未知のWindowsの脆弱性を探して賞金2万ドル 40
ストーリー by nabeshin
穴は大会まで大事に取っておく 部門より
穴は大会まで大事に取っておく 部門より
Full Disclosureより。Digital Armaments January-February Hacking Challengeが始まっています。これは各部門ごと2万ドルを賭けたWindows上のセキュリティホールを探すハッキングコンテストで、「Exploitable Vulnerability」「Working Exploit for Windows」「Windows Diffuse Application」という三部門が用意されています。単にセキュリティホールを探し出すだけでなく、デモコードや文書も用意する必要があります。〆切はアメリカ東部標準時の2008年2月28日です。
最近Windowsに対するゼロディ攻撃の報道を見かけなくなったような気がしますが、Microsoft社のセキュリティ意識の向上が功を奏しているのか、それとも単にアンダーグラウンドに出回って表面化しないだけなのでしょうか。
早速見つけましたよ (スコア:4, すばらしい洞察)
#既知ですか、そうですか。
Re: (スコア:0)
# OSの差異は関係ない。あいつらなんでもOKと実行をクリックしやがるっ
油断大敵 (スコア:1)
いつもは気を付けている人でも、ソーシャルエンジニアリング [itmedia.co.jp]に対しては油断してしまう場面って誰にでもありますよね。
# アレゲな人でも危ないってことで
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
Re: (スコア:0)
チャチャッチャチャッカチャッチャチャッカチャッチャチャッチャッチャッ♪
チャチャッチャチャチャチャッチャチャッカチャッカチャッカチャン♪
チャチャッチャチャチャチャッカチャッカチャン♪
ぼよ~ん
ヒマなときは鳴らしてましたw
Re: (スコア:0)
昔はあったらしいね。Macintoshファイル共有で、2バイト文字でディレクトリ
作成したらNTサーバが落ちたとか何とかって。詳しくは知らないけど。
>セキュリティホールやウィルスはWindowsにしか存在しないと思ってやがる・・・
そう思ってるMacユーザは、自分は大丈夫と思ってる、または関心の無い
Windowsユーザより圧倒的に少ないと思うよ。
#「未来のWindowsの脆弱性」って空目してしまった。
Re: (スコア:0)
恐らく、そういうお馬鹿Windowsユーザは、全Macユーザより多いよ。
Re: (スコア:0)
ですよ。
脆弱性の数、危険度なんてかなりのものです。
それに対するAppleの言い分。
「素晴らしい機能として設計したものだ」
「Windowsがこういうのに弱いのが悪いのだ」
Re: (スコア:0)
「これだからMacは・・・」ってよく言われたもんだよ。
Apple社製のWindows用ハードって何?
Appleのハードって、基本Mac用で、他でも使えるよってのだと思ってたけど。
iPod経由でウィルスが、とかの話なら、USBメモリなんかでも同じじゃない。
あれ、今年閏年だよな… (スコア:2, 参考になる)
と思ったが、ソース [seclists.org]はちゃんと
>be received by midnight EST on February 29, 2008.
になってんじゃん。
Re:あれ、今年閏年だよな… (スコア:1)
英語で "midnight on February 29" と言ったら「2月29日0時」と「2月29日23時59分59.99..秒」のどちらを表しているのか自明なんだろうか。
手元の辞書だと、midnightは「真夜中; 夜の12時」としか書かれていないので。
Re: (スコア:0)
日本標準時(JST)=GMT+9 アメリカ東部時間(EST)=GMT-5 その時差は14時間
つまり日本時間29日を締め切りだと思っていると遅れるけど、28日締め切りだと思っていれば間に合うという親心だったり....?
Re:あれ、今年閏年だよな… (スコア:1)
「2 月中」の意味で midnight on Feb 29 であれば日本時間は 3/1 になってるので、日本で 2 月中なのであればどうやっても間に合いますよ。
これが無ければ結構強固 (スコア:2, おもしろおかしい)
・「はい」ボタン
・「OK」ボタン
・「Yes」ボタン
・「Accept」ボタン
他になんかありましたっけ?
Re:これが無ければ結構強固 (スコア:3, おもしろおかしい)
処理をキャンセルしますか?
[OK] [キャンセル]
[OK]→処理をキャンセルしました。
[キャンセル]→処理をキャンセルしました。
[×]→処理をキャンセルしました。
Re:これが無ければ結構強固 (スコア:1)
・はい
・いいえ
・キャンセル
このまま終了するとデータは破棄されます。終了しますか?
・はい
・いいえ
・キャンセル
何年もWindows使ってるのに、間違えてデータ飛ばしちゃうことしばしば。
Re: (スコア:0)
Re:これが無ければ結構強固 (スコア:1)
…はもう最近は見なくなったか。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
Re: (スコア:0)
# FailとAbortの差異が解らなかったのも良い思い出
Re: (スコア:0)
「完了」ボタン
Re: (スコア:0)
さもありなん (スコア:2, 参考になる)
OSSもやればいいのに (スコア:1, すばらしい洞察)
せっかく公開されてても見る人が限定されてる状況下では非公開なのと大差ないので、多くの人に見る機会を与えることになって、それで脆弱性も見つかれば、一石二鳥。
Re:OSSもやればいいのに (スコア:3, おもしろおかしい)
Re: (スコア:0)
なお名前を載せる権利を得るが、ついでにバグ対策をする義務も与える。
Re:OSSもやればいいのに (スコア:2)
Re:OSSもやればいいのに (スコア:2, すばらしい洞察)
ソースを理解する人間が増える→開発者も増える
一石三鳥
Re: (スコア:0)
Re:OSSもやればいいのに (スコア:1)
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
使っているOSSが想定通りに動かないとか、誤動作するとか、
そいういう現象にぶつかったときに調べるためにその部分の
ソースを読むというケースがほとんどです。
正常に動作はするが脆弱性を抱えている部分に関しては、
ほとんど気づかれることはありません。
脆弱性を探すためだけにソースを読んでいるのは悪意の攻撃者で、
自分が悪用するためにだけ探していることが多いです。
ソースを理解できないものはソースを読むということすらしないので、
開発者になるというのもほとんどあり得ません。
開発にかかわっている人が、ソースを読むことでレベルアップする
ということはあると思いますが。
セキュリティーホールを探すためにソースコードを読むこと (スコア:1)
「セキュリティーホールの発見者に賞金を出すよ」と発表することでソースコードを読める人が増えるかどうかは、よくわからないので安易に結論に飛びつくことは避けますが。
そんなことはないのでは。「多い」という表現の捉え方の違いかもしれませんが。僕はソフトウェアのセキュリティーに興味があって、セキュリティーホールを探すためにソースコードを読んだことがあります。これによって「こいつ悪い奴じゃないの?」と判断されてしまうとしたら悲しいです。
OpenBSD では code auditing [openbsd.org] といって、特にバグが報告されているわけでもないコードを見直して、隠れたバグやセキュリティーホールを持つ個所を探すという習慣があります。
また、一般にソフトウェアのセキュリティーホールの発見者を見ているとソフトウェアセキュリティーを専門に扱う会社の社員であることがよくあります。そういう人は、ソースコードが公開されているソフトの場合、セキュリティーホールを探すためにソースコードを読むのではないでしょうか。
Re:OSSもやればいいのに (スコア:1, 参考になる)
「これはあれだから賞金支払い条件に満たない」とかなんとか言い出したので
発見者が怒って修正前に公開したとかいう事件があったような気がする。
Re:OSSもやればいいのに (スコア:1)
これの事かな。 Netscape/Mozillaにローカルファイル読みとりの脆弱性 [srad.jp]
別件かもしれませんが、ここで文句を言われてるのは Netscape の方ですね。続報は知らないんですが、これ結局支払わなかったんでしょうか?
で、ちょっと調べてみたんですが、上で出したストーリーで言及されてる "Bug Bounty Program" って Netscape と Mozilla それぞれ独自にやってたんですね。しかも Mozilla の方のプログラムはまだ生きてるっぽい。褒章にあずかったバウンティハンターは存在するんでしょうか。
Netscape Bug Bounty Program [archive.org]
Mozilla Security Bug Bounty Program(の歴史) [archive.org]
Mozilla Security Bug Bounty Program(の現在) [mozilla.org]
でも (スコア:0)
そりゃそうと (スコア:0)
Re: (スコア:0)
qq (スコア:0, 荒らし)
qqw (スコア:0, 荒らし)