パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Heartbleed脆弱性発表から1か月、現在も脆弱性の影響を受けるサーバーは30万件以上」記事へのコメント

  • いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?
    内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。
    損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。

    「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。

    # この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)

    • by Anonymous Coward

      インターネットに公開されているウェブサイトに対し、
      人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて
      特に掘り下げることなく取得可能であった情報を
      統計的に解析してみることに何の問題がありましょうや?

      それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、
      今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。

      貴兄が従前属していた業界では抜き打ち検査というのは
      「何日何時から抜き打ち検査をしますのでよろしくお願いします」
      と事前連絡があるものだったのですか?
      護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。

      #今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました

      • by Anonymous Coward

        別に本件に限ったことではなく、内容によって線引きはあるかもしれませんが、一律問題無いと思いますか?
        もし、スキャンがバージョンチェック程度で無く、メモリの内容読んでみて判断とかだったらどうですか?

        抜き打ち検査が何を意図しているのか図りかねますが、WEB業界だとして、事前に打ち合わせも無くスキャンするのは意味無いですし、誰が何の目的でそんなことするんでしょう。
        大抵の場合、検査のクライアントはサービスを運営する側ですし、ユーザが利用してる状態のサーバにスキャン掛けさせるなんて、よっぽどの事が無い限りやらないと思います。サービス停止やユーザに被害が出たら損失が大き過ぎますし。

        私の認識では、スキャンを攻撃の初まりと捉えて、IPS等で検知次第、該当攻撃の調査、必要なら遮断や影響範囲の確認等、例え脆弱性が対策済みでもやる事はあると思います。
        もっともこの問題の場合は、スキャンが大量そうなんでIPS側で一律遮断とかにするとは思いますが。

        • by Anonymous Coward

          リモートからのスキャンでメモリまで読まれる方が悪い。ザルザルじゃねーか。
          リモートからスキャン掛けられただけでシステムが落ちるかもとか、クオリティ低くて酷すぎ。
          そして実態調査などいくらでも有意義勝つ合理的なやる理由はある。

          つーか、IPSレベルで検知して対応で手間がかかってる時点でダメだし、その程度の
          攻撃は挨拶代わりに常時食らってるもの。今更手間が増えるなんてほどじゃない。
          sslの通信全部ISPで止めるとかアホすぎる。脆弱性があるかどうかは一度つなぐだけで解るし。
          不正パケット投げてメモリの中身らしきものが帰ってくればそれで解る。攻撃なら有効な中身が
          得られるまで繰り返す必要あるけどね。

          まー、どんなところに就職したか知らないけど、その時代遅れの牧歌的サイバーノーガード意識は
          とっとと捨てないとろくな技術者にはなれませんよ。

          # 無許可リンク禁止に通じるマインドを感じるなぁ。

          • by Anonymous Coward

            どんなところに就職したか知らないけど、法律は守れよ。

            # 鍵がかかってない家なら侵入される方が悪いレベルのいい訳ですね。

            • by Anonymous Coward

              どんな田舎から……いやいや。

              そりゃ鍵掛けてなきゃ掛けてない方『にも』問題はありますがな。
              そこに見られてまずいものを置いちゃいけません。

              法律云々に関しては私は詳しくありませんが #2597981 が結論だと思います。

              # どっかで作業しないと……

              • by Anonymous Coward

                全く結論じゃねーよ。

                たとえば、街をあるいて目に見える範囲で情報収集している人を見て、不審人物だと騒いで警備員を雇ったとしてもそれは対策する側の勝手であり、ただ街を歩いている人に費用請求はできないし、その人が何を理由に行動しているか想像出来ないからと言って行動を制限できるはずもない。

                今回の問題は不審人物ってレベルじゃないぞ。この脆弱性があるか確かめるには実際に攻撃して情報を抜き取ってみるしか確かめる方法がない。例えるなら実際にスリができるか財布を抜き取ってみて、財布は返すから問題ないって言ってるようなもの。こんなの許すってのは攻撃が合法って言ってるようなものだ。#2598074の言うろくな技術者ってのが何を指すのか分からんが、もう少し外に出てみろよ。

              • by Anonymous Coward

                ちなみに、何の法律に触れるとお考えなんでしょうか?

                不正アクセス防止法?
                でも、パスワードをクラックしているわけじゃないし
                アクセス制御機能の回避には当たらないですよね?

                そもそも、アクセス制御されてないわけですし・・・ね

              • by Anonymous Coward

                なぜ不正アクセス禁止法が関係ないと思ったのか。
                不正アクセス「防止」法なんて言うくらいだから、分かってないんだろうな。

                三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

                秘密鍵や他ユーザのパスワードなどオープンでない情報を不正に漏洩させる指令を送信しているってのはアクセス制御機能の回避じゃないのかい?

              • by Anonymous Coward on 2014年05月12日 9時08分 (#2598544)

                いやだから、「秘密鍵や他ユーザのパスワードなどオープンでない情報」がパスワード等で守られていないので、アクセス制御機能に該当しないでしょって話なんですが・・・

                親コメント
              • by Anonymous Coward

                秘密鍵はパスワードで守られていない?
                わざと言ってるんじゃなければ救いようがない大馬鹿者だな。
                お前が現実世界で技術者を名乗っていないことを祈るよ。

                SSHなりコンソールなりでログインしなければ取得し得ない情報じゃないのか?
                お前のサーバの秘密鍵は公開情報か?
                それとも脆弱性が存在すれば取得できるから公開情報と言ってるのか?

              • by Anonymous Coward

                何をそんなに怒っているのか・・・
                そもそも、SSLで守っているものが流出しているのではないのですが・・・
                あなたの秘密鍵は公開されててSSLで守られているの?

                運用見直したほうがいいんじゃね?

                公開されていない場所に保管しておくでしょ
                それが公開されちゃっていますよと。
                そして、国外から抜き取られてますよと

                だからさっさと、対処しろと周知するのは当然でしょーに

                パッチあてたくない管理者なの?
                注意喚起されると困る人なの?

                ぼくだったらあなたが管理するシステムは使いたくないな

                サイバーノーガード万歳
                実態把握はなくてオッケー
                パッチ適用しない(秘密鍵変更しない)

                ですむわけなかろうに・・・

                さあ、こんなところで油売ってないでさっさとパッチを当てる作業に戻るんだ!

              • by Anonymous Coward

                IT 弁護士「Heartbleed の診断チェックは違法に当たるだろう」~倫理的に行動し、最大 10 年の刑務所生活を勝ち取ろう(The Register)
                http://scan.netsecurity.ne.jp/article/2014/04/18/34016.html [netsecurity.ne.jp]

                お前がどんなに屁理屈こねようが世間には通用しないんだが、ひきこもり自称エンジニアにはそれが分からんのだろうな。だからもっと外に出て常識を身につけろと。

              • by Anonymous Coward

                そんなライターよりもSymantecが詳しく解説してくれてますよ。
                http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heart... [symantec.com]
                消費者は利用するサイトをスキャンするようすすめてますね。
                http://safeweb.norton.com/heartbleed [norton.com]

                TRENDMICROもこんなブログ書いちゃってますよ。
                http://blog.trendmicro.co.jp/archives/8927 [trendmicro.co.jp]

                日本の企業でも、京都府警から感謝状もらってるような企業がこんなサイト作ってますよ。
                http://ssl.white.hacker.jp/hb/hb [hacker.jp]?

                他にもたくさん・・・。
                これだけ大々的にやってるわ

              • by Anonymous Coward

                不正アクセス禁止法言ってる時点で今回の問題を理解してないんだからほっとけよ

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...