Kaspersky Internet Security のソースコードの一部がインターネットに流出 22
ストーリー by reo
それは残像だ 部門より
それは残像だ 部門より
ある Anonymous Coward 曰く、
セキュリティソフト Kaspersky Internet Security の 2007 年末時点でのソースコードがインターネットに流出したそうだ (本家 /. 記事、The H Security の記事より) 。
流出したコードは 2008 年初頭に Kaspersky 社に不満を持っていた元従業員によって持ち出されたと見られるものだそうで、ブラックマーケットへの販売も試みられていたという。ウイルス作者がこのコードを参考にした可能性もあるが、Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。
そもそも (スコア:5, おもしろおかしい)
Re:そもそも (スコア:2)
従業員によって簡単にソースコードを持ち出されてしまうようなセキュリティ体制だったわけですよね。
そんな会社が出すセキュリティソフトを信用していいんですかねぇ。
Re:昔から「紺屋の白袴」とか言いますからね。 (スコア:2)
社内システムがウイルスにやられて、一週間くらい社外と連絡が取れなかった
なんて話を複数聞いています。
ITベンダーの社内システムのIT化が進んでいうないとか
よくあるし。
Re:そもそも (スコア:1)
何をもって信用するかって話ですな。
高度かつ検証可能なコード/バイナリか否か。ってあたりが模範解答なのかな? 本来、制作者の人格に類するものは関係ありませんね。
まぁそんなもんどうやって知るんだってところで、おっしゃる通り「自分がそれで、他人にセキュリティ語れるの?」ってとこかなぁとは思います。
Re: (スコア:0)
セキュリティホールは存在するものですし、マルウェアの検出率は決して100%ではありませんし、ましてや、悪意あるコードが含まれている可能性だってあるのですよ。
実は・・・ (スコア:2, すばらしい洞察)
って発言の方が(内容の真偽にかかわらず)騒動になっていたような気がする。
Re:実は・・・ (スコア:2)
そりゃ騒動どころか事件だ
Re: (スコア:0)
アンチウイルスソフトベンダにいたときのものなら、(亜種も?)対策済みだろうし。
てのは勘違いですか?
Re:実は・・・ (スコア:1)
研究用にウイルスを作成することは別にあっても良さそうなことですから
(既存の脆弱性があるがウイルスは存在しない、という時にその脆弱性を突くウイルスを作成してみる、というのはアンチウイルスベンダーとしては真っ当な仕事だと思うの)
むしろ必要な証拠は「そういうウイルスを野に放った」かどうかですね。
ユーザーは不安を感じる必要はない (スコア:0)
> Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。
「MS-IMEは日本で作られています(キリッ」並みに斜め上の言い訳だ。
Re:ユーザーは不安を感じる必要はない (スコア:1)
今回出回ったのは社内見学に来た小学生にも見せるような機密性のないデータで、機密のデータは別途完璧に分けてます、とか後から言い訳はいくらでも出来るけど・・・。
Re: (スコア:0)
> 盗まれたのが、デジタル署名に使う秘密鍵だったりしたら、
そんなもの即座に失効させれば済む話でしょ。VeriSignだってMicrosoftを自称する馬の骨に証明書をあげちゃったことがあります。
むしろこのルート証明書を失効させたら混乱が起きるのでできません、ってほうがヤバい(プライバシーマークの更新審査的な意味で)。
Re: (スコア:0)
> デジタル署名
> VeriSign
> Microsoft
> ルート証明書
親コメントを表示したら広告がMSDNのキャンペーンとグローバルサインのコードサイニング証明書とSSL証明書になったインタレストマッチぶりに感動した。
いや (スコア:0)
不安はどうやっても感じるだろそりゃ。
「今回はたまたま大丈夫だった」って可能性とか、考えたらキリがないんじゃないか。
抜本的な改善策を提示しないと安心なんてとてもとても…
Re: (スコア:0)
ユーザは(関連ストーリーにもある)去年のトラブルで十分に不安を感じているでしょうし、
今回の件程度であれば最早どうと言う事も無いと思いますw
http://srad.jp/security/article.pl?sid=10/10/21/0350208 [srad.jp]
おそロシア (スコア:0)
ソースコードよりも、会社の待遇に不満を持っていて、かつそいつが腕があったとして、ホワイトハッカー→ブラックハッカー(細かい言葉のツッコミ不要。ニュアンス的なものとして)になった方が問題なのではないかと。
つまり「のちの『ダースベーダー』誕生の瞬間である」ってヤツですな。
ソース(コード)の出所がネットだ (スコア:0)
謎の行動心理 (スコア:0)
Re:謎の行動心理 (スコア:1)
とりあえず発表を信じる前提でもパターンは色々考えられて
・元社員も評価する知識がなく適当に持ち出し、買うほうも買ってから中身の価値が低いことを知った
・元社員は価値が低いことを知っていたがそれを隠して売買し、買うほうは買ってから中身の価値が低いことを知った
・元社員は価値が低いことを知っており、売買もそれを前提に行われたが、買ったほうはその内容よりも「ソースコードが漏れた」という事実の方が重要だった
・そもそも「保護機能など重要な部分」などない!
#そもそも元社員が重要な機能のソースに触れる権限が無かった、のであれば
#(漏れたこと自体で最終評価は落ちるものの)会社のシステムとして
#漏洩に対する防護はあったということになる……と言えなくもない……よね?
Re: (スコア:0)
流石に平社員が簡単にアクセスできる場所に、ソースコードをまるまる置いていたりはしないんじゃないかな?
多分……きっと……恐らく……だといいな……。
Re: (スコア:0)
「ま、ちょっとは覚悟しておけ」が抜けてる
しかしトレンドマイクロとカスペルスキーはネタの宝庫っすなあ (スコア:0)
T/O