アカウント名:
パスワード:
内部構成を踏まえて侵入可能かを確認した方が、それで侵入不可能と判断されるなら、その方が高い安全性を確認できるでしょ?
内部構成を知らせずにテストしてもらって侵入できなかったというだけで安心するようなアホに、個人情報を預かって欲しくないな。
「ファイル名さえわからなければアクセスされない」というTBCみたいな失態を演じるのは、あなたみたいな発想をする輩なんでしょうな。
また、IPアドレス自体はping等のコマンドで存在がわかるとしても、それだけでは自治体で使用しているかどうかわからないので黙っていれば攻撃対象になる確率を減らすことができます。
ですから、今回のように不用意にIPアドレス等の情報をメールで送ったことが問題だと考える人を笑うのはどうかと思います。
ん? この場合の IP Address てただ単に Web Server のでしょう? そんなもの誰でも簡単に調べられるのだから,IP Address を隠したとして何の利益があるの?
セキュリティー対策として、サーバーバージョン(OSやサービスプログラム等)を知られないようにするのは、crackerに極力情報を採取されないようにするために必要な対策だと思います。
必要なのかもしれないけど十分ではないよね。いくら隠したつもりでもバレてしまえば一巻の終わりだし,既知のホールなら順に試せばいいことだし。
私も、極端に減ると考えているわけではありません。
しかし、100%攻撃対象にならないようにする方法がない以上、攻撃対象になる確率が少しでも減るならその方がよいと思います。
攻撃する側がターゲットを絞っているとは限らないでしょ?
# そーゆー場合も無いとは言えんが。
サイトを公開するということは、少なくとも玄関がここにあるということを第3者に知らしめる行為です。そして相手(というか敵)は、自分の持ってる鍵でドアが開くかどうかを試したいだけ、ってのがほとんど。ましてやそれがWormならなおさら。
住所そのものに大して意味があるとは思えません。てゆーか、多くの人に知られて困る住所なら、そもそも公開すべきではないでしょう。
結局、戸締まりはきちっとしなきゃね、という当たり前の話になるだけかと。
# もともと知識がないので信頼できるSIを見極める事も難しいようだが # 困ったもんだ.... 何かあったときに責任を取ってくれるSIに委託すればOKでしょ。
もともと、IPアドレスとサーバーバージョンが知られたら困ると考えている事が可笑しい。大笑いです。
セキュリティーに対して知識がないので隠したくなる気持もわかりますが、このような知識のもち主は、普通、隠し方も知らないので困りますね。 でも、隠しても力技攻撃には無力だけどね。知ってるのかな、これくらいの事は? ほか理由としては、 ・コンピュータに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
文句を言う前に専門家に聞くべきだね (スコア:2, すばらしい洞察)
# 間違ったセキュリティー対策情報が質の低いSI/SEから発信されている!?
ネットワークセキュリティーの基礎用語のポートスキャンとかフィンガープリンティングとかをお勉強してもらわないと。勉強する気がないのなら信頼のおけるSIに任せるベキ。
# もともと知識がないので信頼できるSIを見極める事も難しいようだが
# 困ったもんだ....
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
現実のクラッカーと同じ立場でお願いしたいのですが」
と言われたので、
「別にそれでも構いませんが、
現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言ったコトあります。
Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
って内部構成を聞かなければ侵入テストできないんですか?
そんなプロに料金払いたくないなぁ。
「手がかりなしで侵入テストできるか」と「侵入してホントに悪さをする」というのは別の問題ですよ。
今回のように(IPアドレスだけではどうかと思いますけど)全く手がかりがないよりは、あったほうが断然クラックし易いと思いますが?
Re:文句を言う前に専門家に聞くべきだね (スコア:3, 興味深い)
ペネトレの意義ってやっぱり勘違いされているんだなあ、と改めて思います。
「侵入」が目的ではなくて、「侵入可能性の探」が目的であり、かつ、短時間に網羅的にやる必要がありますので、
当然、事前情報は可能な限り収集します。
フロントエンドのWWWサーバのクラックに成功するかしないか程度でテストが終了するなら、情報ナシでもいいかも
しれませんが、そういうわけではないですからね。(そういう「厨」なコンサル屋も良くいますが)
#クラッキングコンテストやってるんじゃないんですから。
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
から
> って内部構成を聞かなければ侵入テストできないんですか?
にどうやって話を繋げたかは謎ですねぇ。
構わないんだから内部構成を聞かなくても
侵入できるんじゃないんですかねぇ。
俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
そんなプロに料金払いたくないなぁ。
いえてる。そんな厨にお世話になりたくないな。
Re:文句を言う前に専門家に聞くべきだね (スコア:2, すばらしい洞察)
内部構成を踏まえて侵入可能かを確認した方が、それで侵入不可能と判断されるなら、その方が高い安全性を確認できるでしょ?
内部構成を知らせずにテストしてもらって侵入できなかったというだけで安心するようなアホに、個人情報を預かって欲しくないな。
「ファイル名さえわからなければアクセスされない」というTBCみたいな失態を演じるのは、あなたみたいな発想をする輩なんでしょうな。
boolean型の答えなのか? (スコア:1)
これだけで判断されるなら、意味がない。
内部構成を知ってこそ、意味があるんじゃねーの。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
ま、まさか盗聴していていいわけないですよ。
それは、
内部構成を教えるか教えないかと、
盗聴しつづけていいかどうかは無関係だからですよ。
まさか事前情報無しのときは悪事放題という会社ではありますまいな。
まず事前情報無しでテストして、
その結果を受けた後、更に情報アリでテストするってことはできないものでしょうか。
っつーか顧客側からはそのように願いたいものですが。
Re:文句を言う前に専門家に聞くべきだね (スコア:2, 興味深い)
そうですか?テスト環境にもよりますし、実際にやるかどうかはともかく、ですが、
本来であれば、ペネトレをやる以上は、盗聴や辞書攻撃してでも「クラックされる可能性があるか」を
探索するのは、目的からして当然のコトだと考えますが、いかがでしょうか。
盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
また、その担保にNDA契約等を締結しますよね。勝手放題するわけぢゃあないです。
> 内部構成を教えるか教えないかと、
> 盗聴しつづけていいかどうかは無関係だからですよ。
盗聴によって直接パスワードなどのクラックをするのでなくても、アドレス情報、ルーティング状況、ファイアウォール・ルータやIDS等の設置状況、
などなど、内部構成につながる情報は、盗聴(言葉が悪ければモニタリング)により、たくさん手に入るのではないでしょうか。
とてもじゃないが「無関係」とは思えません。
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
>「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
>現実のクラッカーと同じ立場でお願いしたいのですが」
>と言われたので、
>
>「別にそれでも構いませんが、
>現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
というやり取りから、
>盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
>勝手放題するわけぢゃあないです。
というニュアンスを感じ取ることができませんでした。
申し訳ない。
もしわたくしが客の立場で
>「別にそれでも構いませんが、
>現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言われたら、
そのように言ってくる人に仕事は依頼しないですし。
>Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
ってねぇ。
>盗聴や辞書攻撃してでも「クラックされる可能性があるか」を探索する
ような人が
>侵入したまま半年間盗聴していてもいいですか?
なんて言いますかねぇ。
少なくともわたくしには意味が通じないですけど。
オフトピで掘り下げるのも申し訳ないので、
これにて失礼させていただきます。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
「現実のクラッカーと同じ立場でお願いしたいのですが」
と言われたから、
「現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言ったということでは?
理解したくない心境だと理解力が低下する点に注意しましょう。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
オフトピだけど、このスレッドで何人の厨が釣れたことやら。
こんなところにも、件の自治体連中と同じ(低)レベルの
業界人が居るんだね。
さっさと資格検定制度でも作ってやってくれ>総務省 (嘘)
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
> その結果を受けた後、更に情報アリでテストするってことは
> できないものでしょうか。
それは検査にコストがかかるだけでは?
事前情報無しのテストの結果には、どんな意味があるのでしょう?
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
>> その結果を受けた後、更に情報アリでテストするってことはできないものでしょうか。
っつーか、「IPアドレスやOSの種類なんて時間かけてネチネチ調べればいず
Re:文句を言う前に専門家に聞くべきだね (スコア:1, 興味深い)
また、IPアドレス自体はping等のコマンドで存在がわかるとしても、それだけでは自治体で使用しているかどうかわからないので黙っていれば攻撃対象になる確率を減らすことができます。
ですから、今回のように不用意にIPアドレス等の情報をメールで送ったことが問題だと考える人を笑うのはどうかと思います。
Re:文句を言う前に専門家に聞くべきだね (スコア:3, すばらしい洞察)
ん? この場合の IP Address てただ単に Web Server のでしょう? そんなもの誰でも簡単に調べられるのだから,IP Address を隠したとして何の利益があるの?
必要なのかもしれないけど十分ではないよね。いくら隠したつもりでもバレてしまえば一巻の終わりだし,既知のホールなら順に試せばいいことだし。
IPアドレスを隠しても (スコア:1)
それと最近の攻撃は絨毯爆撃状態なので、IPアドレスを隠していても攻撃対象になりますし。私の地域ではCATVではDHCPをIPアドレスを割り当てられてますが、FreeBSDマシンをつないでログを試しにとってみたら、ポートスキャンとか不正侵入の跡がありました(それも外国から・・.相手が利用した学校までは突き止めました)。
サーバやサービスはともかくIPアドレスは全くの公開情報だと思いますね。もしIPアドレスを非公開だと言い張るなら、検索サービスやDNSからアドレス情報全部消してしまわないと意味無いです。
と、暗黙のうちにWWWサーバのグローバル・アドレスだと仮定して書いてましたが、重要なサーバにグローバルIPアドレス(それも連番で(^_^;))を割り振って運用してました、なんていう自治体が四つあったのかしら。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
> 知られないようにするのは、crackerに極力情報を採取されないようにするため
> に必要な対策だと思います。
確かにその通りです。
良いか悪いかは別にして、多分ショック療法を狙っ
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
そう思いたいのはわかるけど、間違ってるよ。
確率もそんなに減らないだろう。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
私も、極端に減ると考えているわけではありません。
しかし、100%攻撃対象にならないようにする方法がない以上、攻撃対象になる確率が少しでも減るならその方がよいと思います。
Re:文句を言う前に専門家に聞くべきだね (スコア:2, すばらしい洞察)
攻撃する側がターゲットを絞っているとは限らないでしょ?
# そーゆー場合も無いとは言えんが。
サイトを公開するということは、少なくとも玄関がここにあるということを第3者に知らしめる行為です。そして相手(というか敵)は、自分の持ってる鍵でドアが開くかどうかを試したいだけ、ってのがほとんど。ましてやそれがWormならなおさら。
住所そのものに大して意味があるとは思えません。てゆーか、多くの人に知られて困る住所なら、そもそも公開すべきではないでしょう。
結局、戸締まりはきちっとしなきゃね、という当たり前の話になるだけかと。
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
ま、電話番号リストが流出、しかも、各地方自治体の大代表、って、ニュースになるのかしら…って程度にしか思わんなあ。
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
公開WebサーバのIPアドレスを非公開(語弊あり)にした場合、単純に考えると、
・名前解決ができないcracker
・名前解決ができないworm
からの攻撃を回避できると思われます。
……意味ねぇぞ。
個人的には、「そのバージョン情報等は、匿名の電子メールで送付されてきた」
というところが引っかかってます。なんで匿名?
こんなリストが匿名で送られてきたら、そりゃ自治体の担当者も一瞬ビビるだろ。
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
wild wild computing
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
IPアドレスや、OSバージョンって、外部向けのサーバに関しては、基本的に知られているものとして判断しておくべきでは、ないんですか?
記事に出ているサーバが内部向けのサーバだったとしても、適切にファイアーウォール建てとけば、IPなどが知られたところで、どうしようもないし。
知られないに越したことはないけど
なんか、朝日の記事って、
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
> # 困ったもんだ.... 何かあったときに責任を取ってくれるSIに委託すればOKでしょ。
このコメントを読むと、名古屋あたりで「マンションの価格が下がった
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
技術的につっこまれると逆ギレしたり。
どこにでもいるんじゃないですかね。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
経験的に偉い人やITに明るくない人ほど隠蔽によるセキュリティを重視するような気がします。
技術的につっこまれると逆ギレしたり。
どこにでもいるんじゃないですかね。
セキュリティーに対して知識がないので隠したくなる気持もわかりますが、このような知識のもち主は、普通、隠し方も知らないので困りますね。
でも、隠しても力技攻撃には無力だけどね。知ってるのかな、これくらいの事は?
ほか理由としては、
・コンピュータに