アカウント名:
パスワード:
> 紛失したノートパソコンを起動するにはユーザー名とパスワードの入力が必要なため、社外の者が起動することは困難
これって、ログインパスワードじゃないの?それともOS起動前に認証がかかるような仕組みでも採用してるのかなぁ。
それにしても、起動させなくても HDD 外したりすればデータが読み取れたりしませんかね。# 発表資料で、暗号化の有無について触れられてないってことは、おそらくそういうことは何もされてない、と。## しかし規定では暗号化することになってるようだが…
--入手した者がそこまでするかは分からないが
まともな運用の場合、ISO云々の認証を通すために持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、PC起動時(OSではなくBIOS直後のレイヤー)でユーザ名、パスワードを数回間違えたらリカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。というかせざるを得ません。
※ USBセキュリティトークンは要求セキュリティレベルに応じて無しの運用もアリ
そのうえで、今回の正式報道PDFには
>紛失したノートPC の起動には、>当社の定めた規定に沿ったユーザー名及びパスワードの入力が
ユーザ名、パスワードがなければOSが起動できないという事は、逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので、紛失したノートPCの電源が切れていなかった場合、ユーザ名、パスワードを類推することが可能ですよ。http://news.mynavi.jp/news/2008/02/22/026/index.html [mynavi.jp]
>ユーザ名、パスワードがなければOSが起動できないという事は、>逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので
まず、今回の件で挙がっているセキュリティソリューションのほとんどはコールドブートのとき、スクリーンセーバーからの復帰時、スリープからの復帰時などについて(実際には、上記につながる状態遷移の際に認証済みであるという情報を強制破棄しているため)強制的な再認証を要求するものがほとんどです。ですので、OSにログインしたままでスクリーンセーバーもかからずスリープもしていない、本当にOS操作可能なまま放置されていたのでもなければ、ユーザー名とパスワードの入力が要求されることは間違いありません。
次に、上記のようなセキュリティソリューションではセキュリティソリューションでの認証後にOSが起動していても(OSではなく、セキュリティソリューション側の)ユーザ名、パスワードはDRAMの中には持たないのが一般的です。実際には、ユーザ名、パスワードで認証が通ると「認証が通った状態であることを証明する情報」がメモリ上に一時的に作成され、これがある間は暗号化されたディスクの復号ができ、また端末の操作が可能となります。この情報は、上記「それが破棄される契機」で強制破棄されます。
結果として、今回のノートPCを拾得したものがノートPCを開いてスリープから復帰した場合には、ユーザー名もパスワードも、また「認証が通った状態であることを証明する情報」も存在しない状態でユーザー名とパスワードの入力を要求されます。
マジレスするとはOSが起動し続けていたと仮定するのがそもそも無理筋なんだから難癖つけたいだけだろ
MicrosoftのBitLockerはスリーブ状態でもDRAM 内に暗号鍵が存在しますよ。http://blogs.technet.com/b/jpsecurity/archive/2012/06/26/3505962.aspx [technet.com]
今回件で言えば、使われていたのがBitLockerであるという情報は見当たりません。どこかに明記はありますか?データレベルだとBitLockerを単品で使っていることはなく、おそらくSafeBootなどになるはずだと思います。
そのうえで、セキュリティソリューション全般の話では #2286990 が一般的な見解となります。そこで「BitLockerという例外はある」という話は、今回の件がBitLockerを使用している話であるという限定条件が付かない限りは言っても意味ないでしょう。どんな物事にも例外はありますけど、言い出したらキリないですよね。
ですので、「今回の件で使用されているのはBitLockerかつ単品利用だ」を示してください。
>データレベルだとBitLockerを単品で使っていることはなく、>おそらくSafeBootなどになるはずだと思います。であることを明示してください
はあバカらしい
>>データレベルだとBitLockerを単品で使っていることはなく、>>おそらくSafeBootなどになるはずだと思います。>であることを明示してください>>はあバカらしい
「バカらしい」で表現されるのはのはあなただけですね。
幼稚園児などが現実を無視した一方的な決めつけ(内容は誤っている)に走った際、周囲がそれをさとすためにより現実的な例を「あえて同じレベルで」挙げたり、その決めつけが正しいとするとこのような矛盾があると「あえて同じレベルで」挙げたりします。これはしつけの基本の一つです
自分がそのように扱われていると気付”け”ないのであれば、あなたはかなり厳しい幼少期を過ごした方なのでしょう。悪いことは言いませんから保護監督者のもとで、スラドのようなごみ溜めを見ることもない生活を送るように周囲に助けを求めるべきです。
私もDRAMからデータを入手する為に必要な情報を得る方法があったのを思い出していたのですが、実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?
> 実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?
物理的には楽勝でできますね。ダンプからパスワード等を特定できるかは別として。
>物理的には楽勝でできますね。
そんな簡単じゃないですよ。
ICチップの表面はがして直にスキミングするとかもそうですが、この手のものは「理論上できるけど、実際やるにはとてつもなく大変で慣れた人間でも失敗がほとんど」です。一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして適切なタイミングでデータを抜くことを試行する必要があります。そこまでやって「抜けることもある」です。
本当の意味で一発勝負であれば専門の人間がやっても成功する確率はデータが抜ける時点でほぼ低く、抜いたデータにパスワードなどが含まれており破損していない確率はもっと低いものです。
この辺は、「何度も何度も失敗を繰り返し、偶然超うまくいったときの動画だけ見ろと言っている」の典型例ですね。
> 一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、> しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして> 適切なタイミングでデータを抜くことを試行する必要があります。> そこまでやって「抜けることもある」です。
その方法だとサルベージ側PCが結露して壊れるよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
「社外の者が起動することは困難」? (スコア:5, すばらしい洞察)
> 紛失したノートパソコンを起動するにはユーザー名とパスワードの入力が必要なため、社外の者が起動することは困難
これって、ログインパスワードじゃないの?それともOS起動前に認証がかかるような仕組みでも採用してるのかなぁ。
それにしても、起動させなくても HDD 外したりすればデータが読み取れたりしませんかね。
# 発表資料で、暗号化の有無について触れられてないってことは、おそらくそういうことは何もされてない、と。
## しかし規定では暗号化することになってるようだが…
--
入手した者がそこまでするかは分からないが
Re: (スコア:0)
まともな運用の場合、ISO云々の認証を通すために
持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、
PC起動時(OSではなくBIOS直後のレイヤー)で
ユーザ名、パスワードを数回間違えたら
リカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。
というかせざるを得ません。
※ USBセキュリティトークンは要求セキュリティレベルに応じて無しの運用もアリ
そのうえで、今回の正式報道PDFには
>紛失したノートPC の起動には、
>当社の定めた規定に沿ったユーザー名及びパスワードの入力が
Re:「社外の者が起動することは困難」? (スコア:3, 興味深い)
ユーザ名、パスワードがなければOSが起動できないという事は、
逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので、
紛失したノートPCの電源が切れていなかった場合、ユーザ名、パスワードを類推することが可能ですよ。
http://news.mynavi.jp/news/2008/02/22/026/index.html [mynavi.jp]
Re:「社外の者が起動することは困難」? (スコア:5, 参考になる)
>ユーザ名、パスワードがなければOSが起動できないという事は、
>逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので
まず、今回の件で挙がっているセキュリティソリューションのほとんどは
コールドブートのとき、スクリーンセーバーからの復帰時、スリープからの復帰時などについて
(実際には、上記につながる状態遷移の際に認証済みであるという情報を強制破棄しているため)
強制的な再認証を要求するものがほとんどです。
ですので、OSにログインしたままでスクリーンセーバーもかからずスリープもしていない、
本当にOS操作可能なまま放置されていたのでもなければ、
ユーザー名とパスワードの入力が要求されることは間違いありません。
次に、上記のようなセキュリティソリューションでは
セキュリティソリューションでの認証後にOSが起動していても
(OSではなく、セキュリティソリューション側の)
ユーザ名、パスワードはDRAMの中には持たないのが一般的です。
実際には、ユーザ名、パスワードで認証が通ると
「認証が通った状態であることを証明する情報」がメモリ上に一時的に作成され、
これがある間は暗号化されたディスクの復号ができ、また端末の操作が可能となります。
この情報は、上記「それが破棄される契機」で強制破棄されます。
結果として、今回のノートPCを拾得したものが
ノートPCを開いてスリープから復帰した場合には、
ユーザー名もパスワードも、また「認証が通った状態であることを証明する情報」も存在しない状態で
ユーザー名とパスワードの入力を要求されます。
Re: (スコア:0)
マジレスするとは
OSが起動し続けていたと仮定するのがそもそも無理筋なんだから
難癖つけたいだけだろ
Re: (スコア:0)
MicrosoftのBitLockerはスリーブ状態でもDRAM 内に暗号鍵が存在しますよ。
http://blogs.technet.com/b/jpsecurity/archive/2012/06/26/3505962.aspx [technet.com]
Re: (スコア:0)
今回件で言えば、使われていたのがBitLockerであるという情報は見当たりません。
どこかに明記はありますか?
データレベルだとBitLockerを単品で使っていることはなく、
おそらくSafeBootなどになるはずだと思います。
そのうえで、セキュリティソリューション全般の話では
#2286990 が一般的な見解となります。
そこで「BitLockerという例外はある」という話は、
今回の件がBitLockerを使用している話であるという限定条件が付かない限りは
言っても意味ないでしょう。
どんな物事にも例外はありますけど、言い出したらキリないですよね。
ですので、「今回の件で使用されているのはBitLockerかつ単品利用だ」を示してください。
Re: (スコア:0)
>データレベルだとBitLockerを単品で使っていることはなく、
>おそらくSafeBootなどになるはずだと思います。
であることを明示してください
はあバカらしい
Re: (スコア:0)
>>データレベルだとBitLockerを単品で使っていることはなく、
>>おそらくSafeBootなどになるはずだと思います。
>であることを明示してください
>
>はあバカらしい
「バカらしい」で表現されるのはのはあなただけですね。
幼稚園児などが現実を無視した一方的な決めつけ(内容は誤っている)に走った際、
周囲がそれをさとすために
より現実的な例を「あえて同じレベルで」挙げたり、
その決めつけが正しいとするとこのような矛盾があると「あえて同じレベルで」挙げたりします。
これはしつけの基本の一つです
自分がそのように扱われていると気付”け”ないのであれば、
あなたはかなり厳しい幼少期を過ごした方なのでしょう。
悪いことは言いませんから保護監督者のもとで、
スラドのようなごみ溜めを見ることもない生活を送るように周囲に助けを求めるべきです。
Re: (スコア:0)
私もDRAMからデータを入手する為に必要な情報を得る方法があったのを思い出していたのですが、実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?
Re:「社外の者が起動することは困難」? (スコア:1)
> 実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?
物理的には楽勝でできますね。
ダンプからパスワード等を特定できるかは別として。
Re:「社外の者が起動することは困難」? (スコア:2, 興味深い)
>物理的には楽勝でできますね。
そんな簡単じゃないですよ。
ICチップの表面はがして直にスキミングするとかもそうですが、
この手のものは
「理論上できるけど、実際やるにはとてつもなく大変で慣れた人間でも失敗がほとんど」です。
一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
適切なタイミングでデータを抜くことを試行する必要があります。
そこまでやって「抜けることもある」です。
本当の意味で一発勝負であれば専門の人間がやっても成功する確率は
データが抜ける時点でほぼ低く、抜いたデータにパスワードなどが含まれており破損していない確率はもっと低いものです。
この辺は、
「何度も何度も失敗を繰り返し、偶然超うまくいったときの動画だけ見ろと言っている」の典型例ですね。
Re:「社外の者が起動することは困難」? (スコア:1)
> 一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
> しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
> 適切なタイミングでデータを抜くことを試行する必要があります。
> そこまでやって「抜けることもある」です。
その方法だとサルベージ側PCが結露して壊れるよ。