JP5959749B2 - 悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法 - Google Patents

悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法 Download PDF

Info

Publication number
JP5959749B2
JP5959749B2 JP2015529802A JP2015529802A JP5959749B2 JP 5959749 B2 JP5959749 B2 JP 5959749B2 JP 2015529802 A JP2015529802 A JP 2015529802A JP 2015529802 A JP2015529802 A JP 2015529802A JP 5959749 B2 JP5959749 B2 JP 5959749B2
Authority
JP
Japan
Prior art keywords
cloud server
administrator
computer network
secure cloud
connectable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015529802A
Other languages
English (en)
Other versions
JP2015532756A (ja
Inventor
コナー、マイケル、ジェイムズ
Original Assignee
クラウド カバー セーフティー、インク.(エー ネバダ コーポレーション)
クラウド カバー セーフティー、インク.(エー ネバダ コーポレーション)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クラウド カバー セーフティー、インク.(エー ネバダ コーポレーション), クラウド カバー セーフティー、インク.(エー ネバダ コーポレーション) filed Critical クラウド カバー セーフティー、インク.(エー ネバダ コーポレーション)
Publication of JP2015532756A publication Critical patent/JP2015532756A/ja
Application granted granted Critical
Publication of JP5959749B2 publication Critical patent/JP5959749B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Description

本発明は一般に、オペレーティングシステムを利用し、頻繁にもしくはまれにネットワークに接続され、ソフトウェアアップデートおよびアップグレードがなされる、コンピュータ(サーバ、デスクトップ、ラップトップ、タブレットコンピュータ、電子リーダ、あるいは他のコンピュータ実施例)、メインフレームコンピュータ、ネットワークストレージデバイス、ルータ、スマートフォン、セルラーフォン、IPアドレスをもつ電話システム、ゲームデバイス、サーバ、通信ハブ/デバイス、ブルートゥース(登録商標)デバイスおよび他の電子デバイスを含むネットワーク接続された電子システムに関する。
保護されるべきシステムは、そのオペレーションの間、ネットワークに頻繁にあるいはまれに接続されるものである。イントラネット、インターネット、ブロードバンドワイヤレスネットワーク、安全なネットワーク、VOIPネットワーク、ローカルネットワーク、ブルートゥース(登録商標)または他のネットワークコネクションを含む1以上のクラウドネットワークに当該システムが接続されている間、当該システム上に悪意のあるソフトウェア(たとえば、ウイルス、ワーム、トロイの木馬)がインストールされるのを防ぐように当該保護は設計される。この開示において使われる「システム」という用語は、オペレーティングシステムを利用し、イントラネット、インターネット、ブロードバンドワイヤレスネットワーク、安全なネットワーク、VOIPネットワーク、ローカルネットワーク、ブルートゥース(登録商標)または他の任意のネットワーク実施例を含むネットワークに接続する、コンピュータ(サーバ、デスクトップ、ラップトップ、タブレットコンピュータ、電子リーダ、あるいは他のコンピュータ実施例)、メインフレームコンピュータ、ルータ、通信ハブ/デバイス、サーバ、ネットワークストレージデバイス、スマートフォン、セルラーフォン、ゲームデバイス、ブルートゥース(登録商標)デバイスおよび他の任意の電子デバイスのいずれかを指す。
ハッカーは、ウイルス、トロイの木馬、ワーム、あるいは他の悪意のあるソフトウェアをインストールするために、コンピュータ化されたデバイスの管理者パーミッション(権限)ファイルへのアクセスを取得しなければならない。彼らはアクセスを取得するための膨大な数の手段を用いてこれを行う。システムに対する多数のアクセス脆弱性を遠隔ハッカーから封鎖することは、システム上にアンチウイルスソフトウェアをインストールして頻繁にアップデートする数多くのインターネットセキュリティの基本である。残念ながら、今までのどんなアンチウイルスソフトウェアもシステムをハッキングから守ることに100%成功していない。ハッカーは絶えずシステムをハッキングする新しい方法を発見している。各事例において、彼らはシステムの管理者パーミッションファイルの制御を最終的に取得し、彼らの不正ソフトウェアを成功裏にインストールする。
本発明は、システムのオペレーティングシステム(OS)の読み書きおよび実行の管理者パーミッションをもつファイルを削除し、管理者パーミッションファイルをクラウド(イントラネット、インターネットまたは安全なプライベートネットワーク)上の分離された安全なサーバに置くことにより強化されたセキュリティを提供する。これがなされると、安全なクラウドサーバは、システムの一意的なIDを記録しなければならない。これらのIDは、システムのIPアドレス、MAC番号、あるいは任意の一意的なハードウェアID、およびシステムのオペレーティングシステム(OS)の一意的なライセンスのような1以上のソフトウェアIDの組合せであってもよい。それは、以前にインストールされたソフトウェアの1以上のアプリケーションライセンスを含んでもよい。システムIDの一つが一意的なハードウェアIDであること、および付加的に用いてもよい他の任意のIDが合法にライセンスされたソフトウェア(すなわち保護されるべきシステムに対して具体的にライセンスされたソフトウェア)であることが重要である。オプションとして、これらのファイルは暗号化され、安全なクラウドサーバに当該ファイルを格納する責任がある組織にだけ暗号鍵が知られているサーバ上に格納されてもよい。権限のある管理者のパーミッションファイルの再配置が完了した後、強いパスワードが権限のある管理者から要求される。失ったか忘れたパスワードを回復するために設計された情報を含む付加的情報が、保護されているシステムのタイプに応じて収集されてもよい。この情報はクラウドサーバに保持されるが、災害回復要求を満たすために、1以上のオフサイトの安全なサーバ上にバックアップされるべきである。いったんこの削除プロセスが完了すると、保護されたシステムのデータを格納する安全なクラウドサーバへのネットワークパスが暗号化され、保護されたシステム上に記録される。このパスは、これらの管理者パーミッションファイルに対する個々のコンピュータまたはシステムにおける以前のローカルパスを置き換えるものである。保護されたシステム上のOSへのこれらの変更の結果、ネットワークから当該システムをハッキングすることは事実上不可能になる。これは、ウイルス、トロイの木馬、ワーム、または他の悪意のあるソフトウェアを保護されたシステム上にインストールすることが今や不可能であることを意味する。これはまた、アンチウイルスソフトウェアがもはや必要ではないことも意味する。
コンピュータ、サーバ、タブレットコンピュータ、電子リーダ、セルラーフォン、スマートフォン、IPアドレスをもつ電話システム、通信ハブ/デバイス、ネットワークストレージデバイス、メインフレームコンピュータ、ネットワーク接続されたゲームデバイスおよびネットワーク接続された他の電子デバイスは、短時間の期間でさえ、クラウドネットワーク環境に接続されている間(たとえばソフトウェアアップデータやアップグレード)、今やハッキングにさらされている。ハッカーは読み書きおよび実行の管理者パーミッションをもつファイルへのアクセスを獲得することができ、多様な方法を利用することによってハッキングされたシステムの新しい管理者になる。いったんシステムのOSの制御を達成すると、ウイルス、トロイの木馬(ハッカーにコンピュータへの権限なきアクセスを与える目的で合法的なファイルまたは役立つプログラムとして他人になりすますマルウェア(悪意のあるソフトウェア))、ワーム(他のコンピュータに広がるように自分自身を複製するスタンドアロンマルウェアコンピュータプログラム)、あるいは、データファイルの複製、変更および/または送信、キーロギング/モニタリングソフトウェアのインストール、ファイルの削除および他のシステム上のサービス妨害(DOS)攻撃の開始を含む権限のないアクティビティを実行することのできる他の悪意のあるソフトウェアをハッカーはインストールすることができる。
新しいソフトウェア、ソフトウェアアップデート、または重要な保護ファイルへの変更が要求されるとき、権限のある管理者はアップデートされるべきシステムへのアクセスをまず取得する。アップデートされるべきシステムから当該システムの重要な管理者パーミッションファイルとシステムIDを含むクラウド内の安全なサーバへのネットワーク接続を構築するために、権限のある管理者は正しいパスワードを入力する。正しいパスワードが入力され、システムIDがサーバに接続されたシステムから決定された後、クラウドサーバはアップデートされるべきシステムを検査し、システムIDおよび/または他の一意性のあるシステム識別子をサーバに以前に格納されたデータと比較する。正しく一致しない場合、どんなソフトウェアインストールまたはアップデートも起きない。パスワードおよびシステムIDが一致する場合、ソフトウェアの通常のインストールが進められる。インストールされるべき新しいソフトウェアは今や既知の信頼できる認証されたソースからダウンロードすることができるか、USBのようなローカルソースまたは他のデータストレージメディアからインストールすることができる。さらにセキュリティを強化するために、管理者パーミッションファイルを格納するために使われるリモートサーバと保護されるべきシステムの間のすべてのネットワークトラフィックを暗号化することが勧められる。重要なシステムおよび安全なクラウドサーバ上に格納された管理データを暗号化、復号、および送信するための鍵は、さらなる保護を提供するために安全なクラウドサーバの管理者によって頻繁に変更されるべきである。
(関連技術の説明)
以下の技術はこの分野の現在の状況を規定するものであり、この特許出願およびそこから発行される特許に不可欠な重要情報を提供するのに必要であるかもしれないから、各開示を参照によりここに組み入れる。
Dellaconaらの米国特許出願公開第2006/0080518号。これは「取り外し可能なオペレーティングシステム」と題される、2004年10月8日出願の先願の米国特許出願10/962,026号公報の一部継続出願である。外部ドライブは、たとえばUSBポート、SDカードスロット、またはコンピュータから取り外すことができるか、物理的なオン/オフスイッチを介してコンピュータアクセスから分離することができる他の分離されたストレージデバイスを通して、選択されたコンピュータと連動する。外部ドライブはメモリ空間と自動起動プログラムを提供し、その結果、外部ドライブがつながると実行可能なプログラムが起動する。プログラムは実行可能プログラムにおけるテストファイルに対する「読み出し」、「書き込み」または「実行」機能を要求し、選択されたコンピュータのオペレーティングシステムにおいてこれらの機能を実行するDLLプログラムセグメントまたは他のファイルにフラグを立てる。その後、フラグを立てたDLL制御セグメントまたは他のファイルを外部ドライブメモリ空間にコピーし、これらの機能に対する動作パスを外部ドライブへ変更する。第2の実施の形態において、選択されたコンピュータのユーザまたは所有者がコンピュータを利用していないときは、外部ドライブを取り外し、外部ドライブがつながっておらず新しいパスが今や無効であるため、選択されたコンピュータが「読み出し」、「書き込み」または「実行」コマンドを実行する能力をもたない状態にしてもよい。
Thomasらの米国特許第6,016,402号はフロッピー(登録商標)ディスクとしてコンピュータに統合された大容量リムーバブルメディアドライブについて記載する。その方法および装置は、リムーバブルメディアディスクドライブがコンピュータにおける最初の固定ディスクドライブとして構成される環境に適している。したがって、リムーバブルメディアドライブは、固定ディスクドライブとしてBIOSによって認識される。メディアのマスターブートレコードに対する要求に応答して、代替的なマスターブートレコードがリムーバブルメディアドライブからコンピュータに提供される。ブートシーケンスの制御がそれによって得られる。代替的なマスターブートレコードは、オペレーティングシステムを変更してリムーバブルメディアドライブをフロッピーディスクとして認識するブートプログラムをロードする。
Hensleyの米国特許第7,017,039号は、CD−ROMのような保護された媒体から起動して実行されるように変更された現代的なコンピュータオペレーティングシステムについて記載する。ファイルおよび設定情報は完全に構成され操作可能なOSからハードドライブイメージファイルにコピーされる。イメージファイルからの最初の読み出し要求、書き込まれたディスクセクタデータベースから、以前に書き込まれたデータに対する書き込み要求および読み出し要求を実行することにより、ハードディスクのエミュレートされた読み書きを実装するファイルシステムフィルタおよびデバイスドライバが追加される。
ハッカーは新しいシステム管理者としてOSを制御することによりシステムへのアクセスを獲得する。ハッカーは管理者としてファイルを読み書きおよび実行するパーミッション(権限)を制御する重大な管理者ファイルへのアクセスを取得する。これらのパーミッションには、システム上にソフトウェアをインストールしたり、アップデートする権限が含まれる。ターゲットシステムへのアクセスは、イントラネット、インターネット、ワイヤレスブロードバンドネットワーク、安全なネットワーク、VOIPネットワーク、ローカルネットワーク、ブルートゥース(登録商標)またはターゲットとされるシステムへの他のネットワーク接続を用いて、通常、リモートまたはローカル(たとえば空港の待合場所)になされる。
いったんハッカーがシステムをだまして管理者になると、彼/彼女はトロイの木馬、ワーム、ウイルス、あるいは他の悪意のあるソフトウェアコードをインストールしてデータファイルを盗み、ユーザのキー入力を記録し、ユーザをトラッキングし、他のシステムにアタックするために使われるシステムをハイジャックし、あるいは他の不正な行為を行うことができる。図1はハッキングプロセスの描写である。
本発明はハッカーが管理者パーミッションファイルへのアクセスを獲得するのを防ぐ。システムがいったん保護されると、これらのファイルは保護されたシステム上にはもはや物理的に存在しない。これらのファイルは、一意的なシステムIDと保護されたシステムの権限のある管理者の正しいパスワードのレコードとともにクラウドサーバ上に安全に格納される。管理者パーミッションファイル、一意性のあるシステムID、および保護されたシステムから管理者パーミッションファイルを含む安全なクラウドサーバへの現実のネットワークアクセスがなければ、どんなハッカーもリモートにアクセスを獲得してシステム上に悪意のあるソフトウェアをインストールすることができない。これは、本発明で保護されたシステムを任意のネットワークハッカーアタックに対して脆弱でないものにする。
このタイプのアタックを阻止してシステムを保護するためには、本発明は、クラウド(インターネットまたはイントラネット)における安全なサーバにおいて読み書きおよび実行の管理者権限のあるファイルを保護する。これにより、保護されたシステムには管理者ファイルがもはや存在せず、代わりにクラウドにおける保護されたサーバに存在するようになる。権限のある管理者(ハッカーではない)が要求されたパスワードを入力した後でのみ、保護されたサーバへのアクセスが可能である。パスワードおよび保護されたシステムの一意性のあるシステムIDが正しい場合、ソフトウェアに変更を加えることが可能である。この特徴は、間違ったシステムから送られた盗まれたパスワードが働かないことを保証する。アップデートされるべき現実のシステムは、アップデート要求をなすシステムでなければならない。このようにして、本発明は、ハッカーがネットワークを介してシステムを攻撃することによりOS管理者になることを不可能にする。
保護されるべきシステムは、ウィンドウズ(登録商標)、Mac、Unix(登録商標)、Linux(登録商標)、IOS、アンドロイド、他の携帯電話のオペレーティングシステム、DOS、あるいはネットワーク接続を要求する電子デバイスをサポートする様々なOSを含むがこれらに限定されない任意の現代的なOSを用いて動作する。
本発明の新規の特徴は、異なるオペレーティングシステムと、システムのOSおよびそのバージョンを認識するインストールスクリプトとを実行する多様なシステムをサポートするクロスプラットフォームコード(たとえば、XML、HTML、Webkit2のような他のクロスプラットフォーム開発ツールなど)を採用する。そのようなやり方で、正しいインストールスクリプトが実行され、要求されたソフトウェア変更がOSに実行されるため、多数のプラットフォームインフラストラクチャの必要性がなくなる。
管理者ファイルが特定されコピーされた後、これらのファイルは暗号化され、インターネットを介してネットワーク接続された安全なクラウドサーバに転送され、そこで暗号化されて格納され、パスワードで保護される。さらに、システムの一意的なシステムIDが決定され、コピーされ、暗号化され、転送され、安全なクラウドサーバ上に管理者パーミッションファイルとともに格納される。読み書きおよび実行パーミッションのファイルへのネットワークパスは保護されるべきシステムから安全なリモートクラウドサーバへ変更され、暗号化され、保護されたシステム上に記録される。
先行技術は、その発明を実施するためにシステムに直接接続された付加的なハードウェアを利用する。本発明によれば、分離したストレージデバイス(たとえば、機械的なオン・オフスイッチをもつUSBドライブ、分離した起動可能なハードドライブまたはCD−ROM)を保護されるべきシステムに接続する必要がない。たとえば、先行技術では、管理者パーミッションファイルが変更されるとき、またはシステムが利用されるときでさえ、システムに接続される特別なハードウェアの利用が要求される。クラウドコンピューティングの登場を受けて、本発明は、保護されたシステムを生成するために、オペレーティングシステム(OS)をもつネットワーク接続されたシステムに接続された既存クラウドインフラストラクチャを用いて実装される。
さらに、本発明の重要な差別化される特徴は、保護されるべきシステムの一意的なシステムIDを利用することである。権限のある管理者が管理者パーミッションファイルに引き続き何らかの変更を加えるべく、そのIDは、保護されるべき特定のシステムを特定し、その次に安全なクラウドサーバに接続するために使われる。
本発明のある目的は、システムの正しいOSとバージョン番号を特定し、システムから管理者パーミッションファイルを切り離し、それらのファイルを安全なクラウドサーバに再配置する方法を提供することであり、これによりハッカーがシステムの制御を獲得して悪意のあるソフトウェアをインストールすることが事実上できなくなるようにする。
本発明の別の目的は、システムの一意のシステムIDを決定し、そのIDを安全なリモートクラウドサーバ上に格納し、権限のある管理者による変更、ソフトウェアインストール、アップデート、重要な保護ファイルの変更、および権限のあるシステム管理者に限定された他の機能に対して正しいシステムを認証することである。
本発明のさらに別の目的は、システムの管理者パーミッションファイルを格納する安全なクラウドサービスにまずログインし、その後、既知の信頼され認証されたソースからのみソフトウェアをダウンロードまたはアップロードすることを要求することにより、ソフトウェアインストールの信憑性を証明する手段を提供することである。
本発明のさらなる目的は、イントラネット、インターネット、ブロードバンドネットワーク、安全なネットワーク、ワイヤレスネットワーク、VOIPネットワーク、ブルートゥース(登録商標)または他のネットワークコネクションからオペレーティングシステムの管理者ファイルへの権限のないアクセスを防ぐことである。
本発明のさらなる目的は、管理者パーミッションファイルに対するパスを、保護されるべきシステムからネットワーク接続された安全なクラウドサーバへ変更することであり、その結果、システムは、正しい安全なクラウドサーバに接続することなしにはソフトウェアインストールを含め、システムへの権限のない変更を行うことができなくなる。
本発明のさらなる目的は、権限のある管理者がそのように選択するなら、万一、元のファイルが破損されるか失われる場合に備えて、安全なクラウドサーバ上に元のOS、アプリケーション、および他の重要なデータファイルの信頼できるバックアップコピーを提供することである。
本発明のさらなる目的は、権限のある管理者についての信頼される情報、たとえば、彼/彼女の指紋、手形、目/顔認識または他の生体測定データ、および/またはハッカーには一般には知られていない権限のある管理者に関する個人情報を保護する方法を提供することである。
本発明のさらなる目的は、インターネット上または認可された小売店のような権限のある販売/承認の場所において本発明を含むセキュリティサービスを売る方法を提供することである。このプロセスは、権限のあるシステム管理者がシステムを保護するために後で使用するために、初期の仮パスワードとシステムの一意的なシステムIDによる識別を用いる。このプロセスは、買い手/ユーザが信頼される既知のサイトにアクセスし、購入し、許可を受け、仮パスワードを受け取り、システムを再起動することを要求する。その後、権限のあるシステム管理者はそのシステムにログオンし、クラウドにおける安全サーバに接続して本特許においてこれまで説明したシステムセキュリティプロセスを完了するであろう。店/組織の従業員がサービスを販売/許可し、一意のシステムIDを記録し、その情報を安全なクラウドサーバに送信し、買い手/ユーザに仮パスワードを供給することができる小売店または組織IT組織のような権限のある場所に買い手/ユーザは行くこともできる。いったんこれがなされると、買い手/ユーザは、権限のあるシステム管理者に仮パスワードを供給する。権限のある管理者だけが次のステップに進むことができる。権限のある管理者は管理者としてログオンし、システムにダウンロードされるか販売または組織支援の場所で提供された第2サイトに進む。いったんそのサイトに接続されると、彼/彼女は仮パスワードの入力を促される。安全なクラウドサーバは、購入/許可の時点で記録され当初のインターネットサイトまたは店/組織からクラウドサーバに切り離して送信された一意性のあるシステムIDを比較し、合致するかどうかを決定する。合致する場合、この特許で記載された処理の残りが開始される。合致しない場合、安全なクラウドサーバによって保護されているシステムにさらなる変更を加えることはできない。このプロセスはハッカーによる安全なクラウドサーバのなりすましを防ぐ。
本発明の実施の形態の他の特徴および効果は、本発明の可能な実施の形態の少なくとも一つの原則が例示として説明された添付の図面を参酌して、以下のより詳細な説明から明らかになるであろう。
ハッカーがいかにしてシステムの制御を獲得し、ウイルス、トロイの木馬、ワーム、および他の悪意のあるソフトウェアをインストールするかを示すダイアグラムである。
製造者によって保護されたシステムがいかにしてそのシステムのハッキングを防止するかを示すダイアグラムである。
インターネット上の信頼されるサイトから保護サービスを購入することによってシステムがハッキングからいかにして保護されるかを示すダイアグラムである。
インターネット上の信頼されたサイトから保護サービスを購入することによってシステムがいかにして保護されるかを示す別のより詳細なダイアグラムである。 図4の続きのダイアグラムである。
小売店から保護サービスを購入する、または組織から承認を受け取ることによってシステムがいかにしてハッキングから保護されるかを示すダイアグラムである。
図1〜図5は、本開示を少なくとも一つの好ましい実施の形態において例示するものであり、以下の説明においてさらに詳細に定義される。当業者であれば、本発明の趣旨と範囲から逸脱することなく、本発明に変更および改良を加えることができるであろう。したがって、例示する実施の形態は例示の目的のために説明されたものであり、以下に定義されるような発明を限定するものとしてとられるべきではないことが理解されなければならない。繰り返すが、ここで使用される「システム」および時には「コンピュータネットワーク接続可能なデバイス/システム」という用語は、オペレーティングシステムを利用し、イントラネット、インターネット、ブロードバンドワイヤレスネットワーク、安全なネットワーク、VOIPネットワーク、ローカルネットワーク、ブルートゥース(登録商標)または他の任意のネットワーク実施例を含むネットワークに接続する、コンピュータ(サーバ、デスクトップ、ラップトップ、タブレットコンピュータ、電子リーダ、あるいは他のコンピュータ実施例)、メインフレームコンピュータ、ルータ、通信ハブ/デバイス、サーバ、ネットワークストレージデバイス、スマートフォン、セルラーフォン、ゲームデバイス、ブルートゥース(登録商標)デバイス、あるいは他の任意の電子デバイスのいずれかを指す。「システム」、「コンピュータネットワーク接続可能なデバイス/システム」という用語は、ハッキングされうる任意のデバイスまたはデバイス、ハードウェア、ファームウェア、および/またはソフトウェアの集合体を包含することを意図する。
クラウドにおけるネットワーク接続され保護されたサーバを用いてシステムのOSの読み書きおよび実行の管理者パーミッションをもつファイルを格納することにより、悪意のあるハッカーアタックから保護されたシステムを生成する好ましい方法をこれから説明する。
まず図1を参照する。このダイアグラムは、ハッカー10がいかにしてシステムの制御を獲得し、ウイルス、トロイの木馬、ワーム、他の悪意のあるソフトウェアをインストールするかを示す。最初にハッカーは、インターネット、イントラネット、ワイヤレスまたはプライベートネットワーク接続12を介してターゲットシステム(たとえば、コンピュータ、コンピュータネットワーク、または他の電子デバイス)への接続を試みる(符号14)。次にハッカーはシステムの脆弱性を利用するように設計された1以上のテクニックを用いてシステムのオペレーティングシステム(OS)へのアクセスを取得する(符号16)。これらのテクニックは、幅広く、様々であり、一般によく知られており、したがってここではさらに説明することをせず、トロイの木馬、ウイルス、ワーム、キー・ロガー、および/または他の悪意のあるソフトウェアをインストールするためにはハッカーが管理者と同様のシステムの制御を獲得しなければならないことを繰り返すにとどめる。その後、ハッカーはアクセスを利用して管理者パーミッションファイルの制御を獲得し、システムによって管理者18であると認識されるようになる。最後に、ハッカーはトロイの木馬、ウイルス、ワーム、キー・ロガー、および/または他の悪意のあるソフトウェア20をインストールする。多くの場合、コンピュータシステムのユーザはこのようなことが起きていることに気づかない。
図2を参照する。これは製造者によって保護された新しいシステム30がいかにしてそのシステムへのハッキングを防止するように設定されるかを示すダイアグラムである。すなわち、これは、OSを備えネットワーク接続を実行する電子システムの製造者32(または他のベンダー)による本発明の保護の事前インストールが新しいシステム30に装備されるという、本発明の例示的な実施の形態である。
第1ステップ(符号34)において、製造者またはサードパーティ32が、システム30上にシステムのOSとともに他のすべての要求されるソフトウェアとデータファイルをインストールする。正常なインストールの例外は、このインストールは管理者パーミッションファイルをインストールすることなくなされることである。その代わり、これらの管理者パーミッションファイル、システムの一意的なハードウェアID、および仮パスワードが他のアプリケーションプログラム、データファイル、必要とされるソフトウェアとともに「クラウド」38における安全なサーバ36に格納される。第2ステップ2(符号40)において、製造者32またはサードパーティはこれらの管理者ファイルへの暗号化されたネットワークパスおよびシステムIDをクラウド38における安全なサーバにインストールする。第3ステップ3(符号42)において、買い手/管理者はシステム30を受け取り、安全なクラウドサーバ上に格納された同じ仮パスワードとURLウェブアドレスが提供される。次のステップ4(符号44)において、最初の起動時、適切なネットワークコネクションが安全なサーバ36になされ、権限のある管理者(たとえば、買い手、または組織/家庭によって正当な管理者に指名された他の誰か)は当該仮パスワードを入力するように促される。次のステップ5(符号46)において、安全なクラウドサーバ36は、仮パスワードおよび一意的なハードウェアIDを安全なサーバに格納されたものと比較する。もし二つが安全なクラウドサーバ36に以前に格納されたデータと合致すれば、管理者は、仮パスワードを新しい強いパスワードで置き換え、(おそらくは当該システム上ではない)どこかにその新しいパスワードを記録して覚えるように促される。次のステップでは、他の登録情報およびパーミッション情報が取得され(たとえば、選択されたユーザのための「リードオンリー」データ)、入力され、安全なクラウドサーバ36および保護されるべきシステム30上に格納される(たとえば、システムがネットワークに接続されていないときに利用するために、非管理者として読み書きおよび実行するためのパーミッションデータがローカルに格納される)。
保護されていない既存システムを保護するために、以下の二つの方法および手順のどちらかを用いてもよい。最初に図3を参照する。インターネット上の信頼できるサイトからサービスを購入することによってシステム50を保護する方法が示されており、そこでは安全なリモートインストールプロセスを用いて権限のある管理者により既存のシステム上に本発明のサービスのインストールがなされる。図2の本発明の例示的な実施の形態を記述するのに使われたのと同じ符号を図3〜5においても適用できる場合には用いる。
本発明の例示的な実施の形態において、最初のステップ1(符号52)において、管理者(買い手またはユーザであれ)は、信頼され認証された指定の既知ウェブサイト54に行く。次のステップ2(符号56)において、購入トランザクションがなされるか、または、本発明の保護サービスを購入するために他の任意の要求された登録情報とともに承認されたコードが入力される。第3ステップ3(符号58)において、購入/承認プロセスが完了されると、販売ウェブサイトは一意的なハードウェアIDを記録し、その情報と仮パスワードを、認証された異なるアドレスをもつ分離した保護されたクラウドサーバ36に送信する。正当な証明書が発行され、保護されるべきシステムに送信され、安全なクラウドサーバへの自動的なリダイレクトが開始されたため、これが起こりうる。買い手/ユーザは、仮パスワードおよび安全なサーバアドレスを受け取る。初期登録/販売の場所または保護されるべきシステムからの分離した接続を用いて、一意的なシステムIDが安全なクラウドサーバに送信される。第4ステップ4(符号60)において、買い手/ユーザは、提供されたURLウェブアドレス用いて安全なクラウドサーバ36に接続し、仮パスワードの入力を促される。これに続いて、第5ステップ5(符号62)において、権限のあるシステム管理者が初めて安全なクラウドサーバに接続するとき、クラウドサーバ36は、登録されたシステム50のIDを、購入/初期登録の場所から送信された一意的なハードウェアIDと比較する。格納されたハードウェアIDとパスワードが合致した場合、安全なクラウドサーバ36は、システムのOSおよびバージョンを決定し、適当なインストールスクリプトを選択し、管理者パーミッションファイルを特定し、これらのファイルを暗号化し、削除し、転送し、これらのファイルを安全なクラウドサーバ36に移動することによってインストールを開始し、保護されるべきシステム50上のこれらのファイルへのネットワークパスを入力する。権限のある管理者は、強いパスワードと、権限のあるユーザのパーミッションに関する情報を含む他の要求された登録情報とを入力するように促される。その情報は符号化され、安全なサーバ36に転送され、格納される。管理者パーミッションファイルへのパスはシステムから変更され、暗号化され、安全なクラウドサーバ36を指し示すようにされる。その後、保護されたシステムは再起動される。最後に、ステップ6(符号64)において、ユーザ/権限のある管理者は、ハッキングから今や守られているシステム50を安全に使用することができる。
図4(2ページにわたって拡張される)は、インターネット上の信頼されたサイトから保護サービスを購入することによってシステムがいかにして保護されるかを示す別のより詳細なダイアグラムである。最初(符号70)、買い手/ユーザは、セキュリティ保護サービスを売る権限のある既知ウェブサイトに接続する。次に(符号72)、購入をする買い手/ユーザは、仮パスワードと安全なクラウドサーバへのURLウェブアドレスを取得する。その後(符号74)、ウェブサイトはシステムのハードウェアIDを読み取り、安全なクラウドサーバに当該IDおよび仮パスワードを送信する。その後(符号76)、権限のあるシステム管理者はネットワークを利用し、提供されたURLおよび仮パスワードを用いて安全なクラウドサーバに接続する。次に(符号78)、保護されるべきシステムから安全なクラウドサーバへの接続がシステム管理者によって作られると、安全なサーバはハードウェアIDおよび仮パスワードを、接続したシステムのIDおよび「権限のあるシステム管理者」によって提供されたパスワードと比較する。このプロセスは決定木80を通して続けられる。ハードウェアIDおよび仮パスワードの両方が正しい場合、インストールプロセスが継続される(符号82)。しかし、システムのハードウェアIDは正しいが、仮パスワードが,間違いなら、管理者はパスワードの再入力を促される。所与の回数n(たとえば3回)正しくないなら、システムは切断され、セキュリティサービスを監視するセキュリティチームにメッセージが送信される(符号88)。パスワードが正しいがハードウェアIDが間違いである場合(符号90)、システムは同様に切断され、サービスを監視するセキュリティチームにメッセージが送信される(符号88)。この時点で、セキュリティチームは、法的および技術的機関への通知を含め、適当なアクションを取るだろう。(図4の第2ページに示されるように)符号82の続きとして、安全なサーバへのログオンが成功した場合、管理者は強い新パスワードの入力を促される(符号92)。安全なサーバは保護されるべきシステムのOSおよびバージョン番号を読み取り、適切なインストールスクリプトを選択して実行する。次に、インストールが実行され、システムの管理者ファイルが暗号化され、削除され、安全なクラウドサーバに格納される。システムの管理者権限のファイル、パスワードおよび他の適当なデータが格納される安全なクラウドサーバ上の新しい場所を指し示す暗号化されたネットワークパスが保護されるべきシステムにインストールされる(符号94)。その後、保護されたシステムはリブートされ、すべての承認されたユーザはシステムへのアクセスが許可される(符号96)。保護されたシステムのユーザパーミッションに変更が必要である場合、承認された管理者は安全なサーバに接続し、正しいパスワードでログインしなければならない(符号98)。安全なサーバは保護されたシステムのハードウェアIDおよび提供されたパスワードを読み取り、以前に格納されたパスワードおよびハードウェアIDと比較する(符号100)。正しい場合、承認された管理者によってユーザパーミッションは変更される。正しくない場合、システムが切断されセキュリティチームに警告メッセージが送られる(符号102)。
図5は、本発明の別の例示的な実施の形態を示すダイアグラムであり、小売店から保護サービスを購入する、または組織110から承認を受け取ることによってシステムがいかにしてハッキングから保護されるかを示す。第1ステップ1において、買い手/ユーザは承認された小売店または彼/彼女の組織のITサポート施設を訪問する(符号112)。次に、第2ステップ2において、買い手/ユーザは保護サービスを購入するか、そのための承認コードを取得する(符号114)。第3ステップ3において、購入/承認プロセスが完了すると、小売店またはサポート組織110はシステムの一意的なシステムIDを記録し、その情報と仮パスワードを分離され保護されたクラウドサーバ36に送信する(符号116)。買い手/ユーザは仮パスワードと安全なサーバのウェブアドレス(URL)を受信する。第4ステップ4において、システムの権限のある管理者は、そのURLアドレスおよび仮パスワードを用いて安全なクラウドサーバ36に接続する(符号118)。第5ステップ5において、パスワードおよびシステムIDが合致する場合、安全なクラウドサーバ36は、システムのOSおよびバージョンを決定し、適当なインストールスクリプトを選択し、管理者パーミッションファイルを特定し、これらのファイルを暗号化し、削除し、転送し、これらのファイルを安全なクラウドサーバに格納することによってインストールを開始する(符号120)。権限のある管理者は、その後、強いパスワードと、すべての権限のあるユーザのパーミッションに関する情報を含む他の要求された登録情報とを入力するように促される。その情報は符号化され、安全なサーバに転送され、そこで格納される。管理者パーミッションファイルへのパスは暗号化され、保護されたシステムから変更され、安全なクラウドサーバを指し示すようにされる。その後、保護されたシステムは再起動される。最後に、ステップ6(符号122)において、権限のある管理者およびすべての権限のあるユーザは、今やハッキングされる心配をせずに保護されたシステムを安全に使用することができる。
本発明は様々な実施の形態において、その様々な実施の形態をサポートするために必要なソフトウェアおよびハードウェアインフラストラクチャを含む様々な方法を用いて様々なサービスプロバイダによって提供されるサービスを含むことができる。

Claims (30)

  1. コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムを悪意のあるコード攻撃から保護するための方法であって、
    信頼されるウェブサイトが、コンピュータネットワークに接続可能なデバイス/システムの一意的なIDの少なくとも一つおよびコンピュータネットワークに接続可能なデバイス/システムに関連づけられた管理者パーミッションファイルを安全なクラウドサーバに提供するステップと、
    前記ネットワークに接続可能なデバイス/システムが、前記ネットワークに接続可能なデバイス/システムから安全なクラウドサーバへの暗号化されたネットワークパスをインストールするステップとを含み、
    一意的なデバイス/システムIDは、前記ネットワークパスを介して安全なクラウドサーバにそれ以降接続して少なくとも前記管理者パーミッションファイルにそれ以降変更を加えるために使用され、
    前記安全なクラウドサーバが、安全なクラウドサーバのネットワークアドレスおよび安全なクラウドサーバへのアクセスに対する仮パスワードを前記ネットワークに接続可能なデバイス/システムシステム管理者に提供するステップと、
    前記ネットワークに接続可能なデバイス/システムが、前記管理者に前記仮パスワードを用いて前記安全なクラウドサーバのネットワークアドレスに接続させるステップと、
    前記安全なクラウドサーバが、前記管理者から与えられた仮パスワード、および前記ネットワークに接続可能なデバイス/システム一意的なデバイス/システムIDを比、その両方が、前記ネットワークに接続可能なデバイス/システムに対して前記安全なクラウドサーバがもつデータに一致するなら、前記管理者権限のある管理者として証明、前記権限のある管理者新しいパスワードおよび他の要求される登録情報の入力を促ステップと、
    前記安全なクラウドサーバが、前記新しいパスワードの検証に成功したとき前記権限のある管理者/ユーザ前記コンピュータネットワークに接続可能なデバイス/システムを利用することを許可するステップとを含み、権限のある管理者/ユーザ側において何ら付加的なハードウェアを要求しないことを特徴とする方法。
  2. 前記権限のある管理者が前記新しいパスワードを入力し、保護インストールが完了した後、前記権限のある管理者が前記コンピュータネットワークに接続可能なデバイス/システムをリブートする、請求項1の方法。
  3. 前記コンピュータネットワークに接続可能なデバイス/システムにはオペレーティングシステムがインストールされており、少なくとも一つのハードウェアID、前記管理者パーミッションファイル、および仮パスワードが前記安全なクラウドサーバに送信される、請求項1の方法。
  4. 少なくとも一つのハードウェアID、前記管理者パーミッションファイル、および仮パスワードが暗号化された形式で前記安全なクラウドサーバに送信される、請求項3の方法。
  5. 製造者またはサービスプロバイダが、前記コンピュータネットワークに接続可能なデバイス/システムから前記安全なクラウドサーバへの前記暗号化されたネットワークパスをインストールする、請求項1の方法。
  6. 前記安全なクラウドサーバの前記ネットワークアドレスはURLアドレスである、請求項1の方法。
  7. ユーザに提供された前記コンピュータネットワークに接続可能なデバイス/システムは、少なくとも一つのハードウェアIDおよび前記コンピュータネットワークに接続可能なデバイス/システムに直接マッピングされる管理者パーミッションファイルをもたない、請求項1の方法。
  8. 前記権限のある管理者が前記新しいパスワードを入力した後、前記権限のある管理者は前記コンピュータネットワークに接続可能なデバイス/システムをリブートする、請求項1の方法。
  9. 保護された前記コンピュータネットワークに接続可能なデバイス/システム以外の任意のシステムから送られた盗まれたパスワードは前記安全なクラウドサーバによって受け付けられず、そのためハッカーが保護された前記コンピュータネットワークに接続可能なデバイス/システムにアクセスしてその上に悪意のあるソフトウェアをインストールすることは許されない、請求項1の方法。
  10. ソフトウェアを前記コンピュータネットワークに接続可能なデバイス/システム上にインストールすることができるのは、前記安全なクラウドサーバからそのようにする権限を取得した後である、請求項1の方法。
  11. 正しくないパスワードの入力が所定回数試みられたなら、前記コンピュータネットワークに接続可能なデバイス/システムは前記安全なクラウドサーバから切断され、前記安全なクラウドサーバによってセキュリティチームに警告が送信される、請求項1の方法。
  12. 前記保護されたコンピュータネットワークに接続可能なデバイス/システム以外の任意のシステムから送られた盗まれたパスワードは前記安全なクラウドサーバによって受け付けられず、そのためハッカーが前記保護されたコンピュータネットワークに接続可能なデバイス/システムにアクセスしてその上に悪意のあるソフトウェアをインストールすることは許されない、請求項1の方法。
  13. コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムを悪意のあるコード攻撃から保護するためのサービスを提供するシステムであって、
    前記コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムを悪意のあるコード攻撃から保護するための、購入が行われる信頼されるウェブサイトと、
    前記信頼されるウェブサイトから分離した安全なクラウドサーバとを含み、
    前記信頼されるウェブサイトは、前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDの少なくとも一つを記録し、購入者に第1パスワードを割り当て、
    前記信頼されるウェブサイトは、前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDの少なくとも一つと前記第1パスワードとを前記安全なクラウドサーバに送信し、前記第1パスワードと前記安全なクラウドサーバのネットワークアドレスを購入者に送信し、
    (a)管理者が前記第1パスワードを用いて前記安全なクラウドサーバに接続し、前記管理者によって入力された第1パスワードが前記安全なクラウドサーバによって記録された第1パスワードと一致する場合、前記管理者は権限のある管理者として証明され、前記安全なクラウドサーバは前記コンピュータネットワークに接続可能なデバイス/システムのオペレーティングシステムおよびバージョンを特定し、適当なインストールスクリプトを選択し、前記コンピュータネットワークに接続可能なデバイス/システムに関連づけられた管理者パーミッションファイルを特定し、限ファイルを暗号化し、前記権限ファイルを削除し、送信し、前記安全なクラウドサーバ上に格納することによって、インストールを開始し、
    (b)前記権限のある管理者は第2パスワードおよび権限のあるユーザパーミッションについての情報を含む他の要求される登録情報の入力を促され、その情報は前記安全なクラウドサーバに送信され格納され、
    (c)前記管理者パーミッションファイルへのパスは前記コンピュータネットワークに接続可能なデバイス/システムから変更され、暗号化され、前記安全なクラウドサーバを指し示すようにされ、前記コンピュータネットワークに接続可能なデバイス/システムに格納され、
    (d)ハッカーが悪意のあるコードによって前記管理者パーミッションファイルの制御を獲得することを防ぐために、前記コンピュータネットワークに接続可能なデバイス/システムをその後リブートすることを特徴とするシステム。
  14. 前記権限のある管理者がしいパスワードを入力した後、前記権限のある管理者は前記コンピュータネットワークに接続可能なデバイス/システムをリブートする、請求項13のサービスを提供するシステム。
  15. 前記コンピュータネットワークに接続可能なデバイス/システムにはオペレーティングシステムがインストールされており、少なくとも一つのハードウェアID、前記管理者パーミッションファイル、および仮パスワードが前記安全なクラウドサーバに送信される、請求項13のサービスを提供するシステム。
  16. 少なくとも一つのハードウェアID、前記管理者パーミッションファイル、および仮パスワードが暗号化された形式で前記安全なクラウドサーバに送信される、請求項15のサービスを提供するシステム。
  17. 製造者またはサービスプロバイダが、前記コンピュータネットワークに接続可能なデバイス/システムから前記安全なクラウドサーバへの前記暗号化されたネットワークパスをインストールする、請求項13のサービスを提供するシステム。
  18. 前記安全なクラウドサーバの前記ネットワークアドレスはURLアドレスである、請求項13のサービスを提供するシステム。
  19. 権限のある管理者に提供された前記コンピュータネットワークに接続可能なデバイス/システムは、少なくとも一つのハードウェアIDおよび前記コンピュータネットワークに接続可能なデバイス/システムに直接マッピングされる管理者パーミッションファイルをもたない、請求項13のサービスを提供するシステム。
  20. 前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDは、システムのIPアドレス、MAC番号、または他の一意的なハードウェアIDの少なくとも一つから選択される、請求項13のサービスを提供するシステム。
  21. ソフトウェアを前記コンピュータネットワークに接続可能なデバイス/システム上にインストールすることができるのは、前記安全なクラウドサーバからそのようにする権限を取得した後である、請求項13のサービスを提供するシステム。
  22. 正しくないパスワードの入力が所定回数試みられたなら、前記コンピュータネットワークに接続可能なデバイス/システムは前記安全なクラウドサーバから切断され、前記安全なクラウドサーバによってセキュリティチームに警告が送信される、請求項13のサービスを提供するシステム。
  23. ハッカーがシステムの管理者パーミッションファイルの制御を獲得して悪意のあるソフトウェアをインストールすることを防ぐことにより、コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムをハッカーによる悪意のあるコード攻撃から保護するための方法であって、
    分離された安全なクラウドサーバが、前記コンピュータネットワークに接続可能なデバイス/システムのオペレーティングシステムの読み書きおよび実行の管理者パーミッションをもつファイルを削除し、イントラネット、インターネットまたは安全なプライベートネットワーク上で前記パーミッションファイルを前記安全なクラウドサーバに再配置するステップと、
    前記安全なクラウドサーバが、前記安全なクラウドサーバにそれ以降接続して少なくとも前記パーミッションファイルにそれ以降変更を加えるために使用される、前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDを前記安全なクラウドサーバに格納するステップと、
    前記ネットワークに接続可能なデバイス/システムが、権限のある管理者からパスワードを要求するステップと、
    前記ネットワークに接続可能なデバイス/システムが、前記管理者パーミッションファイルへのパスを前記コンピュータネットワークに接続可能なデバイス/システムのローカルパスから変更し、暗号化し、前記安全なクラウドサーバを指し示すようにし、前記コンピュータネットワークに接続可能なデバイス/システムに格納し、その後、前記デバイス/システムをリブートするステップと、
    前記安全なクラウドサーバが、前記要求されたパスワードの証明が成功したとき、前記権限のある管理者が前記コンピュータネットワークに接続可能なデバイス/システムを使用することを許可するステップとを含み、
    権限のある管理者/ユーザ側に何ら付加的なハードウェアを要求しないことを特徴とする方法。
  24. 前記権限のある管理者からパスワードを要求することに加えて、失ったか忘れたパスワードを回復するために設計された情報を含む付加的な情報が収集され、その情報は前記クラウドサーバに保持され、1以上のオフサイトの安全なサーバにバックアップされる、請求項23の方法。
  25. 前記システムのIDは1以上の一意的なハードウェアID(たとえばIPアドレス、MAC番号、および任意の他の一意的なハードウェアID)および1以上のシステム特有の一意的なソフトウェアライセンスを含む、請求項23の方法。
  26. システムIDファイルは暗号化され、分離したサーバ上に格納され、暗号鍵は安全なクラウドサーバ上にファイルを格納することに責任がある組織にのみ知られている、請求項23の方法。
  27. 失ったか忘れたパスワードを回復するために設計された情報を含む付加的な情報が収集され、前記クラウドサーバに保持され、1以上のオフサイトの安全なサーバにバックアップされる、請求項23の方法。
  28. ハッカーがシステムの管理者パーミッションファイルの制御を獲得して悪意のあるソフトウェアをインストールすることを防ぐことにより、コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムをハッカーによる悪意のあるコード攻撃から保護するためのサービスを提供するシステムであって、
    前記コンピュータネットワークに接続可能なデバイスまたはクラウドコンピューティング環境にネットワーク接続されたシステムを悪意のあるコード攻撃から保護するための、購入が行われる、信頼されるウェブサイト、権限のある販売者、または所定の機関のいずれか一つと、
    前記信頼されるウェブサイトから分離した安全なクラウドサーバとを含み、
    前記信頼されるウェブサイト、権限のある販売者、または所定の機関は、前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDの少なくとも一つを記録し、購入者に第1パスワードを割り当て、
    前記信頼されるウェブサイト、権限のある販売者、または所定の機関は、前記コンピュータネットワークに接続可能なデバイス/システムの一意的なIDの少なくとも一つと前記第1パスワードとを前記安全なクラウドサーバに送信し、前記第1パスワードと前記安全なクラウドサーバのネットワークアドレスを購入者に送信し、
    管理者は前記第1パスワードを用いて権限のある管理者として証明され、
    前記コンピュータネットワークに接続可能なデバイス/システムのオペレーティングシステムの読み書きおよび実行の管理者パーミッションをもつファイルが前記安全なクラウドサーバに保護され、記録された一意的なデバイス/システムIDが、前記ネットワークアドレスをもつ前記安全なクラウドサーバにそれ以降接続して少なくとも前記管理者パーミッションファイルにそれ以降変更を加えるために使用され、
    前記管理者パーミッションファイルへのパスが前記コンピュータネットワークに接続可能なデバイス/システムのローカルパスから変更され、暗号化され、前記安全なクラウドサーバを指し示すようにされ、前記コンピュータネットワークに接続可能なデバイス/システムに格納され、その後、前記デバイス/システムがリブートされ、
    第2パスワードで証明が成功したとき、前記権限のある管理者が前記コンピュータネットワークに接続可能なデバイス/システムを使用することが許可され、
    権限のある管理者/ユーザ側に何ら付加的なハードウェアを要求しないことを特徴とするシステム。
  29. 前記安全なクラウドサーバはイントラネット、インターネット、またはプライベートネットワークを介してアクセス可能である、請求項28のサービスを提供するシステム。
  30. 保護された前記コンピュータネットワークに接続可能なデバイス/システム以外の任意のシステムから送られた盗まれたパスワードは前記安全なクラウドサーバによって受け付けられず、そのためハッカーが保護された前記コンピュータネットワークに接続可能なデバイス/システムにアクセスしてその上に悪意のあるソフトウェアをインストールすることは許されない、請求項28のサービスを提供するシステム。
JP2015529802A 2012-08-31 2013-06-24 悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法 Expired - Fee Related JP5959749B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201261696080P 2012-08-31 2012-08-31
US61/696,080 2012-08-31
US13/606,410 US8745713B1 (en) 2012-08-31 2012-09-07 Method and service for securing a system networked to a cloud computing environment from malicious code attacks
US13/606,410 2012-09-07
US13/765,056 2013-02-12
US13/765,056 US8528062B1 (en) 2012-08-31 2013-02-12 Method and service for securing a system networked to a cloud computing environment from malicious code attacks
PCT/US2013/047420 WO2014035537A1 (en) 2012-08-31 2013-06-24 Method for securing os from malware attacks

Publications (2)

Publication Number Publication Date
JP2015532756A JP2015532756A (ja) 2015-11-12
JP5959749B2 true JP5959749B2 (ja) 2016-08-02

Family

ID=49034834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015529802A Expired - Fee Related JP5959749B2 (ja) 2012-08-31 2013-06-24 悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法

Country Status (5)

Country Link
US (2) US8745713B1 (ja)
JP (1) JP5959749B2 (ja)
IL (1) IL237362A0 (ja)
TW (1) TW201415280A (ja)
WO (1) WO2014035537A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8745713B1 (en) * 2012-08-31 2014-06-03 Cloud Cover Safety, Inc. Method and service for securing a system networked to a cloud computing environment from malicious code attacks
TWI537850B (zh) * 2013-03-27 2016-06-11 Cloud Control System and Method for Controlled Equipment
CN104780229A (zh) * 2014-01-09 2015-07-15 东莞市微云系统科技有限公司 通过云终端设置云服务器ip地址的方法、系统和云系统
CN104780230A (zh) * 2014-01-09 2015-07-15 东莞市微云系统科技有限公司 自动获取云服务器ip地址的方法、系统和云系统
TWI514188B (zh) * 2014-12-10 2015-12-21 Univ Nat Taiwan Science Tech 加殼程式偵測系統及其方法
US9600320B2 (en) 2015-02-11 2017-03-21 International Business Machines Corporation Mitigation of virtual machine security breaches
US9444822B1 (en) * 2015-05-29 2016-09-13 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US11503031B1 (en) 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US20170046530A1 (en) * 2015-08-15 2017-02-16 Seshan Raj Distributed Cloud Storage System (DCSS) for secure, reliable storage and retrieval of data and computing objects
US10664179B2 (en) * 2015-09-25 2020-05-26 Intel Corporation Processors, methods and systems to allow secure communications between protected container memory and input/output devices
DE102015119597B4 (de) * 2015-11-13 2022-07-14 Kriwan Industrie-Elektronik Gmbh Cyber-physikalisches System
GB2545010B (en) 2015-12-03 2018-01-03 Garrison Tech Ltd Secure boot device
US11063950B2 (en) * 2016-06-09 2021-07-13 Microsoft Technology Licensing, Llc Secure remote desktop session
CN106022111B (zh) * 2016-07-13 2019-01-22 北京金山安全软件有限公司 隐藏弹出式窗口的处理方法、装置及电子设备
US10353686B1 (en) * 2016-12-28 2019-07-16 Facebook, Inc. Application installation system
US10601814B2 (en) * 2017-07-26 2020-03-24 Secret Double Octopus Ltd. System and method for temporary password management
US10735407B2 (en) * 2017-07-26 2020-08-04 Secret Double Octopus Ltd. System and method for temporary password management
US10572683B2 (en) 2018-05-13 2020-02-25 Richard Jay Langley Individual data unit and methods and systems for enhancing the security of user data

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6016402A (en) * 1996-05-21 2000-01-18 Iomega Corporation Method for integrating removable media disk drive into operating system recognized as fixed disk type and modifying operating system to recognize as floppy disk type
WO1998032066A1 (en) * 1997-01-20 1998-07-23 British Telecommunications Public Limited Company Data access control
US7017039B2 (en) * 2002-12-31 2006-03-21 John Alan Hensley Method of booting a computer operating system to run from a normally unsupported system device
US20060080518A1 (en) * 2004-10-08 2006-04-13 Richard Dellacona Method for securing computers from malicious code attacks
JP4734030B2 (ja) * 2005-05-27 2011-07-27 株式会社リコー 管理システム
US8255696B2 (en) * 2007-05-01 2012-08-28 Microsoft Corporation One-time password access to password-protected accounts
JP5054554B2 (ja) * 2008-02-05 2012-10-24 株式会社アイ・オー・データ機器 ユーザ認証方法、プログラム、可搬型記憶装置、ユーザ認証装置およびユーザ認証システム
US8473941B2 (en) * 2008-07-08 2013-06-25 Sandisk Il Ltd. Dynamic file system restriction for portable storage devices
JP5466622B2 (ja) * 2010-11-25 2014-04-09 株式会社日立製作所 運用監視装置、運用監視方法、および運用監視プログラム
US8745713B1 (en) * 2012-08-31 2014-06-03 Cloud Cover Safety, Inc. Method and service for securing a system networked to a cloud computing environment from malicious code attacks

Also Published As

Publication number Publication date
JP2015532756A (ja) 2015-11-12
WO2014035537A1 (en) 2014-03-06
US8745713B1 (en) 2014-06-03
TW201415280A (zh) 2014-04-16
US8528062B1 (en) 2013-09-03
IL237362A0 (en) 2015-04-30

Similar Documents

Publication Publication Date Title
JP5959749B2 (ja) 悪意のあるソフトウェアによるアタックからオペレーティングシステムを保護する方法
JP4837985B2 (ja) 信頼できる処理モジュールを有するコンピュータを安全にブートするためのシステムおよび方法
US7565553B2 (en) Systems and methods for controlling access to data on a computer with a secure boot process
US8418226B2 (en) Persistent servicing agent
EP2681689B1 (en) Protecting operating system configuration values
JP4524288B2 (ja) 検疫システム
US10169589B2 (en) Securely booting a computer from a user trusted device
CA2601260C (en) Persistent servicing agent
US20080295174A1 (en) Method and System for Preventing Unauthorized Access and Distribution of Digital Data
JP3728536B1 (ja) ネットワーク接続制御システム,ネットワーク接続対象端末用プログラムおよびネットワーク接続制御プログラム
EP2278520A2 (en) Modular software protection
US20080082813A1 (en) Portable usb device that boots a computer as a server with security measure
WO2015184891A1 (zh) Android系统的安全管控方法、装置及其系统
JP2011503689A (ja) 分離型の読み取り専用領域及び読み書き領域を有するコンピュータ記憶デバイス、リムーバブル媒体コンポーネント、システム管理インタフェース、及び、ネットワークインタフェース
Alzahrani et al. Ransomware in windows and android platforms
CN112613011A (zh) U盘系统认证方法、装置、电子设备及存储介质
EP2341458B1 (en) Method and device for detecting if a computer file has been copied
Altuwaijri et al. Computer and Information Sciences
JP2019160038A (ja) ログイン管理装置、ログイン管理方法、及びプログラム
Quarisa An inexpensive hardware-based identification system for improved computer security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160120

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20160120

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20160324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160621

R150 Certificate of patent or registration of utility model

Ref document number: 5959749

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees