なお、作りとしては、一例としてログインフォームで ID とパスワードを入力したら DB 上に「入力された ID と同一のレコードが存在する」「入力されたパスワードと同一のレコードが存在する」(同じレコードである必要はない) とログイン処理が成功するような意味不明な作りとかだったりしますので、いろんな意味でツッコミどころ満載のようです。
一から作り直し確定とか泣けすぎですね。
これを完全な部外者が行っていたとしたら、なんらかの脆弱性を突いてファイル操作等を行った上でシャットダウン「させた」となるでしょうが、テストを依頼されている状況でソースコードや DB までアクセス等が行える権限を持つアカウントが割り当てられており、OS の正常なシャットダウンを行える権限は持っていませんでした、と見るのはやや無理筋に思えます。
不合理な行動だったことを認めるわけですね。もし、ペネトレーションテストで落としたのであれば、それは不合理な行動にはなりません。したがって、#1954069 の AC の言う、落としたのはペネトレーションテストの一環という主張は嘘ということになります。テストが完了し、脆弱性を報告したのに対処が遅いから切れて(おそらくは不正アクセスで)本番系のサーバーを落としたということが再確認できました。
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。
まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止して修正するか、そのまま稼働させ続けるかを判断する」(稼働中のサービスは止めずにサービスを提供し続ける) という判断が下されました。
しかし、それではパスワードやクレジットカード番号 (暗号化されずに平文で保存されているのを確認済み) が容易に外部から取得可能 (攻撃可能な経路を確認済み) であるため、顧客情報を保護するためにも強制的に停止した、という流れがあります。
あと、一応その判断を下した上長と専務は同一人物であるかどうかはわかりません。(TL からは判断できません)
なお、作りとしては、一例としてログインフォームで ID とパスワードを入力したら DB 上に「入力された ID と同一のレコードが存在する」「入力されたパスワードと同一のレコードが存在する」(同じレコードである必要はない) とログイン処理が成功するような意味不明な作りとかだったりしますので、いろんな意味でツッコミどころ満載のようです。
一から作り直し確定とか泣けすぎですね。
強制シャットダウンを行ったのはその後の話ですし、その上で理解が浅い上司の下でその判断を覆す権限を持っていない状態でのせめてもの抵抗として行われたことですよ。
なお、その上司はその後「よく分かってないなら自分で判断せずに上に判断を仰げ」という指示を受けたようです。
選択可能なオプションとしては「さらにその上の人に掛け合う」と「強制的にシャットダウンする」辺りになるかと思いますが、組織的にはどちらが正しいと言えるのでしょう。さらに派遣という立場ではどうでしょうね。
その辺りは契約などもあるでしょうから容易に判断しかねますが、n_ayase 氏の言っていた「ベストではないにしろベターではあると信じている」という点についてはそれなりに同意できます。
Re: (スコア:0)
元コメントのACとは別ACです。
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異なる情シス部門や運用の社員という立場、という感じでしょうか。(報告することができ、かつ上長が無視という判断が行える + システムを落とすことができる、という辺りで)
その場合では状況次第の点も大きいですが、今回の問題のように「直接顧客に金銭的な被害が発生しうる」「他人の個人情報を容易に取得できる」「非利用者であっても容易に攻撃が可能」「そもそも機能の実装がまともではない」といったようなコンボが決まっている状況であれば、サービスを提供し続けることで深刻な問題が発生しかねない可能性があるのでシャットダウンするという選択肢もあり得るとは思いますね。
もちろん最終手段ではあるため、その他可能な手段を模索した上で他に手段がない場合だけだと思います。
サーバー側で保持している情報が /.jp よりさらに軽いレベル (そもそもユーザー登録がないような掲示板システム等) であったら、落とすほどの事はないだろうという事になりますし、単純にサービスを続行する事でのメリットとデメリットのバランスによる差でしょう。
サービスの提供を中断させる操作が可能であるということは、完全な部外者とはなりえないのが確定しないでしょうか。ですから「部外者が落とすのはダメ」と単純に想定することはできません。
このため、少なくとも外部の人よりは内部事情を知っている可能性は期待できるかと思います。
# さすがに完全な部外者がデーターセンターなどに押しかけて物理的に「シャットダウン」するのは色々無理があるでしょうし。
「本当に内部事情を知った上で判断したのか」という部分については、とりあえず「本当の部外者であるここでコメントしている人たち」からは、tweet から想像する程度の事しかできないかと思います。
また、「どこまで内部事情を知っていたら判断に必要な十分である」と認識できるかは、これもまた個々人の感覚によると思いますので、十分に知り得ていたかどうかについてはコメントを控えておきたいと思います。
今回の件では、おそらく上長のリスクに対する認識不足 (Web アプリが「想定通り」おかしな動作をしたところで、アンチウィルスソフトが入っているから防げるだろうという程度の認識) が最大の癌だとは思いますが、この点を認識していたのであれば、理解できるよう説明する努力が不足していた可能性は否定できないと思います。落としてから分かったのであればしょうがないところですが。
Re: (スコア:0)
通常のシャットダウンが行われたという認識ですか。
前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1, おもしろおかしい)
なんで?
# 落ちるまでがペネトレーションテストです。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
後のコメントで「jsp を退避後シャットダウンした」とのことで、物理的な破壊とか妙な攻撃などではなく、再度起動してもサービスがそのまま継続して提供される訳ではない (が、復旧自体は分かっていれば容易っぽい) という感じでしたよ。
これを完全な部外者が行っていたとしたら、なんらかの脆弱性を突いてファイル操作等を行った上でシャットダウン「させた」となるでしょうが、テストを依頼されている状況でソースコードや DB までアクセス等が行える権限を持つアカウントが割り当てられており、OS の正常なシャットダウンを行える権限は持っていませんでした、と見るのはやや無理筋に思えます。
えぇ、そういう解釈は確かに可能です。
しかし私の場合は、自社が提供しているサービスにおいてそのような致命的なセキュリティーホールがあるにも関わらず「来月の定例会議でどのようにするかを決める」と判断するような「アンチウィルスソフトが入ってるし大丈夫でしょ」などという上長により管理されている現場で、そのように厳密なアカウント管理を行っているとはとても考えられません。
その辺りからも「とりあえず必要なら使ってくれ」と root (または operator) 権限のパスワードまで教えていた可能性をまったく否定しません。
ついでに言うと、ペネトレーションテスト「しか」依頼されていないかどうかは知りませんので、「だからゲスト権限以外持っていなかったはずだ」と判断するのは早計に思えます。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1, 参考になる)
そのようなテストを実際にサービスを運用しているサーバーで実行するのは不合理ですね。システムをコピーして隔離されたテスト系を作り、そこで実行するのが合理的です。そして、今回のtwitter での発言をみると、「本番系サーバーをシャットダウン」と、わざわざ本番系サーバーと断っているわけです。テスト系でセキュリティホールを見つけたら、そこで得た知識を使って本番系のサーバーも落としに行くのがあなたの考えるペネトレーションテストなんでしょうか?
Re: (スコア:0)
Re: (スコア:0)
不合理な行動だったことを認めるわけですね。もし、ペネトレーションテストで落としたのであれば、それは不合理な行動にはなりません。したがって、#1954069 の AC の言う、落としたのはペネトレーションテストの一環という主張は嘘ということになります。テストが完了し、脆弱性を報告したのに対処が遅いから切れて(おそらくは不正アクセスで)本番系のサーバーを落としたということが再確認できました。
Re: (スコア:0)
合理的に考えるならな。でもあんたの考えは間違ってる。不合理な状況で不合理な複数の人間が不合理に行動する話なんだから、合理的な理屈はすべてま・ち・が・い。そもそも最終的に脆弱なシステムが止まってめでたしめでたし、巫女も逮捕されなくてよかったねって話だしな。それを認めたり認めなかったりできるのは当事者の社長さんだけだろ。
あと、不正アクセスにはたぶんできないね。彼女は少なくともペネトレする権限は持っていただろうし、その権限においてシステムにアクセスして落としたのだろうから。不正なのは彼女が切れる前にペネトレ権を剥奪しなかった方だろう。
Re: (スコア:0)
巫女の人の行動を合理的に擁護することは無理だということを認める、ということで合意に至ったようです。
ペネトレーションテストでもなく、ネットにアクセスしている時に偶然セキュリティホールがあるサービスを見つけ、報告したけど「その対策は会議をしてから」と言われたために、セキュリティホールをついてサーバーを破壊して落とした人がいたとします。そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
> そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?
逆に聞くけど「クレジット番号が容易に抜けるサーバを1ヶ月は放置します、と上に言われたから、言われたとおり従います。」
って話だったら、あなたは「めでたしめでたし」って言うんだ?実にすばらしい職業倫理をお持ちのようで。
Re: (スコア:0)
あれが「例え」に読めるのですか?他のケースでどういう判断をするかを尋ねることで、どういう基準で正当な行動かどうかを判断しているのかを確認しようとしているだけですが。
サービスを落とすか、言われた通り従うか、以外に選択肢があるというのが普通の答えでは。自分で書いていて、その馬鹿な二者択一に疑問を覚えないのですか?
Re: (スコア:0)
シャットダウンの認識あたりが判断の違いに結びついているということがわかって、あとは意見の相違はそれほどはないように思えるので、ほぼ解決ですね。
ここは「そう読める話を容認はできない」という話なので、それ以外の可能性が存在しないことを確認する必要はないのです。
Re: (スコア:0, 荒らし)
「例えばサーバをシャットダウンしたのではなく、破壊していたら?」っていう他のケースを聞いたんでしょ?どう見ても例えじゃん。
正に例えば、だけど「強盗を拘束する際に怪我を負わせた警官が居ました。とにかく拘束しないと他人が死ぬところでした」って言う話に
「まぁ怪我を負わせるくらい状況的に仕方ないよね」っていった人に「強盗を殺してても仕方ないって言うの?」って確
Re: (スコア:0)
「例え」という言葉を「比喩」の意味ではなく、「一例」の意味で使ったというのですか?「世のたとえにもれず」とか、昔の用法が残っている決まり文句ぐらいしか聞いたことないですね。
話が通じない上司が、なぜペネトレーションテストを頼むのでしょうか?何か変だと思わないのですか。ペネトレーションテストをやれ、とその上司に指示した人が別にいるんですよ。そこをたどっていくのが筋です。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
言及済みの結果論しかないんだ?
問題を認識し、依頼(発注)をしている人間に現場の人間は連絡を取る手段が用意されていない、なんていう状況はごく普通ですよ。
今回のも社長が偶々ツイートをみてたから連絡があって、事後初顔合わせで、「今後は」直接連絡するように言われた、というツイートがあったのでそれまでは連絡先を知らなかったと推測するのは妥当でしょう。
連絡をつけれるかもわからない、連絡がつけば問題なく止めれるかも分からない相手と連絡をとれば良かったなんてのは結果を見たから言える理想論ですよ。
Re: (スコア:0)
「ペネトレーションテストを指示した人を見つけて報告する」のは、一般的に通用するやり方であって、結果論ではありません。それがうまくいく可能性が高いのは、そのような指示をする人ならセキュリティに対する意識が高いという理由があるからです。
一方、サービスを無理やり落とすようなやり方は、うまくいく可能性はずっと低い。一般的には、そのような行為によってペネトレーションテストの実行を指示した人の社内での発言力は低下します。セキュリティに対する意識が高い人が失脚した結果、セキュリティホールが放置されたままサービスが続行される可能性だって十分ありますね。
Re: (スコア:0, フレームのもと)
「社長に直接連絡を取れる」が一般的?
学生か極小企業出身か、新入社員時点で役職付のエリートさんですか?
どちらにせよ、普通の範囲ではないですね。
大人と子供の違いは「大人は何でも出来ると思っているか否かだ」と言います。
常に正しい方法で何でも出来る、と思っているのは子供ですよ。
今回の場合、それでも社長に正しいセキュリティ意識があったから社長に連絡取れれば
で済んでいたと「結果的」に分かっていますが、その社長でさえ問題意識がなく、
オーナーに厳命されて仕方なく、であった場合さらにハードルがあがります。
それで
Re: (スコア:0)
「ペネトレーションテストを指示した人」が、一般的に社長とは限らないのだから、一般的に社長に連絡することになるわけがありません。仮に、自分が今やっているペネトレーションテストを指示した人は社長だということを、あらかじめ知らされていたのであれば、社長に連絡することは別に不思議なことではありません。
それは「連絡手段を作ろうとしても作れない事情がある」というケースがあるという話です。「連絡手段が用意されていない」、だから連絡できない、というのとはまったく違い
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?
「誰」かは分からないけど、世界のどこかに解決できる人が居るのは絶対だから、がんばって連絡手段を考えてたら必ずいつかは連絡が取れて大団円を迎えられます、なんてのは映画並みのご都合主義です。
該当モジュールを退避し、単純に起動するだけでは読み込まれないようにしているため、少なくとも情報系エンジニアを連れてこないとサービスの再開は出来ません。
巫女SEが拘留され、代わりに連行された情報系エンジニアが余程無能で従順でない限りは、そのまま再開させることはないでしょう。
ソースコードレベルのセキュリティホールなので、サービスを再開させずに検証可能ですし。
ようは「本番系でペネテやるのが論外」って話だけど、そんなの巫女SEの責任じゃないし(話を持ってこられた時点で、既にその状況だったんだから)巫女SEの立場だけに立って言えば「サーバを止める」と「一ヶ月放置」のどっちの悪を選択するかしかなかったの状況は変わってない。
あと巫女SEが虚偽を述べていると言いたげな書き方でもあるけど、それならいっそ「あのエピソード自体が虚偽」としてしまう方が妥当。
自分が非難するのに都合が悪いところだけを虚偽だと言うのは、それはもう「非難をするのだけが目的」にしか見えない。
ちなみに、SQLインジェクションが騒がれたころ、監査室的部署から「既にサービスインしているものにも速やかにセキュリティテストを行うこと」ってお達しがきましたよ。
実働部隊の偉い人たちは相当頭を悩ませて、私の知っている範囲ではだましすかし色々理由を作ってテストそのものを行いませんでしたが。
既にサービスインしている顧客に「監査室がやれっていうので、今からテスト環境の機器購入費を出すか、しばらくサービス止めさせてください」なんていえる訳ないし、言っても許可取れるわけないからね。
これは実働部隊と監査室の権限がほぼ同等だから通せてるけど、オーナーから求められました、とあっては相当困難でしょう。
そんななかで「既に赤字案件なのに(開発状況のツイートを見るに妥当な推測でしょう)テスト環境機器の費用なんて出せないし、本番機で直接やって問題が発生しなければ一番安くあがるよね」と判断するプロマネは、居ても不思議じゃないですよ。
もちろん、そのプロマネの職業倫理が正しいとは思わないけど、セキュリティのためならどんな赤字も許してくれるほど企業も甘くないからね。
何度も言うけど、そもそもそこの判断がどんなに間違っていようと、現場SEを責めるのは根本的にずれてるし。
もともとそうだろうな、と思っていたけど、確信しました。あなたIT業界の人じゃないですね。
root権限を奪取できるセキュリティホールはOSやミドルウェアといったインフラ系の不備で発生する可能性が高く(逆にこのレベルがしっかりしていればアプリ側がどんな下手を打っても防げる可能性もある)SQLインジェクションはインフラに関係なく、アプリの作りの悪さに起因するので、まったく別個に発生しますよ。
インフラの構築とアプリの開発が別の会社って事もよくある事だし、インフラ担当とアプリ担当でセキュリティ意識が全然違うってのも極普通です。
一般的に言って、アプリ開発者の方がセキュリティ意識は低いし。意識しかけるときりがないし、本格的にセキュリティ維持体制を構築すると開発費(人件費)に跳ねやすいのもアプリだから。
Re: (スコア:0)
実運用中のシステムでペネトレーションテストをやれと言われて従うのが普通と主張している人が、そんなことを主張しても説得力がないですね。だいたい、修理するために呼ばれたエンジニアに、細かい経緯なんか説明しないでしょう。「トチ狂った奴が起動できないようにしていったから直せ」と言うのが普通では。
つまり、ユーザーを危険にさらすようなテストは、技術者側でなんとかして回避しているというの
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
再度
これの答えがない限り、全然代替案を示したことになってないので、「越権シャットダウン」と「お上の言うとおりに放置」しかやっぱり選択肢ないですよ?
「その馬鹿な二者択一に疑問を覚えないのですか?」と聞いてきたあなたは当然他の合理的な選択肢を示せるんですよね?
「疑問を覚えたけど、答えは持ってない」ですか?だったら相手も「疑問は覚えたけど、他に選択肢を見つけられなかったから、その二者択一で聞いているのだろう」という位は思い至るべきだよね?
まぁ実際にその状況になるかというと、ここまでひどい案件を持ってくるほどにはうちの営業も鬼畜じゃないふうだし、万が一持ってこられても請けずに流せる程度には今は立場も弱くないと思っているので、その状況にならない自信はそれなりにありますが。
.
そんな人、居たっけ?
「従うのが普通」と「従わざる得ない状況が発生しうる」が別物である事くらいは常識的に分かることだけど。
以降も集合論的に同じ突込みを入れたいものばっかなんだけど、全部長々と返信書くと論拠全無視で結論にだけずれた返信しか返ってこないので割愛。
Re: (スコア:0)
ちょっと思い出して見に来てみたら、こんなことを書いていたのか。
まともな論者が二者択一を提示した場合は、「その馬鹿な二者択一に疑問を覚えないのですか?」と言われたときに、「他に合理的な選択肢はない、なぜなら……だからだ」と説明するものです。一方、まともではない論者は、相手に「他の合理的な選択肢を示せるのか」と尋ねてしまい、他に合理的な選択肢があるかどうか確認せずに二者択一を提示したことを暴露してしまうもので
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
そうそうに説明してますが? [srad.jp]
「論拠全無視で結論にだけずれた返信しか返ってこない」事が再度証明されただけですね。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
馬鹿げすぎているから、最初のターム以降読まないつもりだったんだけど、このレベルで理解してなかったのか、、、
取引先の社長と直連絡取れるのが一般的ではありえないと答えた筈ですが?
専務が出張ってきている状況なのだから、同等かそれ以上の役職者と連絡取れなきゃ話にならない訳で、よりお手軽な相手と連絡取れれば解決しうる、なんて想定が何度も言うように、お花畑の理想論。
そもそも「巫女SEの状況を言い当てろ」と言っている訳ではなく、あなただったらどういう状況を想定し、どのような解決プロセスを提示できるか、と聞いてるだけです。
はっきり言うけど、ドラマのような奇跡的に都合の良い状況を想定するか、常識的に考えてなさげなプロセスしか思いつかないんでしょ?
だから頑なに話しそらして答えることを避け続けてるんだよね。
無自覚だったら、性根から歪んでるんだろうね。多分。
『サービスを無理やり停止するのを「正しい」と主張』などしたことはありません。
「正しい」ことであることと、「せざる得ない状況である」ことの区別くらい付くよね?
巫女本人も、「どちらの悪を選択するか、という話です」と言っているとおり、その行為を正しいなどとは主張していません。
「実運用中のシステムでペネトレーションテストをやれ」と言われたエンジニアと、「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアでは抱えているコンテキストが全然違うからです。
っていうかこんなレベルから説明要るんですか?かなり根本的な部分で問題を理解して無いとしか、、、
後者のエンジニアがシステムを起動しないのはエンジニアの職権範囲で出来ることです。
なので越権行為も無く、セキュリティを維持できる選択肢があるという時点で、前者とは根本的にコンテキストが異なります。
システムに他人が変更を加えている以上、それなりの調査を行わないと起動できる状況に復旧できない訳で、無能でなければセキュリティ状況に問題があることに気づけるでしょう。(もっと無能であれば、復旧手順自体が調べきれない可能性もありますが)
その状況で営業なりに「今日中には起動できるって言っちゃったんだよ~」とか言われて従うのも「無能で従順」でしょう。
そもそも発注元や営業の問題で、現場SEの責任じゃねぇよっていうのは私が言い続けたたことで、現場SEの責任だといい続けたのはあなたの方でしょうが。
旗色悪いことに気づいたからって、しれっと将棋板ひっくり返すイカサマみたいな事してんじゃねーよ。
っていうか、何「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアと「越権シャットダウンを行わなかった」エンジニアを混ぜてんの?想定される人物は全然別人だよね?こんな事も区別付かなくなるくらい破綻してきた?