Windows Updateでアップデートするマルウエア
http://
記事の内容は、OSであるWindowsのアップデートに使われるダウンロードソフトが不正に利用されてしまう、という事です。
OSのアップデート自体は悪い事ではないので、標準装備のFWは許可しているし、一般のFWでも許可しなければアップデートが出来ないデメリットが出てくるので許可してしまっているはず。
そんな、ある意味優遇された部分を不正なデータのやり取りに使う事が出来るのだそうです。
もちろん処理を詳しく知っているわけじゃないです。ただ、自動更新にしろサイトで更新するにしろ、このプログラムが使われているのだと思います。認証も兼ねて、ということで。
これではOSを守るはずの物が逆にOSやユーザを脅かすことになってしまいます。記事の最後はこのように締めくくられています。
>現在のところ,この種の攻撃をすぐに回避できる方法はない。BITSがダウンロードするファイルを確認することも難しい。恐らくBITSのイン タフェースは「高いレベルのアクセス権限を持つプロセスからのみアクセスされる」という設計思想であったか,「BITSを利用するダウンロード処理は信頼 できる URLに限られているはず」という前提があったのだろう。
仮にここで言われている中の「信頼できるURLに限る」ように設定をしたとしても、結局いたちごっこになると思う。なんせ世の中に出回っているソ フトの中には処理をだましたり、間違った(間違ってるけど正しい値を返す)処理をするようなことなんてよく行われていて、ユーザはそんなある種の不正に助 けられて快適なパソコンライフを過ごしていたりもする。2、3重の監視がなければまず安心は出来ない。
もちろん、その監視についたプログラムも「BITSを監視する」だけでプログラムを組むと必ずボロが出るわけで、当たり前だけど穴をふさいで穴を作り続ける、それがマイクロソフトのOSだと自分は考えています。
建築に例えれば、設計や現場の下地がおろそかになると、結果として建つ完成した建物が酷い有様になったり、最悪住める状況ではなくなってしまいます。コンクリを水で薄めすぎて柱にひびが・・・なんてのはよくある話かな?
自分はこれでもかってくらいプログラムは組めません。ただ、プログラムは臨機応変に対応できる範囲は限られている、というのが自分の認識です。
先ほどの建築の例で言えば、「あ、この建物5階建てに変更するから一段高くしてね。折角だから今の2、3階の間に新しく作って、その中に温水プー ルとか入浴施設を作っちゃおうよ。だからパイプとかぶっといのが通るけど適当に処理しておいてね、よろしく~」って感じの工程を、「え、プログラムなんだ からその辺はちゃちゃっと出来るんじゃないの?」とか言われて、出来るかと言えばそりゃ…。
実際の建築よりは可能性があるにしても、時間とかくれなきゃボロが出てシステムやらの根底そのものが動かなくなるんじゃないかと予想。大きなプログラムなら複数の人間がかむ事もあるだろうし、認識の誤差も問題の種になってしまうはず。
プログラム(Pro-gram)が
Pro = 前もって
Gram = 書く
Program = 前もって書かれているもの
であれば、多少の変更(数値の変換や処理方法の改善等)は範囲内であっても、一度組み立てた物を大きく変える事はプログラミングの本来やるべき事ではないのかも、とか考えてしまうわけです。
もちろん、世の中にはバージョンを重ねるごとに色んな機能が追加され、使いやすくなっているものが多々あるので、ハッキリと言える考え方でない事は事実です。
さて、プログラミングに限らず、様々な制作物はいかに前もって練れているか、が勝負であると思います。
コストや現場の考慮をする事で機能を選定し、その条件に合うものを作っていく…その過程が重要です。が、例えば作る側と使う側との間にギャップが生まれてしまうと、結局困るのは現場だけ…なんて状況になりかねません。
例を挙げるならば、昨日のバイトでやっていた事務処理のやり方です。
領収書の控えを、別の紙にそのまま書き写しておく作業があったのですが、これがものすごい面倒な事になっていました。
領収書の情報が「123456」と6項目並んでいたとすれば、移す作業もこの順番でやりたいもの。しかし、写すための紙に書かれていた表の順番は「126534」というように、領収書の情報の流れを捉えられていないものでした。
幸い、領収書の紙が切れて自分達で作ることになり、自分が担当した領収書だけは順番を写す用の紙にあわせる事で後半の作業は楽なものになりましたが…
やってみれば簡単な事なのに、実際やれていないことが多い世の中。それが不思議だと思うこともあり、反面仕方がないことだと思っています。
ようは立場が決まってしまうと見え方も制限されてしまう、という事です。簡単に言えば一途になり過ぎるんだと。
自分が家を建てるなら、その「建てる作業」にだけ目が行ってしまい、構造的欠陥や、はたまた周りの景観とのバランスといったものを見る目が失われてしまっても不思議ではありません。むしろ一途になるための役割分担ですから。
物を作る事は簡単に見える側面もありますが、その中でさらりと触れるだけの部分が重要だったりします。皆様も何か作ったり動いたり、はたまた出来合いのものに対しても、こうした目線を持ってみると新しい道が見えてくるかもしれません。
2007/06/01
最後に、この文章のプログラムの説明、そしてこの文章を書く気力を下さった「慶應義塾大学 佐藤雅彦研究室」の佐藤雅彦氏には感謝の念でいっぱいです。60分の番組でしたが、非常に考え方として面白いものであり、今後の参考にさせて頂きます。
Copyright 2006 | Blogger Templates by GeckoandFly modified and converted to Blogger Beta by Blogcrowds.
No part of the content or the blog may be reproduced without prior written permission.
No part of the content or the blog may be reproduced without prior written permission.
