インターネットへの投稿
記事番号00192へのフォローを投稿します。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
2月7日に、Akitaka HOSOMIさんは書きました。 >毎度。 > ># 今度は、こっちか。スレッドが跳んじゃって、ちょっと、面倒だなぁ ...... > > > >2月6日に、竹田 伸幸さんは書きました。 > >>#ちょっとやり直し。 >> >>2月4日に、Akitaka HOSOMIさんは書きました。 >> >>>で、内容が内容だけに、ユーザから信頼されるべき、サイト管理の立場にある者ならば、 >>>自分が知った特殊な情報の取り扱いとか他サイトへの配慮などは、当然必要である、と >>>考えるわけです。 >> >>本来、『危弱性の指摘』と『侵入方法の指摘』は異なるものです。 >>『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』 >>はアナウンスするべきではありません。 >> >>例えば、米国CERT/CC とか JPCERT/CC とかの『危弱性の指摘』の内容を >>みて侵入方法がわかる人って限られます。 >> >>また、現在は、スキャンツールが簡単に手に入ってしまうという事実を >>忘れてはいけません。 >>市販されているセキュリティ監査ツールは、使い方を誤れば、スキャン >>ツールとして利用できてしまいます。 >> >>有名なのだと、ちょっと古いけど SATAN なんていう WWWブラウザで >>利用できるセキュリティ監査ツールがありますね。 >>指定したホストの*既知の*セキュリティホールを見つけてくれる >>ものです。 >> >>あくまでバージョンなどから、既に知られている問題の有る設定や >>ソフトウェアが動いていないか調べるだけです。知識がなくても >>そのホストには、どんな問題が有るかはわかるでしょう。ただ、 >>問題を指摘するだけです。 >> >>問題が有るとわかっても、それでどうやったら侵入できるかという >>のには、それなりの知識が必要です。 >> >>実際、米国CERT/CC とか JPCERT/CC とかが『危弱性の指摘』の内容を >>アナウンスすると、それを試みたと思われる不正アクセスが増えることは >>広く知られています。しかし、実際に侵入経路までわかっていてアクセス >>するのはごく一部ですあるのも事実です。 >> >># 例えば、『○○には財宝が間違いなく眠っている。』って、報道 >># されれば、もの好きな連中が探しにいくかも知れませんが、実際 >># にも知られず財宝見つけられる人なんて、限られますよねぇ。 >># それと同じ話 :) >> >>古い qpopper のセキュリティホールや phf の問題を、一般の人が >>知っても、それで具体的にどう侵入するかわかり、実際侵入できる >>人は少ないでしょう。 >> >># qpopper のバッファオーバフローさせて、コードを送り込む >># なんて、16進数ダンプリストを直接、読んだり書いたりできる >># 人でないと最低限無理でしょうねぇ。 >> >>インターネットマガジンや INTERNET watch などでも、セキュリティ >>ホールをアナウンスすることもありますね。 >>そのアナウンスで、問題が有ることは、多くの人に知られるけど >>どう攻撃するかわかる人は限られるでしょう。 >> >>侵入するような人はアンダグランドで継っているので、するような >>人は、CERT などでアナウンスされる前に気づいているかもしれません。 >> >>スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて >>しまうという現状では、それを前提で、考えなければいけません。 >> >> >>もちろん、『侵入方法の公開』なんてのは問題外です。 >> >>そういう意味で、昔 Windows NT でサーバ権限を乗っとる方法が有ると >>アナウンスされたことがありましたが、 >>それだけでなく、 具体的なソフトまで雑誌とかで紹介されたのは、 >>何だかなぁとは思います。 > > >竹田さんの言われる、『危弱性の指摘』と『侵入方法の指摘』との区別↓、 > >>『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』 >>はアナウンスするべきではありません。 > >これは、その通りであると、わたしも同じように考えています。 > >ただ、危弱性の指摘については、これは、本来、サーバのプログラムを利 >用する上での問題点を指摘すれば良いだけの話しであって、それと判るよ >うな具体的なサイトまで巻き込んでしまうのは、このような公開された会 >議室の投稿記事としては、やはり、少し配慮が足りなかったのではなかろ >うか?と思っています。 > > >もし、このわたしが、その手のアブナイ連中の一員であるとしましょうか。 > >わたしなら、近くでそれらしき手ごろな情報を目にすれば、実際にそのサ >イトの防備が堅いの甘いのに関係なく、まずはチャレンジということで、 >早速、仲間に連絡して、明日からでも、アタックレースを始めてしまうか >も知れません。 > >さらには、自分では、無理でも、仲間のオタッキーな誰かが、偶然にせよ、 >必然にせよ、実際に成功してしまうかも知れないのです。 > > >しかしながら、現実には、わたしがそういう行動をとるかどうか?や、実 >際に、そういうアブナイ連中と繋がりを持っているかどうか?は、このわ >たし以外には、判らないわけですよね。 > >もし仮に、わたしがアブナイ連中の仲間だと判断されてしまった場合、そ >の判断基準は、一体、だれの判断基準を用いたものなのでしょう。また、 >そのことに対して弁明するチャンスすら与えられずに、私が接続に使った > IP アドレス がアヤシイのだ、などとサイト管理者から疑われても良い >ものなのでしょうか? > > >実際、相手を疑い出したら、キリがないとは思いませんか? > >このような疑心暗鬼に基づく相互不信こそが、その手のアブナイ連中以上 >に、参加型のネットワークに対する直接的な脅威になり得ると、わたしは >考えています。 > >そのため、その手のアブナイ連中の、ことさら大きな影ではなく、等身大 >の姿をキチンと把握しておく必要がある、と、わたしは考えています。 > > > >で、よく判らないので、お聞きしたいのですが、竹田さんは、 > >>スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて >>しまうという現状では、それを前提で、考えなければいけません。 > >と、記事の中で、ポートスキャンを受けることへの危険性を指摘されてい >ます。 > >しかしながら、 > > アタックなり侵入なりの具体的な方法が判る者は、ごく限られている > >と、実害を被るような場合は稀、とも受け取れる指摘も、同時に、行なわ >れています。 > > > >で、実際のところ、 > > ポートスキャンを受けたことは、アブナイ連中の脅威と結びつけて警戒し > なければならない危険な行為なのか? > >それとも、 > > スキャンされたところで、実害には、殆ど結びつき難いので、然程、心配 > する必要もないのか? > >どちらなのでしょう?
cavin@cavin.co.jp
Last Update: 27 April 2022