セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開 48
ストーリー by reo
ジャーナリズムに似た 部門より
ジャーナリズムに似た 部門より
ある Anonymous Coward 曰く、
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開している (Softpedia の記事、本家 /. 記事より) 。
この一週間にゼロデイの脆弱性は、IIS 5.1 のディレクトリ認証の回避や、Windows Vista/2008 のカーネルレベルへの権限昇格、ROP (Return Oriented Programming) / ASLR 回避の攻撃に繋がる発見が公開されている。
また、6 月上旬に Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、いくつかの産業界などが集まり Microsoft-Spurned Researcher Collective (MSRC) を結成したとのこと。自分たちが空き時間に見つけた脆弱性の情報を雇い主の報復を受けない形で公開するとしている。
敵意に満ちている (スコア:1, すばらしい洞察)
> Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、
これって逆恨みだよね。
そりゃ、いきなり多くのユーザを危険にさらされたら非難すると思うし、非難しないなら
逆にユーザとしてはMSを批判の対象とするよ。
この連中のMSに対するつ敵意による独善的な行為の第一被害者は、善意のユーザたちなのだから。
> いくつかの産業界などが集まりMicrosoft-Spurned Researcher Collective (MSRC) を
> 結成したとのこと。
いくつかの産業界が集まって?????
「いくつかの産業界にいる人物らが寄り添って結成した」が正しいんじゃないか。
長い間MSに脆弱性の指摘を非公開で行っていたが、無視されたとか悪い対応をされたから
修正前に仕方なしに公開するというセキュリティ研究者もいるし、それは否定するところ
ではないけれど、今回の件で逆切れしてる連中は、
「ゼロデイの脆弱性見つけた。修正前に公開して大騒ぎになれば面白い」
ってやつが多いんじゃないかな。
>自分たちが空き時間に見つけた脆弱性の情報を雇い主の報復を受けない形で公開するとしている
本当に空き時間にやっているのか大いに疑問だが、たとえ空き時間やプライベートな時間で
やっていたとしても、それが反社会的行動ならば、その人間の雇い主は考えるべきだと思うよ。
Re:敵意に満ちている (スコア:2, 参考になる)
いくつかの産業界が集まって?????
「いくつかの産業界にいる人物らが寄り添って結成した」が正しいんじゃないか。
タレコミで参照されているSoftpediaの記事には、MSRCのコメントとして
a number of us from the industry (and some not from the industry) have come together to form MSRC
というのがあるから、「産業界に身を置く多くの人々(一部は産業界には属さない)が集まった」ということでしょう。
"not from the industry"というのは大学などの研究者のことですかね。
Re: (スコア:0)
認めさせるには相当苦労を強いられるだろうし、こちらでは穴として認識していてそのように主張してもKBレベルでしか公開されず、
マージされるのは、2008 SP3とか言われたりすると正直萎える
ACで。
問題を報告したのに5日以内に修正されなかったそうです(Re:敵意に満ちている) (スコア:0)
Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
Re: (スコア:0)
「60日以内に修正を出すと確約が欲しい」
「直すけど、60日以内でできるか約束はできない」
「それじゃだめだ、確実に直すという回答が欲しい」
「その回答はできない」
「チッ、なんでできないんだよ。おまえらなんかこうしてやる」
と、悪意のクラッカーが利用できるように一般公開したとかそんなところ。
そもそも、悪意のクラッカーが利用する恐れがあるから、悪意のクラッカーも
利用できるように公開するなんて意味不明な理由だよね。
頭おかしいんじゃないかと。
Re: (スコア:0)
私もだいたいそんな感じだと思うけど、「悪意のクラッカーが利用できるように」じゃなくて、早急に対応せざるおえないような状況に追い込みたかったんじゃないの。
60日以内はそれなりの期間ですよね。対応するのを期待しても極端に(?)短すぎるとは思えないけど。60日以内の約束できないんだったら、じゃ、いつまでなんだよってことになるでしょ。 対応する前に悪意の者が発見して悪用されたらどうすんだよってことでしょ。
そもそも、そんな脆弱生を探してMSに教えてあげている(?)のはWindowsユーザを守るというボランティア意識からでしょ(名誉欲もあるかもしれないけど)。
Re: (スコア:0)
ありゃ#1794058で詳細な経緯の発言されてますね...
#しかし「敵意に満ちている」と非難発言している方がよっぽど敵意に満ちているというのはねたですか。そうですか。
Re: (スコア:0)
ほとんど準備もできていない4日目で公開するということが異常な考えということ。
まったく対応する隙も与えずに公開することは、これはユーザを危険にさらすことが
目的か、あるいはMSの経営に打撃を与えるためととらえられても否定できない。
60日間で対応の確約なんて必要ないんです。
発見者がまともな善意の判断力があり、60日間で直せるだろうと考えたならば
確約を求めるのではなく、「60日後には一般公開しますからね」で済む。
MSも、それまでに直せるように努力しますよね。
基本的に、この発見者は頭が悪いんです。
技術力の話じゃなく、知恵が無い。
Re: (スコア:0)
最終的に公開する時点で、ユーザを危険にさらすという考えはあったと思いますよ。見つけた時点でMSに報告&やりとりしてるんですから。
公開する時点で理性が保てたのか、理性が吹っ飛んで激情的になったのかは知りませんが。そこに至ったのはMSの官僚的な対応じゃなかったんじゃないですかね。わかりませんけど。
#時間的な流れがわかってしまったので、後付けのようにになってしまいますが、発見者はどういったプログラムでどういう部分を直せばいいかも推測できてたんじゃないですか。OSの脆弱性を発見できるぐらいなんですから。
頭が悪いって言うほど
Re: (スコア:0)
すみません。訂正させていただきます。
「製品の欠陥を指摘してるのに」を「製品の重大な欠陥を指摘してるのに」に。
あまり支障にならないような欠陥の場合はおもねらねばならんですわな。ことソフトウェアの世界では。変なことだけど。
知ってるのは誰だ。 (スコア:1)
この議論では、公開された脆弱性はセキュリティ研究者しかまだ知らない脆弱性、という風に扱われているけど、その考え方は正直微妙なんじゃないかなぁ。
もしかしたら、悪意ある人が既に攻撃に使い始めてるor既に発見済みで攻撃のための準備をしている可能性も大いにあるし、あるいはMSの中の人が見つけてパッチができるまで隠しているのかもしれない。
後者ならMSにとっちゃ、ほんとに大きなお世話。そんなことする必要なんて一切ない。
前者なら、隠してないで危険性を広めた方が注意のしようもあるだろう。
1を聞いて0を知れ!
ミスだと認めないのは (スコア:1, 興味深い)
当事者の対応が遅い時に発見者が情報公開することで、優先度を上げさせたり第三者による修正を期待するってのはそれなりに許容されるだろうとは思う。
だけど、自分が設定した期限を超えていない(=当事者の対応が遅いわけではない)にもかかわらず公開したら、それはほぼ攻撃教唆でしかない。
これをミスだと認めずこんな事になってるのは、公開したのは八つ当たりでミスだったけど今更退けないって事なんじゃないだろうか。
多分、期限短縮しての公開を過失として認めたら、10日目の攻撃を受けて業務に影響が出た企業から訴訟されて酷い事になる。
# 攻撃による被害がなくても、被害状況の確認や警戒連絡作業による本来の業務への損害があるハズ
結論が出ました (スコア:1)
色々なコメントを読んだ結果、どちらが正しいか判断できた。
感謝!感謝!
え?どっちかって?
読めば分かるから、自分で判断しな。
the.ACount
なにこれ (スコア:0, フレームのもと)
>Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に
>Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、
こんなやり方ありなの?
Microsoftじゃなくて、Googleのほう。
MSに報告したところ無碍にされた (スコア:2)
善意で(仕事で?)MSに報告してパッチをお願いしたところ、
MSはユーザを危険にさらし続けることを選択したそうです。
http://japan.cnet.com/sp/zeroday/story/0,3800105600,20415213,00.htm [cnet.com]
Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
Re: (スコア:0)
その情報だけだと
「MSが60日以内にパッチが用意できないならユーザーを危険にさらしてやれ!」
というテロリズムにも見える
脆弱性そのものを公開する前に、もっと他の取るべき対応はなかったのか?
Re:MSに報告したところ無碍にされた (スコア:2)
修正されなかったこと vs 公開されたこと で単調に議論
されているけど、60日での修正が困難と回答した
MSの判断が正しかったのかどうか、ソフトウェアエンジニアリング
の観点からもっと議論されるべきですね。
MSがセキュリティの問題を60日で修正する能力がないのであれば、
別のソフトに乗り換えるというユーザもいるのではないでしょうか。
氏は60日が十分な期間だと思ったから公開に踏み切ったわけでしょう?
Re:MSに報告したところ無碍にされた (スコア:2, すばらしい洞察)
> MSの判断が正しかったのかどうか、ソフトウェアエンジニアリング
> の観点からもっと議論されるべきですね。
別に、「議論されるべき」と言われるほど重要じゃないでしょう。
これはソフトウェアエンジニアリングの問題ではなく、60日以内に修正できるか
確約をすることのリスクの問題です。
責任感の無い会社なら「はい、わかりました。必ず**以内に」と適当に回答する
ところでしょうけれど、たいていの責任感のある会社の場合は、
「可能な限り急ぎますが、何日いないという確約をすることは困難です」と
答えるものです。
もし修正作業に取り掛かったら、実はすごく難易度の高い修正が必要だと分かり、
間に合わなかった場合にどうなるか考えてのこと。
そして、今回運が悪かったのは、報告してきたやつが、確約が得られなかっただけで
いきなり公開してしまう異常な考えの持ち主だったこと。
> MSがセキュリティの問題を60日で修正する能力がないのであれば、
> 別のソフトに乗り換えるというユーザもいるのではないでしょうか。
いないとは言えませんが、極めて少ないでしょう。
その極少数のユーザのために、他の大多数のユーザを危険にさらしてよい
ということはありません
> 氏は60日が十分な期間だと思ったから公開に踏み切ったわけでしょう?
その割には報告から4日か5日目で公開しているという。
50日過ぎてから公開しているわけではないんですよ。
こういう技術力がある人間が、人間性としても優れているわけではないということは
ちゃんと分かっておかないと、技術優先で倫理観を持たない技術者が増える原因と
なっちゃいます。
Re:MSに報告したところ無碍にされた (スコア:2)
この問題に関しては、マイクロソフトと氏がどのようなやり取りをしたのかによって責任の所在がかわってくると思います。
以下のようなケースであれば、マイクロソフトが責任ある態度をとらず、ユーザを危険にさらし続ける行動を取っているものとして認識されるべきです。
・マイクロソフトが修正の意向を示さなかった。
・マイクロソフトが修正について曖昧な態度をとり続けた(修正目途を示さなかった)
・マイクロソフトは問題の概要とHCPを無効化するというソリューションを最優先でユーザに提供することを約束しなかった
逆に以下のような場合であれば、氏の行動に問題があったものとして認識されるべきです。
・マイクロソフト修正について目安日を示していたが確約していなかったことを事由として公開に及んだ
そして、今回の場合マイクロソフトから「修正することを約束したのに彼がフライングした」という反論は
出ていないところから判断すると、今回のケースは前者だったのだろうと推測します。したがって、追加で氏とのやり取りを示す資料などが公開されない限り責任ある態度を取らなかったマイクロソフトに問題があるという印象は否めないですね。
ところで、マイクロソフトはセキュリティホールの売りにしています。こうしたユーザからの報告を放置することによって実際のセキュリティホールの数をもっと少なく見せようとしている行動は、詐欺に近いもので、是正されるべき行動だと思います。
Re: (スコア:0)
…公開しちゃえばMSも修正せざるをえないよね
ま、僕は心優しいから60日だけ猶予あげるよ
(ユーザーに被害が出る)
ぼ、僕のせいじゃないんだからね!
なおさなかったMSが悪いんだ!
Re: (スコア:0, 荒らし)
べつに放っておいてもいつかは被害が(ひっそり)出ているかもしれないんだから、
MSが悪いんでしょう…
##マジレス禁止?
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
Re: (スコア:0)
windowsを排除しようとしてる会社だしな
自分の所のOSの準備が出来たんだろう
Re: (スコア:0)
たとえば、未パッチのセキュリティホールだけに特化して、パラメータ・チェックを行うフィルタとかさ。
ゼロデイ脆弱性(オフトピック) (スコア:0)
「ゼロデイ脆弱性」ってどういう意味で使ってるんだろ?
既にAttackされた履歴がある脆弱性ってこと?
(そうは書いてなかったと思う。)
Re: (スコア:0)
通常は、「まだパッチ/回避策の提供されていない脆弱性」ではないかと。
単なる嫌がらせ (スコア:0)
単なる嫌がらせにしか見えない。
なんでもうちょっと穏やかに解決出来る方向に持っていけないかな。
よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:0, 荒らし)
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2, すばらしい洞察)
MSに非公開で脆弱性を連絡し、60日間での修正を求めたところは問題ない。
ただ、MSと修正を出すまでの期間で要求が受け入れられなかったので、
正常な判断を失い、最初の連絡からたった4日めで脆弱性を公開したということ。
全然、氏の行動を擁護できる筋は存在しない。
最初はユーザのことを考えて60日間という期限を切ったということと、
実際には4日めで公開して多くのユーザを危険にさらしたという行為が
まったく矛盾している。
強制公開するなら、最初の自分の要求である60日を過ぎたときだろ。
無知じゃない人なら、それは理解できるはずだ。
無智無恥な人なら、氏が正しいと思うかもしれない。
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:1, 参考になる)
今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
『絶対に直せない』」、つまりその期間内だったら確実に使える、と分かっている類の物な訳で。
今回公開されたことで、研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスクを
軽減すると共に、MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
可能性を提供した訳なんだが、それでも無責任と言えるの?
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2, すばらしい洞察)
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで
一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。
「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
ψアレゲな事を真面目にやることこそアレゲだと思う。
論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:4, 参考になる)
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。
次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。
また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。
# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとなったので5日後に公開したことを「発狂した」と称しているコメントも(海外なんかだと)みますが、そうは思いません。
MSが直す気がない(端的に言って「HCPプロトコルを有効にしているWindows XPマシンだけを対象」にしている脆弱性を最優先で修正するかというと微妙)のであれば、60日待ってから公開しようが、1日後に公開しようが同じです。
# MSは握りつぶすつもりである・何もしないつもりであると判断したならば。
# 60日という期間に意味はなく、MSが直すのであれば、直す日まで待てば良く、直す気がないのであれば即公開しても同じ。
そして、この脆弱性の回避策は「HCPプロトコルの登録を解除すること」です。
アタックされて困るユーザは(ヘルプへのリンクが切れるのを承知の上で)HCPプロトコルを使わないという対処が可能です。
決して回避策のない攻撃手法を公開したわけではありません。
# 現に、Tavis氏が6月9日に一般公開後、MSからFix-Itソリューションが提供されたのは、たった2日後です。
この前提条件の基で、Tavis氏の行動は非難されうるべきかどうかを考えなければ意味がありません。
上記の前提においても、被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、「無責任なネットイナゴ並みの思考」と非難できますか?
Re:論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃ (スコア:1, すばらしい洞察)
賛成します。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに
60日という期限に対し答えなかったのは
Microsoftは修正する気がなかったと判断されても
仕方ないのではないでしょうか
実際2日後にパッチが出せるなら、
60日内に完全な解決は無理かもしれないが、
2日後には不完全でもパッチを出せるから待って欲しい、
といったことをMicrosoft側も
Tavisさんに伝えられたはずなのにそれさえしなかった、
そういうことなのだと思います。
TavisさんはHPCプロトコルを使うのをやめれば
とりあえず問題が解決するということも伝えていたはずなので
その方法をユーザー登録している全てのユーザーに伝える
といったこともMicrosoftなら出来たはずです。
60日間待っても全く対応する気が無いと予想される状況だったなら、
60日待って公開するのは待っている時間の分、危険性を高めるだけです。
選択肢は永遠に公開しないか、すぐ公開するか、だと思います。
Re:論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃ (スコア:1)
FixIt は「一時的にその問題を回避するための処置」であり、それによる他への影響を一切考慮しないことが前提で提供されます。つまり、該当機能を利用していて業務上問題が発生するかもしれないが、とりあえずはこれで危険は回避できますという形での提供です。適用する側もそれを理解した上で行う必要があります。
ここには「回避できるかどうか」という点の検証だけがあれば十分で、OS の動作上致命的な問題が発生しないのであればすぐに公開できるものです。
また、こうした点から FixIt は KB としては提供されますが、Windows Update レベルで突然配布されるようなことはありません。
対して、60 日以内として求められていた修正は、該当の脆弱性のみを潰した上で他の機能に影響を与えない、または影響を与えても最小限で済むことが保証され、その上で様々な環境での動作テストが行われた状態でリリースされる事を前提としています。
Windows Update でリリースした日にいきなり数千万台以上にインストールされ、適用後にそれらのマシンが問題なく稼働する事を大前提とするものです。つまり、対応に求められるレベルがまったく異なるものです。
パッチを提供する (= リリースする) ということは、リリースのための工程にかかる期間も含めて考える必要がありますし、この場合求められているのは「60 日以内に Windows Update で提供される事」と考えていいでしょう。
これを考慮すると、責任ある立場から考えたら「60 日以内に修正をリリースする事を確約する」なんていうのはとてもではないけどできるようなものでは無いと思いますよ。
Tavis氏の行動は非難されうるべきでしょう (スコア:0)
問題の小さくできそうな一例だけ取り上げて「問題は小さいはずだ」と反論するのも詭弁ですね。
他の事例でもおなじ理屈で擁護できますか?
また、
>防御対応(アタックされたら困る人が対処できる)
という前提だけで語るのが間違っています。
多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。
対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。
そこでまだ修正されていない脆弱性を公開するのであれば、それは
Re:Tavis氏の行動は非難されうるべきでしょう (スコア:3, すばらしい洞察)
小さく出来そうな一例だけを取り上げたわけではありません。
親コメントはTavis氏の行動に対する意見であり、そのTavis氏のケースに対して反論するのは詭弁ですか?
個別に検討しなければ意味がないとする根拠は既に述べましたし、それに反論せずに無用に汎化するのは詭弁です。
# 個別に検討しようぜって言ってんのに「他でも同じ理屈でいけんの?」って人のコメント全く読んでないだろ
# そもそもサブジェクトに「Tavis氏の行動は」って前提つけといてそれ?
そんな前提だけで語っていません。
コメントで「被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、」としたのはその比較が重要だからです。
今回の事案ではそこがまさに争点になっています。
悪意あるユーザは脆弱性の情報には敏感であろうし、被害に遭うユーザ(対策をとらないユーザ)の大多数はそう言った情報をウォッチしていないだろうというのが、非難の対象となっています。
それに対して以下のような反論が、擁護側から出ています。(既出ですが念のため振り返っておきます)
・「重要な攻撃対象たり得る大企業や政府機関は、脆弱性情報をきちんとウォッチしている」
・「この手の脆弱性情報は、既に誰かが持っており、脆弱性情報市場では頻繁に売買される。最も攻撃しそうな人には既知である可能性が高い」
つまり、ざっくりと言えば「重要な対象を守るために、ライトユーザの被害には目をつむろう(被害の総量は少ないはずだ)」というものです。
# 大多数のユーザを危険にさらしても、ヘビーユーザを守るべきだ、と言い換えても同じ。
個人的には、これが正当化されるには以下が正しくなければ、主張できないと思っています。
・攻撃者は、(愉快犯・職業犯罪問わず)大多数に対する攻撃よりも、目標を絞った攻撃の傾向がある。
・一般に知られていない脆弱性を利用した攻撃被害額が「重要攻撃目標>それ以外の被害額の総量」である。
しかし、それらは単に信念の違いであるとか、データを取ってどちらが正しいかを検証するべき意見の相違でしかありません。
「無責任なネットイナゴ並みの思考」として、行動そのものが完全に間違っていると非難されるような性質のモノではないと思います。
# 少なくとも、訴訟社会で実名をさらして公開している人物を指して「ネットイナゴ並み」というのは相当な侮辱だと思う。
いいえ、正しくありません。
60日間での修正を求め、交渉が決裂したその日に公開しています。
何を持って短慮と指すかによりますが、セキュリティ研究者が善意で5日間交渉した結果そう判断したのであれば、信用に足ると思います。
# 結果論でしかありませんが、MSは公開後2日でFix-Itを公開しています。これは一般公開しなければ提供されなかったであろうものです。
こうした行動に対して「見つけても黙ってろ」というのには信念として従えないが、訴訟リスクには備えたい、としてMSRCを結成したというのがストーリーでしょう。
# セキュリティベンダに通報してもMSからの訴訟リスクは残る上に、そのセキュリティベンダの顧客にしか伝わらない。
# セキュリティベンダ連合を作って、それに参加する重要施設・企業だけに流す、とかも解決策の一つではあるかな。
Re: (スコア:0)
Re: (スコア:0)
kousokubus 氏の意見はよくわかるが詳細な脆弱性情報をわざわざ公開した理由は何でしょうか?
企業・機関を守りたいだけなら脆弱性の簡単な情報と対策方法だけ公開すればよかったのではないでしょうか?
※わざわざ「Full Disclosure」メーリングリストに情報を公開したところに
Tavis 氏に対する疑念があるのですが……
Re:Tavis氏の行動は非難されうるべきでしょう (スコア:1, フレームのもと)
そりゃ、人のコメント読んでないんだから見えないだろうよ。
擁護してないし。どの辺が擁護なんだ?
「一般公開する必要性や正当性」は、以下の部分。
氏の行動が正しかったか否かを検証するポイントではないかと上げたのが以下の部分。
氏の行動が間違っていたとした場合、どうすべきだったかの対案としてあげたのが以下の部分。
(#1794058)のコメントで主張したいのは以下の部分。
対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
# 対案無く非難するダケってまさしくネットイナゴ思考だしな
その場合「MSが黙っている間に発電施設のような重要目標がクラックされる可能性は低いし、その可能性と比較して一般人がクラックされた場合の被害の方が大きい」という主張なんだよな?それソースは?
検証無く自明のこととして、Tavis氏を非難するに足り得るの?彼が無責任でネットイナゴ並みって言えるほどに?
Re: (スコア:0)
>対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
だれもいっていないそんな主張を妄想して批判の種にするとは
まさに典型的な詭弁ですね
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2)
セキュリティの脆弱性はなんであれ公開が基本じゃないですか? そのためにCERTやらがあるんだと思ってました。
パッチが確実に提供されるなら公開延期もあり、という感じで。MSに連絡して一週間たたずに公開するのは確かに問題かもしれませんけど。
# MSRCというネーミングには確かに悪意があるかもしれない
Re: (スコア:0)
信用のあるベンダは極秘に脆弱性情報を手に入れているらしい。
もちろん相応の謝礼は必要だけれど、そうやって日々新しいウィルスソフトを開発しているようだ。
というのは冗談ですが。
こういった情報が必要なのはセキュリティベンダだけじゃないですよ。
3つの脆弱性のうち3つ目はよくわからなかったけれど、1つ目はファイアーウォールで、2つ目はレジストリの書き換えで対処出来そうで、PoCで行った対策が有効か確認できます。
セキュリティベンダだけに教えるのもいいですが、情報が欲しけりゃセキュリティベンダとサポート契約を結べ(金払え)ってことにもなるわけです。
また、詳細を公開することで、発見者が気が付かなかった応用的な手法が発見されるかもしれません。
といっても、今の時代、もう少し業界でルール作りなどしてほしいところですが、どうしても自社の利益を考えてしまうMSとそれを良しとしない人たちの間で亀裂が生じてしまうのも事実なようです。
あまり正義ばかり振りかざさず、もう少し平和な解決ができればよいのですけれど。
Re: (スコア:0)
研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスク
リスク? なにが?
軽減すると共に
リスク(かどうかもよくわからないもの)を軽減してどんだけ新たなリスクを顕在化させたんだよ。
MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る 可能性を提供した訳なんだが
じゃあセキュリティソフトベンダーにだけ通告しろよ
Re: (スコア:0)
理性的、かつ論理的思考を持とうよ。
ゼロデイ脆弱性強制公開擁護論は、仮定の状況を理由に現実を極めて危険な状況に
陥れているだけだと気付かないのか?
> 今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
> 最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
まるで見たように言っているけれど、発見者の報告した脆弱性がそうやって取引されて
いるということを確認したの?
そして使われていることを確認したの?
完全な想像で語っていない?
ちなみに、MSの場合、そうやって
Re: (スコア:0)
問題を他のことに例えるのは、分かりやすいですが、
時に本質を見失うと思います
>県や農水省の対応が期待どおりじゃなかったから、
>知らない誰かが何かいい方法を教えてくれるかもしれない可能性に期待して、
>口蹄疫にかかった牛を連れて全国を旅してまわってみるみたいなもの。
という例えですが
今回のは、自分で攻撃の参考になる情報を公開しただけで自分でやったわけじゃないし、
例えるなら、
(例えるのは良くないと言っておいてなんですが)
口蹄疫ウイルスを手に入れて日本中にばらまく人間がいる可能性があるのに
報道した
だと思います。
さらに、以降はフレームのもとになるのを覚悟で書きま
Re: (スコア:0)
Re: (スコア:0)
やってることが「今すぐ税金の無駄遣いをやめろ。さもないと○○省を爆破する。~4日経ったから爆破した。」レベルだからねぇ。
株主でも役員でも一般ユーザーでもない人間が製品のファーストプライオリティを勝手に決定するなんて全くおかしな話だ。
法廷で争ったら普通に脅迫罪で負けるね。
Re: (スコア:0)
それ読むと
>ゼロデイ脆弱性を公開した際に Microsoft から非難を受けた
ではなく
>かなりの批判的な報道 [threatpost.com]を受けた。
になってる。
どゆこと?