も記事を age たところなので紹介など
http://takagi-hiromitsu.jp/diary/20080126.html

俺の言いたいことはほぼすべてひろみつ先生が記述済みなので記事参照
ソフト・ハードにバグがあったらとかその辺まで
引用返信 編集キー/
■13342 / inTopicNo.46)  Re[11]: ウイルス作成
□投稿者/ れい (397回)-(2008/01/28(Mon) 09:35:06)
> 俺の言いたいことはほぼすべてひろみつ先生が記述済みなので記事参照

イタリック過ぎて読みづらいですが、
どうもです。


引用返信 編集キー/
■13346 / inTopicNo.47)  Re[12]: ウイルス作成
□投稿者/ 凪瀬 (14回)-(2008/01/28(Mon) 13:01:19)
凪瀬 さんの Web サイト
線引きは必要だとは思うけども、なかなかうまい線は引けないだろう、と思っていますね。
それがソフトウェアの複雑さだと思うのですよ。
業務でSEなどをされている方はそのあたり、日常の業務でよく経験しているのではないでしょうか。

とりあえず、現状のIPAの定義というのは穴があることは事実で、
その穴を塞ぐと他の穴が見つかって、というモグラたたきをやり続けたら
なんとか実用に足る、妥協ラインになるのかもしれません。
引用返信 編集キー/

<前の20件
トピック内ページ移動 / << 0 | 1 | 2 >>

このトピックに書きこむ

過去ログには書き込み不可

管理者用

- Child Tree -