てきとーにやる

http://support.apple.com/kb/HT3639

先日iPhone OSが3.0にアップデートしたけど、
その中に46個もの脆弱性が含まれていますね。
かなりリスクの高い脆弱性も含まれているので、お近くのiPhoneユーザは
アップデートすることをオススメします。
（俺は持ってないｗ）

しかし、今回のこのセキュリティアップデートにはいくつかの
問題を感じます。

まず、ipod touchユーザに対する対応
touchも同じOSを搭載していて、同じ脆弱性を持っているのですが
なぜか、このアップデートが有料なのです。
機能アップデートがメインなので、有料なのですが
それにセキュリティアップデートも含めるというのは・・・

お金払えないヤツは、マルウェアにやられてろとでもいうのでしょうか。
セキュリティアップデートは別にして無料にすべきです。


次に、アップデートの遅さ。
今回の脆弱性のほとんどは、iPhone特有のものというわけではなく
MacOS XやWebKitなどで発見され修正されていた脆弱性がほとんどです。
（いうまでも無いが、iPhoneOSはMacOSがベース）

最近のものならともかく、去年末や今年初めのものも含まれている状態です。
こまめにアップデートすべきです。
携帯端末だから、セキュリティは後回しというポリシーなのでしょうか


前々から思ってはいたのですが、appleのセキュリティポリシーは
どうかしてると思います。

以前CMでMacを使えば安全だと、意味もなく叫んでいましたが
何が安全なのでしょう？
現状のセキュリティポリシーを続けていれば、
近い将来、Windowsの二の舞になることは目に見えています。
ぜひ、appleにはセキュリティポリシーの見直しを行って欲しいと思います


と、ついapple叩きになってしまいましたが、
正直なところ、携帯端末に関するセキュリティはiPhoneに限らず問題になると感じています。
どんどん高機能化してノートPCと変わらないわりに、
セキュリティ対策に関しては、あまりスポットが当たってないのが現状だからです。

その割りに、個人情報が詰まっているし、アタッカーの興味はそそると思います。
下手すれば、街を歩いてるだけで個人情報やパスワードなんかを収集できる
なんてことも・・・


なので、ぜひappleには率先してセキュリティ対策を全面に押し出してもらいたい
もしくはgoogle phoneにｗ
（とはいえgoogleのポリシーもアレ・・・）

研究者がマイクロソフトの無線キーボードのキーボードスニファーをデモ

だとか。

そりゃ、まぁ無線なんだからキーストローク垂れ流しなわけで
技術的には可能だわな。

無線LANにしたってそうだけど、無線するためのものなんだから
受信可能距離からは接続されるもの。
という認識は一生捨ててはいけない。

もちろん、暗号化の強度を上げたりすれば可能性は減らせるし、
そうしておけば、大多数の無線に含まれる情報なんて
苦労して取り出してもたいした情報じゃないわけで、十分なんだけど。

まぁたまに個人情報やらクレジットカード番号なんかを垂れ流しにしてる
ふざけた企業もいるけどね・・・



つか、記事の中に

>有線キーボードを入手すべきだということだろうか。必ずしもそうではない。
>他の研究によって、有線キーボードもスニフィングの影響を受けるということが
>証明されているためだ。

えｗ
リンク先の記事読んだけど、レーザー式盗聴か電源の周波数から割り出すとか
無茶な方法なんすけどｗ


レーザー式盗聴なんてするくらいなら、ズームしてキーボード見ろって話しだし
電源も何十人もカタカタやってたらかなり大変っしょ。
しかもUSBやモバイルには効かないみたいだし。

カーテン閉めてUSBキーボード使っとけば、かなり難しいはず。

もちろん絶対安全ではないけど、無線より有線使うべきなのはあきらか。
なのに、
「必ずしもそうではない」
ってのはオカシイぞ。

とりあえず有線つかっとけｗ

http://www.itmedia.co.jp/news/articles/0906/11/news020.html

前々から気にかけてはいたけど
マイクロソフトのセキュリティサービス、morroがとうとうやってくるようです。

無料のアンチウイルスに関しては前々から、
何を選択するば良いか悩んでいたわけだけど
ようやく、マイクロソフトが参入してくるわけですね。

もちろん手放しで、これは良いと言えるわけではないですが、
セキュリティサービスにマイクロソフトが参入する意義は大きいと思います。
（LiveOneCareで失敗はしてるけどｗ）

個人的にはマイクロソフトのここ最近のセキュリティポリシーにはかなり
期待している部分もありますし。

是非、試してみたいと思っています。

検知率次第ではあるけど、問題なければメインとして使いたいね。

高木浩光＠自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
を見て

「NoScript」がいいか「RequestPolicy」がいいかはともかくとして
セキュリティ屋がNoScript言い過ぎるのは確か。

まあ俺もNoScriptをわりとオススメしてる派なので、
シロウトにはオススメ出来ない事とか、
そもそもキチンとパッチを当ててる前提とかを説明仕切れていないので
そこは耳が痛いけど。

しかし、今出来うる対策の一つとして、「NoScript」なり「RequestPolicy」なりが
存在するという事は明白だし、
やらないよりは良い、という前提で広めることはアリだと思う。

もちろん、シロウトがうまく扱えるとは思わないし
以前、書いた
NoScriptの設定
というのも、とてもシロウトには相当オススメできない設定ではあるがｗ

要は、その辺の前提の話をキチンとして行かなきゃいけないね、って事だ。

そういう意味だと、
firefoxだろうがchromeだろうがどんな設定だろうが、安全にブラウジングできるなんてとんでもない。
ユーザはなんらかの攻撃にさらされるという前提で対策を講じる必要があると
広める必要はあると思う。

ブラウジングしてて、マルウェアに感染しない自信はあるか？
俺はまったくない。
（不安を煽るなと言われそうだがｗ）

クライアントファイアウォールであったり
アウトバウントトラフィックのモニタリングであったり
前回の、超シロウトにオススメできない環境だったりｗ

そういった、何かが起こることを前提とした対策を提示していくべきだと思う。


うん。俺には今のところ良いアイデアはないｗ


ちなみに、「NoScript」をやめて「RequestPolicy」にした、とのことだが
俺は現在の「NoScript」のガチガチの設定でも
それほど煩わしさを感じないので、乗り換えはしないと思うけど
たしかに、updateの多さは「いったいなんなの・・・」って気はするけどね

そろそろ、というかとっくにと言うか。

firefoxを使うメリットの一つとして、IEよりも安全という事があったわけだけど、
もうここ最近はそのメリットは無くなったと思う。
（たとえnoscriptを使ったとしても）

シェア的にも、IEにかなり迫っているし地域によってはfirefoxの方が使われている事実や
ここ1年間の危険度の高い脆弱性の数を見ても、IEとfirefoxに差が無いという事実。
もう危険なブラウザの１つといっても過言ではない


とは言え、firefox+アドオンの使いやすさは捨てがたく
なかなか変わりになるブラウザがないので、悩んでいました。


そこで、思いついたのが
sandboxie + rramdisk + firefox
という組み合わせ
(前回も紹介したが)

これにより、firefoxで見たwebサイトで、汚染されたとしても
それはsandboxieの仮想領域なので消せばすむし、
しかもrramdiskでメモリ上に設定しておけば、
再起動すればきれいさっぱり消えることになります。

rramdiskに関しては、sandboxを手動で消すなりすればいらないけど
消し忘れ防止や、再起動のたびに消えることで、余計な情報が
蓄積されないというメリットがあるので使っています。


ただ、これで完璧かというとそうでもなく、弱点も考えられます。

メモリです。

sandboxieはメモリはさすがに仮想化しないので
一度メモリ上で別プロセスとしてウイルスが実行され、
そのウイルスが実環境を汚染すると、感染の危険はありそうな気がします。
（と思ったんだけど、ここもsandboxieを攻略する必要がありそうなので、難しいか）

ただ攻撃者が、そんなややこしい事をしないだろうと言うことと
この場合は逆に、クライアントファイアウォールが防いでくれそうな気もするので
危険度は低いんじゃないかと想定してます。

脆弱性によりメモリ上に乗っかってるデータが流出することは
さすがに避けられそうにないですが、まぁなかなか無いでしょう。

後は、利用するアプリが増えることのリスクもありますが、
そこも許容するということで


そんなわけで、
sandboxie + rramdisk + firefoxを使ってみてますが、
再起動のたびパスワードやらキャッシュやら何もかもが
消えるので、正直使いづらくてシロウトにはオススメできませんｗ
（ちなみにスリープはデータ保持可能）


まぁ単なる思い付きで、絶対安全というわけでもないし、
使いづらさはピカイチなので、ご利用は計画的にｗ