新規記事投稿 フォロー記事投稿 記事のキャンセル
From: 竹田 伸幸 <takeda@ses.co.jp>
Subject: Re: インターネット病
Date: 1999/02/06 18:31:51
Reference: internet/00185

#ちょっとやり直し。

2月4日に、Akitaka HOSOMIさんは書きました。

>で、内容が内容だけに、ユーザから信頼されるべき、サイト管理の立場にある者ならば、
>自分が知った特殊な情報の取り扱いとか他サイトへの配慮などは、当然必要である、と
>考えるわけです。

本来、『危弱性の指摘』と『侵入方法の指摘』は異なるものです。
『危弱性の指摘』は広くアナウンスするべきであるが『侵入方法の指摘』
はアナウンスするべきではありません。

例えば、米国CERT/CC とか JPCERT/CC とかの『危弱性の指摘』の内容を
みて侵入方法がわかる人って限られます。

また、現在は、スキャンツールが簡単に手に入ってしまうという事実を
忘れてはいけません。
市販されているセキュリティ監査ツールは、使い方を誤れば、スキャン
ツールとして利用できてしまいます。

有名なのだと、ちょっと古いけど SATAN なんていう WWWブラウザで
利用できるセキュリティ監査ツールがありますね。
指定したホストの*既知の*セキュリティホールを見つけてくれる
ものです。

あくまでバージョンなどから、既に知られている問題の有る設定や
ソフトウェアが動いていないか調べるだけです。知識がなくても
そのホストには、どんな問題が有るかはわかるでしょう。ただ、
問題を指摘するだけです。

問題が有るとわかっても、それでどうやったら侵入できるかという
のには、それなりの知識が必要です。

実際、米国CERT/CC とか JPCERT/CC とかが『危弱性の指摘』の内容を
アナウンスすると、それを試みたと思われる不正アクセスが増えることは
広く知られています。しかし、実際に侵入経路までわかっていてアクセス
するのはごく一部ですあるのも事実です。

# 例えば、『○○には財宝が間違いなく眠っている。』って、報道
# されれば、もの好きな連中が探しにいくかも知れませんが、実際
# にも知られず財宝見つけられる人なんて、限られますよねぇ。
# それと同じ話 :)

古い qpopper のセキュリティホールや phf の問題を、一般の人が
知っても、それで具体的にどう侵入するかわかり、実際侵入できる
人は少ないでしょう。

# qpopper のバッファオーバフローさせて、コードを送り込む
# なんて、16進数ダンプリストを直接、読んだり書いたりできる
# 人でないと最低限無理でしょうねぇ。

インターネットマガジンや INTERNET watch などでも、セキュリティ
ホールをアナウンスすることもありますね。
そのアナウンスで、問題が有ることは、多くの人に知られるけど
どう攻撃するかわかる人は限られるでしょう。

侵入するような人はアンダグランドで継っているので、するような
人は、CERT などでアナウンスされる前に気づいているかもしれません。

スキャンが誰でもできてしまい、サーバの危弱性は、簡単にばれて
しまうという現状では、それを前提で、考えなければいけません。


もちろん、『侵入方法の公開』なんてのは問題外です。

そういう意味で、昔 Windows NT でサーバ権限を乗っとる方法が有ると
アナウンスされたことがありましたが、
それだけでなく、 具体的なソフトまで雑誌とかで紹介されたのは、
何だかなぁとは思います。