ちょっとしたデバイス固有ID、バイナリセキュリティ雑談

私の講義では固定IDはプライバシーの問題を話す。セキュリティの話は他で話していることを繋ぎ合わせれば分かるハズなんだけど整理して話しておいた方がいいのかしらん。

2011-08-24 06:14:51

混ざってまっせ指紋→グミ指静脈→大根でもまぁそういうこと認証要素と本当に認証したいものが強固に結びついている前提の危うさ QT @gcd_org: 指紋データを求めたときに大根のデータを送り返す人が出てくる可能性に思いが至らない人に、どうやって気づかせるか？RT

2011-08-24 07:41:21

なるほど。モーションセンサコワイね。 → Schneier on Security: Smartphone Keystroke Logging Using the Motion Sensor http://t.co/k1e0QdN

2011-08-24 07:41:25

@tetsutalow 最近、アセンブラっつうか、機械語が分からんやつにセキュリティを分かってもらうのが大変難しいことに気がついたんですが…どうおもいます？てつたろーせんせい。

2011-08-24 08:04:16

Takuo Watanabe @wtakuo

@shigeyas キー入力のタイミングだけを記録したものから入力内容を推定できる技術もあるので，PCの加速度センサも同様に使えるかも知れません．まあそんなソフトを仕込むくらいならキーロガーを使うでしょうけど．

2011-08-24 08:29:11

.@wtakuo ポイントは、キーロガーぐらい深いところまで潜り込まなくても、モーションセンサの情報とれるし、そこを対策できるように縛るのが難しそうだって点かなと思いました。

2011-08-24 08:31:36

@shinmiyakawa バイナリな脆弱性はそりゃ機械語知らないと分からない（ので #itkeys ではそのためにIA-32を2コマで講義します）けど、セキュリティの問題全体から言うとバイナリ脆弱性の重要性は下がってるように思います。師匠のお仕事周辺ではどうかわかりませんが。

2011-08-24 08:54:25

@tetsutalow そーなんですが、「プログラムカウンタがスタック領域に突入すると強制的にソフトウェアインタラプトがかかるようになってるので、バッファオーバーラン攻撃が難しくなった」という文を、まったく、ほとんど1ビットも理解してもらえないんです

2011-08-24 09:09:06

@shinmiyakawa それは機械語というよりMMUがわかってるか。そういう保護機構の必要性から言うとOSの仮想記憶機構も理解しないといけない。でも自分が受けた教育を考えると具体的機械語は講義されなかったがMMUは講義で習ったので、もう少しメタな知識でなんとか理解できそう。

2011-08-24 10:00:26

残念過ぎる “@shinmiyakawa: @tetsutalow ..「プログラムカウンタがスタック領域に突入すると強制的にソフトウェアインタラプトがかかるようになってるので、バッファオーバーラン攻撃が難しくなった」という文を、まったく、ほとんど1ビットも理解してもらえない..

2011-08-24 10:05:23

C教えるのどうとかいってたけど、やっぱCとアセンブラは教えないとダメだね。。もうちょっと高級言語やってから後で良いとは思うし、CPU実習までいかなくてもいいから。。

2011-08-24 10:08:42

Takuo Watanabe @wtakuo

@shinmiyakawa @tetsutalow 相手のバックグラウンドはどうなんでしょうか．情報工学科出身のエンジニアだったらガックリ(orz)なんですが…

2011-08-24 10:11:43

指紋は「知らん間にあちこちにばらまいている」「簡単に変更できない」の2性質が分かりやすいので携帯IDのプライバシー問題を話すにもいいのかなと思います QT @gcd_org: 静脈より指紋のほうがキャッチーだし、グミより大根のほうがいいなぁ ;-) 指紋が固有なのは指という前提が

2011-08-24 10:33:00

@wtakuo @tetsutalow そ、それが、情報工学っぽいところ、でも危ういですね。

2011-08-24 10:55:28

@shigeyas @shinmiyakawa 残念ではあるけど、じゃあ機械語はITエンジニアの基礎素養か？といわれると、うーんそろそろいらんかも、と思います。OSのメモリ保護機構は知っておいて欲しいけど、それと「任意のコードが実行可能な脆弱性」との関係は境界線上かなぁ。

2011-08-24 11:11:53

Takuo Watanabe @wtakuo

@shinmiyakawa @tetsutalow そうですか．うーむ．うちはOSの講義でメモリ保護の話に加えてバッファオーバーラン攻撃の話もしていますが，どのくらいわかってもらえているやら．

2011-08-24 11:12:33

@shigeyas @shinmiyakawa もちろんセキュリティの専門家ならバイナリを理解するべきとは思いますが、じゃあ今後はiOSとAndroidが主戦場だからみんなARMが読み書きできなきゃ！とまでは、ならないんじゃないですかねぇ。

2011-08-24 11:13:59

@tetsutalow @shinmiyakawa ならないと思いたい部分（システムが解決すればいいんという考え）が半分、そんなんではイカンなと思うのが半分です。セキュリティの専門家はだれが育てるのかと考えたら、誰かが仕込まないと無理なんで、100%分からないまでも味あわせないと

2011-08-24 11:16:39

@wtakuo @shinmiyakawa 機械語レベルのCPUの動き（特にCALLとRET）と、コンパイラにおける自動変数の処理がわかってやっとスタックオーバーフローがなぜコードの送り込みと制御の奪取ができるのかわかるわけで、やっぱり前提知識はかなり必要ですよねぇ。

2011-08-24 11:18:19

@wtakuo @tetsutalow わたなべせんせいのところでわかってもらえなかったわオワリですね。

2011-08-24 12:18:08

@tetsutalow @shigeyas IA32とかARMとか特定のアーキテクチャじゃなくてもいいんですが、せめてZ80でもいいので、なんか、こう、CPUっていうのはさ、っていうのをわかっててほしいっていうか。。。

2011-08-24 12:18:46

@shinmiyakawa @tetsutalow うん。まぁ、MMUの説明は辛いんだけどねぇ。。味をしってほしいんだよなぁ。。

2011-08-24 12:20:31

@keikuma @gcd_org 指紋は特徴点抽出で処理される場合が多いので生体情報を生で持つことはまれかと思いますし、Fuzzyhashなどをうまく使うと特徴点DBから対応する指紋の再生を防ぐこともできるのですが、実用上は入力値の空間が絶望的に狭いので総当たりに弱いです。

2011-08-24 14:22:50