アカウント名:
パスワード:
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとなったので5日後に公開したことを「発狂した」と称しているコメントも(海外なんかだと)みますが、そうは思いません。MSが直す気がない(端的に言って「HCPプロトコルを有効にしているWindows XPマシンだけを対象」にしている脆弱性を最優先で修正するかというと微妙)のであれば、60日待ってから公開しようが、1日後に公開しようが同じです。# MSは握りつぶすつもりである・何もしないつもりであると判断したならば。# 60日という期間に意味はなく、MSが直すのであれば、直す日まで待てば良く、直す気がないのであれば即公開しても同じ。
そして、この脆弱性の回避策は「HCPプロトコルの登録を解除すること」です。アタックされて困るユーザは(ヘルプへのリンクが切れるのを承知の上で)HCPプロトコルを使わないという対処が可能です。決して回避策のない攻撃手法を公開したわけではありません。# 現に、Tavis氏が6月9日に一般公開後、MSからFix-Itソリューションが提供されたのは、たった2日後です。
この前提条件の基で、Tavis氏の行動は非難されうるべきかどうかを考えなければ意味がありません。
上記の前提においても、被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、「無責任なネットイナゴ並みの思考」と非難できますか?
賛成します。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに60日という期限に対し答えなかったのはMicrosoftは修正する気がなかったと判断されても仕方ないのではないでしょうか
実際2日後にパッチが出せるなら、60日内に完全な解決は無理かもしれないが、2日後には不完全でもパッチを出せるから待って欲しい、といったことをMicrosoft側もTavisさんに伝えられたはずなのにそれさえしなかった、そういうことなのだと思います。
TavisさんはHPCプロトコルを使うのをやめればとりあえず問題が解決するということも伝えていたはずなのでその方法をユーザー登録している全てのユーザーに伝えるといったこともMicrosoftなら出来たはずです。
60日間待っても全く対応する気が無いと予想される状況だったなら、60日待って公開するのは待っている時間の分、危険性を高めるだけです。選択肢は永遠に公開しないか、すぐ公開するか、だと思います。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに 60日という期限に対し答えなかったのは Microsoftは修正する気がなかったと判断されても 仕方ないのではないでしょうか
FixIt は「一時的にその問題を回避するための処置」であり、それによる他への影響を一切考慮しないことが前提で提供されます。つまり、該当機能を利用していて業務上問題が発生するかもしれないが、とりあえずはこれで危険は回避できますという形での提供です。適用する側もそれを理解した上で行う必要があります。 ここには「回避できるかどうか」という点の検証だけがあれば十分で、OS の動作上致命的な問題が発生しないのであればすぐに公開できるものです。
また、こうした点から FixIt は KB としては提供されますが、Windows Update レベルで突然配布されるようなことはありません。
対して、60 日以内として求められていた修正は、該当の脆弱性のみを潰した上で他の機能に影響を与えない、または影響を与えても最小限で済むことが保証され、その上で様々な環境での動作テストが行われた状態でリリースされる事を前提としています。
Windows Update でリリースした日にいきなり数千万台以上にインストールされ、適用後にそれらのマシンが問題なく稼働する事を大前提とするものです。つまり、対応に求められるレベルがまったく異なるものです。 パッチを提供する (= リリースする) ということは、リリースのための工程にかかる期間も含めて考える必要がありますし、この場合求められているのは「60 日以内に Windows Update で提供される事」と考えていいでしょう。 これを考慮すると、責任ある立場から考えたら「60 日以内に修正をリリースする事を確約する」なんていうのはとてもではないけどできるようなものでは無いと思いますよ。
問題の小さくできそうな一例だけ取り上げて「問題は小さいはずだ」と反論するのも詭弁ですね。他の事例でもおなじ理屈で擁護できますか?
また、>防御対応(アタックされたら困る人が対処できる)という前提だけで語るのが間違っています。多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。そこでまだ修正されていない脆弱性を公開するのであれば、それは
小さく出来そうな一例だけを取り上げたわけではありません。親コメントはTavis氏の行動に対する意見であり、そのTavis氏のケースに対して反論するのは詭弁ですか?個別に検討しなければ意味がないとする根拠は既に述べましたし、それに反論せずに無用に汎化するのは詭弁です。# 個別に検討しようぜって言ってんのに「他でも同じ理屈でいけんの?」って人のコメント全く読んでないだろ# そもそもサブジェクトに「Tavis氏の行動は」って前提つけといてそれ?
また、>防御対応(アタックされたら困る人が対処できる)という前提だけで語るのが間違っています。
そんな前提だけで語っていません。コメントで「被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、」としたのはその比較が重要だからです。
多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。そこでまだ修正されていない脆弱性を公開するのであれば、それは大多数のユーザーを危険にさらす無差別テロを推奨しているような行為です。
今回の事案ではそこがまさに争点になっています。悪意あるユーザは脆弱性の情報には敏感であろうし、被害に遭うユーザ(対策をとらないユーザ)の大多数はそう言った情報をウォッチしていないだろうというのが、非難の対象となっています。それに対して以下のような反論が、擁護側から出ています。(既出ですが念のため振り返っておきます)・「重要な攻撃対象たり得る大企業や政府機関は、脆弱性情報をきちんとウォッチしている」・「この手の脆弱性情報は、既に誰かが持っており、脆弱性情報市場では頻繁に売買される。最も攻撃しそうな人には既知である可能性が高い」つまり、ざっくりと言えば「重要な対象を守るために、ライトユーザの被害には目をつむろう(被害の総量は少ないはずだ)」というものです。# 大多数のユーザを危険にさらしても、ヘビーユーザを守るべきだ、と言い換えても同じ。
個人的には、これが正当化されるには以下が正しくなければ、主張できないと思っています。・攻撃者は、(愉快犯・職業犯罪問わず)大多数に対する攻撃よりも、目標を絞った攻撃の傾向がある。・一般に知られていない脆弱性を利用した攻撃被害額が「重要攻撃目標>それ以外の被害額の総量」である。
しかし、それらは単に信念の違いであるとか、データを取ってどちらが正しいかを検証するべき意見の相違でしかありません。「無責任なネットイナゴ並みの思考」として、行動そのものが完全に間違っていると非難されるような性質のモノではないと思います。# 少なくとも、訴訟社会で実名をさらして公開している人物を指して「ネットイナゴ並み」というのは相当な侮辱だと思う。
>MSは握りつぶすつもりである・何もしないつもりであると判断したならば。というのも、たった4日で対応できなければ公開するような短慮な人間の判断を信用して良いんですか?私にはとても信用できません。
いいえ、正しくありません。60日間での修正を求め、交渉が決裂したその日に公開しています。
6月5日--Tavis氏がMicrosoftと連絡を取り、60日間で修正するよう求める。6月5日~9日--Tavis氏とMicrosoftがパッチ提供までの期間について議論し、合意に到らずに終わる。6月9日--Tavis氏が情報を一般に公開する。6月11日--Microsoftが自動的に緩和策を適用するFix-Itソリューションを提供する。
何を持って短慮と指すかによりますが、セキュリティ研究者が善意で5日間交渉した結果そう判断したのであれば、信用に足ると思います。# 結果論でしかありませんが、MSは公開後2日でFix-Itを公開しています。これは一般公開しなければ提供されなかったであろうものです。
こうした行動に対して「見つけても黙ってろ」というのには信念として従えないが、訴訟リスクには備えたい、としてMSRCを結成したというのがストーリーでしょう。# セキュリティベンダに通報してもMSからの訴訟リスクは残る上に、そのセキュリティベンダの顧客にしか伝わらない。# セキュリティベンダ連合を作って、それに参加する重要施設・企業だけに流す、とかも解決策の一つではあるかな。
kousokubus 氏の意見はよくわかるが詳細な脆弱性情報をわざわざ公開した理由は何でしょうか?企業・機関を守りたいだけなら脆弱性の簡単な情報と対策方法だけ公開すればよかったのではないでしょうか?
※わざわざ「Full Disclosure」メーリングリストに情報を公開したところに Tavis 氏に対する疑念があるのですが……
長文で擁護されていますが、 問答無用で一般公開する必要性や正当性は相変わらず全く見えませんね
そりゃ、人のコメント読んでないんだから見えないだろうよ。擁護してないし。どの辺が擁護なんだ?
「一般公開する必要性や正当性」は、以下の部分。
つまり、ざっくりと言えば「重要な対象を守るために、ライトユーザの被害には目をつむろう(被害の総量は少ないはずだ)」というものです。# 大多数のユーザを危険にさらしても、ヘビーユーザを守るべきだ、と言い換えても同じ。
氏の行動が正しかったか否かを検証するポイントではないかと上げたのが以下の部分。
氏の行動が間違っていたとした場合、どうすべきだったかの対案としてあげたのが以下の部分。
# セキュリティベンダ連合を作って、それに参加する重要施設・企業だけに流す、とかも解決策の一つではあるかな。
(#1794058)のコメントで主張したいのは以下の部分。
「無責任なネットイナゴ並みの思考」として、行動そのものが完全に間違っていると非難されるような性質のモノではないと思います。# 少なくとも、訴訟社会で実名をさらして公開している人物を指して「ネットイナゴ並み」というのは相当な侮辱だと思う。
対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?# 対案無く非難するダケってまさしくネットイナゴ思考だしなその場合「MSが黙っている間に発電施設のような重要目標がクラックされる可能性は低いし、その可能性と比較して一般人がクラックされた場合の被害の方が大きい」という主張なんだよな?それソースは?検証無く自明のこととして、Tavis氏を非難するに足り得るの?彼が無責任でネットイナゴ並みって言えるほどに?
>対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
だれもいっていないそんな主張を妄想して批判の種にするとはまさに典型的な詭弁ですね
セキュリティの脆弱性はなんであれ公開が基本じゃないですか? そのためにCERTやらがあるんだと思ってました。パッチが確実に提供されるなら公開延期もあり、という感じで。MSに連絡して一週間たたずに公開するのは確かに問題かもしれませんけど。
# MSRCというネーミングには確かに悪意があるかもしれない
研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスク
リスク? なにが?
軽減すると共に
リスク(かどうかもよくわからないもの)を軽減してどんだけ新たなリスクを顕在化させたんだよ。
MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る 可能性を提供した訳なんだが
じゃあセキュリティソフトベンダーにだけ通告しろよ
問題を他のことに例えるのは、分かりやすいですが、時に本質を見失うと思います
>県や農水省の対応が期待どおりじゃなかったから、>知らない誰かが何かいい方法を教えてくれるかもしれない可能性に期待して、>口蹄疫にかかった牛を連れて全国を旅してまわってみるみたいなもの。
という例えですが今回のは、自分で攻撃の参考になる情報を公開しただけで自分でやったわけじゃないし、例えるなら、(例えるのは良くないと言っておいてなんですが)
口蹄疫ウイルスを手に入れて日本中にばらまく人間がいる可能性があるのに報道した
だと思います。
さらに、以降はフレームのもとになるのを覚悟で書きま
やってることが「今すぐ税金の無駄遣いをやめろ。さもないと○○省を爆破する。~4日経ったから爆破した。」レベルだからねぇ。株主でも役員でも一般ユーザーでもない人間が製品のファーストプライオリティを勝手に決定するなんて全くおかしな話だ。法廷で争ったら普通に脅迫罪で負けるね。
それ読むと>ゼロデイ脆弱性を公開した際に Microsoft から非難を受けたではなく>かなりの批判的な報道 [threatpost.com]を受けた。になってる。どゆこと?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:0, 荒らし)
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2, すばらしい洞察)
MSに非公開で脆弱性を連絡し、60日間での修正を求めたところは問題ない。
ただ、MSと修正を出すまでの期間で要求が受け入れられなかったので、
正常な判断を失い、最初の連絡からたった4日めで脆弱性を公開したということ。
全然、氏の行動を擁護できる筋は存在しない。
最初はユーザのことを考えて60日間という期限を切ったということと、
実際には4日めで公開して多くのユーザを危険にさらしたという行為が
まったく矛盾している。
強制公開するなら、最初の自分の要求である60日を過ぎたときだろ。
無知じゃない人なら、それは理解できるはずだ。
無智無恥な人なら、氏が正しいと思うかもしれない。
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:1, 参考になる)
今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
『絶対に直せない』」、つまりその期間内だったら確実に使える、と分かっている類の物な訳で。
今回公開されたことで、研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスクを
軽減すると共に、MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
可能性を提供した訳なんだが、それでも無責任と言えるの?
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2, すばらしい洞察)
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで
一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。
「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
ψアレゲな事を真面目にやることこそアレゲだと思う。
論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:4, 参考になる)
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。
次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。
また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。
# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとなったので5日後に公開したことを「発狂した」と称しているコメントも(海外なんかだと)みますが、そうは思いません。
MSが直す気がない(端的に言って「HCPプロトコルを有効にしているWindows XPマシンだけを対象」にしている脆弱性を最優先で修正するかというと微妙)のであれば、60日待ってから公開しようが、1日後に公開しようが同じです。
# MSは握りつぶすつもりである・何もしないつもりであると判断したならば。
# 60日という期間に意味はなく、MSが直すのであれば、直す日まで待てば良く、直す気がないのであれば即公開しても同じ。
そして、この脆弱性の回避策は「HCPプロトコルの登録を解除すること」です。
アタックされて困るユーザは(ヘルプへのリンクが切れるのを承知の上で)HCPプロトコルを使わないという対処が可能です。
決して回避策のない攻撃手法を公開したわけではありません。
# 現に、Tavis氏が6月9日に一般公開後、MSからFix-Itソリューションが提供されたのは、たった2日後です。
この前提条件の基で、Tavis氏の行動は非難されうるべきかどうかを考えなければ意味がありません。
上記の前提においても、被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、「無責任なネットイナゴ並みの思考」と非難できますか?
Re:論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃ (スコア:1, すばらしい洞察)
賛成します。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに
60日という期限に対し答えなかったのは
Microsoftは修正する気がなかったと判断されても
仕方ないのではないでしょうか
実際2日後にパッチが出せるなら、
60日内に完全な解決は無理かもしれないが、
2日後には不完全でもパッチを出せるから待って欲しい、
といったことをMicrosoft側も
Tavisさんに伝えられたはずなのにそれさえしなかった、
そういうことなのだと思います。
TavisさんはHPCプロトコルを使うのをやめれば
とりあえず問題が解決するということも伝えていたはずなので
その方法をユーザー登録している全てのユーザーに伝える
といったこともMicrosoftなら出来たはずです。
60日間待っても全く対応する気が無いと予想される状況だったなら、
60日待って公開するのは待っている時間の分、危険性を高めるだけです。
選択肢は永遠に公開しないか、すぐ公開するか、だと思います。
Re:論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃ (スコア:1)
FixIt は「一時的にその問題を回避するための処置」であり、それによる他への影響を一切考慮しないことが前提で提供されます。つまり、該当機能を利用していて業務上問題が発生するかもしれないが、とりあえずはこれで危険は回避できますという形での提供です。適用する側もそれを理解した上で行う必要があります。
ここには「回避できるかどうか」という点の検証だけがあれば十分で、OS の動作上致命的な問題が発生しないのであればすぐに公開できるものです。
また、こうした点から FixIt は KB としては提供されますが、Windows Update レベルで突然配布されるようなことはありません。
対して、60 日以内として求められていた修正は、該当の脆弱性のみを潰した上で他の機能に影響を与えない、または影響を与えても最小限で済むことが保証され、その上で様々な環境での動作テストが行われた状態でリリースされる事を前提としています。
Windows Update でリリースした日にいきなり数千万台以上にインストールされ、適用後にそれらのマシンが問題なく稼働する事を大前提とするものです。つまり、対応に求められるレベルがまったく異なるものです。
パッチを提供する (= リリースする) ということは、リリースのための工程にかかる期間も含めて考える必要がありますし、この場合求められているのは「60 日以内に Windows Update で提供される事」と考えていいでしょう。
これを考慮すると、責任ある立場から考えたら「60 日以内に修正をリリースする事を確約する」なんていうのはとてもではないけどできるようなものでは無いと思いますよ。
Tavis氏の行動は非難されうるべきでしょう (スコア:0)
問題の小さくできそうな一例だけ取り上げて「問題は小さいはずだ」と反論するのも詭弁ですね。
他の事例でもおなじ理屈で擁護できますか?
また、
>防御対応(アタックされたら困る人が対処できる)
という前提だけで語るのが間違っています。
多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。
対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。
そこでまだ修正されていない脆弱性を公開するのであれば、それは
Re:Tavis氏の行動は非難されうるべきでしょう (スコア:3, すばらしい洞察)
小さく出来そうな一例だけを取り上げたわけではありません。
親コメントはTavis氏の行動に対する意見であり、そのTavis氏のケースに対して反論するのは詭弁ですか?
個別に検討しなければ意味がないとする根拠は既に述べましたし、それに反論せずに無用に汎化するのは詭弁です。
# 個別に検討しようぜって言ってんのに「他でも同じ理屈でいけんの?」って人のコメント全く読んでないだろ
# そもそもサブジェクトに「Tavis氏の行動は」って前提つけといてそれ?
そんな前提だけで語っていません。
コメントで「被害の拡大(悪意有るユーザの攻撃)と、防御対応(アタックされたら困る人が対処できる)とを比較して、」としたのはその比較が重要だからです。
今回の事案ではそこがまさに争点になっています。
悪意あるユーザは脆弱性の情報には敏感であろうし、被害に遭うユーザ(対策をとらないユーザ)の大多数はそう言った情報をウォッチしていないだろうというのが、非難の対象となっています。
それに対して以下のような反論が、擁護側から出ています。(既出ですが念のため振り返っておきます)
・「重要な攻撃対象たり得る大企業や政府機関は、脆弱性情報をきちんとウォッチしている」
・「この手の脆弱性情報は、既に誰かが持っており、脆弱性情報市場では頻繁に売買される。最も攻撃しそうな人には既知である可能性が高い」
つまり、ざっくりと言えば「重要な対象を守るために、ライトユーザの被害には目をつむろう(被害の総量は少ないはずだ)」というものです。
# 大多数のユーザを危険にさらしても、ヘビーユーザを守るべきだ、と言い換えても同じ。
個人的には、これが正当化されるには以下が正しくなければ、主張できないと思っています。
・攻撃者は、(愉快犯・職業犯罪問わず)大多数に対する攻撃よりも、目標を絞った攻撃の傾向がある。
・一般に知られていない脆弱性を利用した攻撃被害額が「重要攻撃目標>それ以外の被害額の総量」である。
しかし、それらは単に信念の違いであるとか、データを取ってどちらが正しいかを検証するべき意見の相違でしかありません。
「無責任なネットイナゴ並みの思考」として、行動そのものが完全に間違っていると非難されるような性質のモノではないと思います。
# 少なくとも、訴訟社会で実名をさらして公開している人物を指して「ネットイナゴ並み」というのは相当な侮辱だと思う。
いいえ、正しくありません。
60日間での修正を求め、交渉が決裂したその日に公開しています。
何を持って短慮と指すかによりますが、セキュリティ研究者が善意で5日間交渉した結果そう判断したのであれば、信用に足ると思います。
# 結果論でしかありませんが、MSは公開後2日でFix-Itを公開しています。これは一般公開しなければ提供されなかったであろうものです。
こうした行動に対して「見つけても黙ってろ」というのには信念として従えないが、訴訟リスクには備えたい、としてMSRCを結成したというのがストーリーでしょう。
# セキュリティベンダに通報してもMSからの訴訟リスクは残る上に、そのセキュリティベンダの顧客にしか伝わらない。
# セキュリティベンダ連合を作って、それに参加する重要施設・企業だけに流す、とかも解決策の一つではあるかな。
Re: (スコア:0)
Re: (スコア:0)
kousokubus 氏の意見はよくわかるが詳細な脆弱性情報をわざわざ公開した理由は何でしょうか?
企業・機関を守りたいだけなら脆弱性の簡単な情報と対策方法だけ公開すればよかったのではないでしょうか?
※わざわざ「Full Disclosure」メーリングリストに情報を公開したところに
Tavis 氏に対する疑念があるのですが……
Re:Tavis氏の行動は非難されうるべきでしょう (スコア:1, フレームのもと)
そりゃ、人のコメント読んでないんだから見えないだろうよ。
擁護してないし。どの辺が擁護なんだ?
「一般公開する必要性や正当性」は、以下の部分。
氏の行動が正しかったか否かを検証するポイントではないかと上げたのが以下の部分。
氏の行動が間違っていたとした場合、どうすべきだったかの対案としてあげたのが以下の部分。
(#1794058)のコメントで主張したいのは以下の部分。
対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
# 対案無く非難するダケってまさしくネットイナゴ思考だしな
その場合「MSが黙っている間に発電施設のような重要目標がクラックされる可能性は低いし、その可能性と比較して一般人がクラックされた場合の被害の方が大きい」という主張なんだよな?それソースは?
検証無く自明のこととして、Tavis氏を非難するに足り得るの?彼が無責任でネットイナゴ並みって言えるほどに?
Re: (スコア:0)
>対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
だれもいっていないそんな主張を妄想して批判の種にするとは
まさに典型的な詭弁ですね
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2)
セキュリティの脆弱性はなんであれ公開が基本じゃないですか? そのためにCERTやらがあるんだと思ってました。
パッチが確実に提供されるなら公開延期もあり、という感じで。MSに連絡して一週間たたずに公開するのは確かに問題かもしれませんけど。
# MSRCというネーミングには確かに悪意があるかもしれない
Re: (スコア:0)
信用のあるベンダは極秘に脆弱性情報を手に入れているらしい。
もちろん相応の謝礼は必要だけれど、そうやって日々新しいウィルスソフトを開発しているようだ。
というのは冗談ですが。
こういった情報が必要なのはセキュリティベンダだけじゃないですよ。
3つの脆弱性のうち3つ目はよくわからなかったけれど、1つ目はファイアーウォールで、2つ目はレジストリの書き換えで対処出来そうで、PoCで行った対策が有効か確認できます。
セキュリティベンダだけに教えるのもいいですが、情報が欲しけりゃセキュリティベンダとサポート契約を結べ(金払え)ってことにもなるわけです。
また、詳細を公開することで、発見者が気が付かなかった応用的な手法が発見されるかもしれません。
といっても、今の時代、もう少し業界でルール作りなどしてほしいところですが、どうしても自社の利益を考えてしまうMSとそれを良しとしない人たちの間で亀裂が生じてしまうのも事実なようです。
あまり正義ばかり振りかざさず、もう少し平和な解決ができればよいのですけれど。
Re: (スコア:0)
研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスク
リスク? なにが?
軽減すると共に
リスク(かどうかもよくわからないもの)を軽減してどんだけ新たなリスクを顕在化させたんだよ。
MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る 可能性を提供した訳なんだが
じゃあセキュリティソフトベンダーにだけ通告しろよ
Re: (スコア:0)
理性的、かつ論理的思考を持とうよ。
ゼロデイ脆弱性強制公開擁護論は、仮定の状況を理由に現実を極めて危険な状況に
陥れているだけだと気付かないのか?
> 今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
> 最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
まるで見たように言っているけれど、発見者の報告した脆弱性がそうやって取引されて
いるということを確認したの?
そして使われていることを確認したの?
完全な想像で語っていない?
ちなみに、MSの場合、そうやって
Re: (スコア:0)
問題を他のことに例えるのは、分かりやすいですが、
時に本質を見失うと思います
>県や農水省の対応が期待どおりじゃなかったから、
>知らない誰かが何かいい方法を教えてくれるかもしれない可能性に期待して、
>口蹄疫にかかった牛を連れて全国を旅してまわってみるみたいなもの。
という例えですが
今回のは、自分で攻撃の参考になる情報を公開しただけで自分でやったわけじゃないし、
例えるなら、
(例えるのは良くないと言っておいてなんですが)
口蹄疫ウイルスを手に入れて日本中にばらまく人間がいる可能性があるのに
報道した
だと思います。
さらに、以降はフレームのもとになるのを覚悟で書きま
Re: (スコア:0)
Re: (スコア:0)
やってることが「今すぐ税金の無駄遣いをやめろ。さもないと○○省を爆破する。~4日経ったから爆破した。」レベルだからねぇ。
株主でも役員でも一般ユーザーでもない人間が製品のファーストプライオリティを勝手に決定するなんて全くおかしな話だ。
法廷で争ったら普通に脅迫罪で負けるね。
Re: (スコア:0)
それ読むと
>ゼロデイ脆弱性を公開した際に Microsoft から非難を受けた
ではなく
>かなりの批判的な報道 [threatpost.com]を受けた。
になってる。
どゆこと?