アカウント名:
パスワード:
いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。
「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。
# この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)
インターネットに公開されているウェブサイトに対し、人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて特に掘り下げることなく取得可能であった情報を統計的に解析してみることに何の問題がありましょうや?
それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。
貴兄が従前属していた業界では抜き打ち検査というのは「何日何時から抜き打ち検査をしますのでよろしくお願いします」と事前連絡があるものだったのですか?護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。
#今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました
別に本件に限ったことではなく、内容によって線引きはあるかもしれませんが、一律問題無いと思いますか?もし、スキャンがバージョンチェック程度で無く、メモリの内容読んでみて判断とかだったらどうですか?
抜き打ち検査が何を意図しているのか図りかねますが、WEB業界だとして、事前に打ち合わせも無くスキャンするのは意味無いですし、誰が何の目的でそんなことするんでしょう。大抵の場合、検査のクライアントはサービスを運営する側ですし、ユーザが利用してる状態のサーバにスキャン掛けさせるなんて、よっぽどの事が無い限りやらないと思います。サービス停止やユーザに被害が出たら損失が大き過ぎますし。
私の認識では、スキャンを攻撃の初まりと捉えて、IPS等で検知次第、該当攻撃の調査、必要なら遮断や影響範囲の確認等、例え脆弱性が対策済みでもやる事はあると思います。もっともこの問題の場合は、スキャンが大量そうなんでIPS側で一律遮断とかにするとは思いますが。
リモートからのスキャンでメモリまで読まれる方が悪い。ザルザルじゃねーか。リモートからスキャン掛けられただけでシステムが落ちるかもとか、クオリティ低くて酷すぎ。そして実態調査などいくらでも有意義勝つ合理的なやる理由はある。
つーか、IPSレベルで検知して対応で手間がかかってる時点でダメだし、その程度の攻撃は挨拶代わりに常時食らってるもの。今更手間が増えるなんてほどじゃない。sslの通信全部ISPで止めるとかアホすぎる。脆弱性があるかどうかは一度つなぐだけで解るし。不正パケット投げてメモリの中身らしきものが帰ってくればそれで解る。攻撃なら有効な中身が得られるまで繰り返す必要あるけどね。
まー、どんなところに就職したか知らないけど、その時代遅れの牧歌的サイバーノーガード意識はとっとと捨てないとろくな技術者にはなれませんよ。
# 無許可リンク禁止に通じるマインドを感じるなぁ。
どんなところに就職したか知らないけど、法律は守れよ。
# 鍵がかかってない家なら侵入される方が悪いレベルのいい訳ですね。
どんな田舎から……いやいや。
そりゃ鍵掛けてなきゃ掛けてない方『にも』問題はありますがな。そこに見られてまずいものを置いちゃいけません。
法律云々に関しては私は詳しくありませんが #2597981 が結論だと思います。
# どっかで作業しないと……
全く結論じゃねーよ。
たとえば、街をあるいて目に見える範囲で情報収集している人を見て、不審人物だと騒いで警備員を雇ったとしてもそれは対策する側の勝手であり、ただ街を歩いている人に費用請求はできないし、その人が何を理由に行動しているか想像出来ないからと言って行動を制限できるはずもない。
今回の問題は不審人物ってレベルじゃないぞ。この脆弱性があるか確かめるには実際に攻撃して情報を抜き取ってみるしか確かめる方法がない。例えるなら実際にスリができるか財布を抜き取ってみて、財布は返すから問題ないって言ってるようなもの。こんなの許すってのは攻撃が合法って言ってるようなものだ。#2598074の言うろくな技術者ってのが何を指すのか分からんが、もう少し外に出てみろよ。
ちなみに、何の法律に触れるとお考えなんでしょうか?
不正アクセス防止法?でも、パスワードをクラックしているわけじゃないしアクセス制御機能の回避には当たらないですよね?
そもそも、アクセス制御されてないわけですし・・・ね
なぜ不正アクセス禁止法が関係ないと思ったのか。不正アクセス「防止」法なんて言うくらいだから、分かってないんだろうな。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
秘密鍵や他ユーザのパスワードなどオープンでない情報を不正に漏洩させる指令を送信しているってのはアクセス制御機能の回避じゃないのかい?
ちゃんと対応していれば>不正に漏洩させる指令を送信していることにはならないんじゃないの?
対応してないのであれば自衛のためにも知っておきたいというのがユーザーの心理だと思う。今回の件だとメモリに残さないために対応が確認できるまでログインしないとか。
何言ってんだか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
こっちスキャンすんなっ (スコア:0)
いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?
内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。
損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。
「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。
# この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)
Re: (スコア:1)
インターネットに公開されているウェブサイトに対し、
人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて
特に掘り下げることなく取得可能であった情報を
統計的に解析してみることに何の問題がありましょうや?
それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、
今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。
貴兄が従前属していた業界では抜き打ち検査というのは
「何日何時から抜き打ち検査をしますのでよろしくお願いします」
と事前連絡があるものだったのですか?
護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。
#今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました
Re: (スコア:0)
別に本件に限ったことではなく、内容によって線引きはあるかもしれませんが、一律問題無いと思いますか?
もし、スキャンがバージョンチェック程度で無く、メモリの内容読んでみて判断とかだったらどうですか?
抜き打ち検査が何を意図しているのか図りかねますが、WEB業界だとして、事前に打ち合わせも無くスキャンするのは意味無いですし、誰が何の目的でそんなことするんでしょう。
大抵の場合、検査のクライアントはサービスを運営する側ですし、ユーザが利用してる状態のサーバにスキャン掛けさせるなんて、よっぽどの事が無い限りやらないと思います。サービス停止やユーザに被害が出たら損失が大き過ぎますし。
私の認識では、スキャンを攻撃の初まりと捉えて、IPS等で検知次第、該当攻撃の調査、必要なら遮断や影響範囲の確認等、例え脆弱性が対策済みでもやる事はあると思います。
もっともこの問題の場合は、スキャンが大量そうなんでIPS側で一律遮断とかにするとは思いますが。
これは酷い (スコア:0)
リモートからのスキャンでメモリまで読まれる方が悪い。ザルザルじゃねーか。
リモートからスキャン掛けられただけでシステムが落ちるかもとか、クオリティ低くて酷すぎ。
そして実態調査などいくらでも有意義勝つ合理的なやる理由はある。
つーか、IPSレベルで検知して対応で手間がかかってる時点でダメだし、その程度の
攻撃は挨拶代わりに常時食らってるもの。今更手間が増えるなんてほどじゃない。
sslの通信全部ISPで止めるとかアホすぎる。脆弱性があるかどうかは一度つなぐだけで解るし。
不正パケット投げてメモリの中身らしきものが帰ってくればそれで解る。攻撃なら有効な中身が
得られるまで繰り返す必要あるけどね。
まー、どんなところに就職したか知らないけど、その時代遅れの牧歌的サイバーノーガード意識は
とっとと捨てないとろくな技術者にはなれませんよ。
# 無許可リンク禁止に通じるマインドを感じるなぁ。
あたま悪い (スコア:0)
どんなところに就職したか知らないけど、法律は守れよ。
# 鍵がかかってない家なら侵入される方が悪いレベルのいい訳ですね。
Re: (スコア:0)
どんな田舎から……いやいや。
そりゃ鍵掛けてなきゃ掛けてない方『にも』問題はありますがな。
そこに見られてまずいものを置いちゃいけません。
法律云々に関しては私は詳しくありませんが #2597981 が結論だと思います。
# どっかで作業しないと……
Re: (スコア:0)
全く結論じゃねーよ。
たとえば、街をあるいて目に見える範囲で情報収集している人を見て、不審人物だと騒いで警備員を雇ったとしてもそれは対策する側の勝手であり、ただ街を歩いている人に費用請求はできないし、その人が何を理由に行動しているか想像出来ないからと言って行動を制限できるはずもない。
今回の問題は不審人物ってレベルじゃないぞ。この脆弱性があるか確かめるには実際に攻撃して情報を抜き取ってみるしか確かめる方法がない。例えるなら実際にスリができるか財布を抜き取ってみて、財布は返すから問題ないって言ってるようなもの。こんなの許すってのは攻撃が合法って言ってるようなものだ。#2598074の言うろくな技術者ってのが何を指すのか分からんが、もう少し外に出てみろよ。
Re: (スコア:0)
ちなみに、何の法律に触れるとお考えなんでしょうか?
不正アクセス防止法?
でも、パスワードをクラックしているわけじゃないし
アクセス制御機能の回避には当たらないですよね?
そもそも、アクセス制御されてないわけですし・・・ね
Re: (スコア:0)
なぜ不正アクセス禁止法が関係ないと思ったのか。
不正アクセス「防止」法なんて言うくらいだから、分かってないんだろうな。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
秘密鍵や他ユーザのパスワードなどオープンでない情報を不正に漏洩させる指令を送信しているってのはアクセス制御機能の回避じゃないのかい?
Re:あたま悪い (スコア:0)
ちゃんと対応していれば
>不正に漏洩させる指令を送信している
ことにはならないんじゃないの?
対応してないのであれば自衛のためにも知っておきたいというのがユーザーの心理だと思う。
今回の件だとメモリに残さないために対応が確認できるまでログインしないとか。
Re: (スコア:0)
ちゃんと対応していれば
>不正に漏洩させる指令を送信している
ことにはならないんじゃないの?
何言ってんだか。