アカウント名:
パスワード:
どっちだろう?どっちもだった嫌だなw
どっちもじゃないですかねぇ。 セキュリティはさすがに「人並みに劣っている」だけだと思いますが、集中的に狙われているので被害が多発しているのでしょう。
# たぶん、狙われたら同じような状態に陥るところは多々あると思われ。前の職場も酷かったし(汗 # でも普通ここまで目を付けられないですからねぇ。 # 有名人税ってことなんでしょうが、その割には備えが甘かったって印象はあります。
こちらのページの情報が本当なら、「人並み」程度じゃなくかなり劣っていると思えます。
ソニーが抱えていた脆弱性http://ameblo.jp/seek202/entry-10895087134.html [ameblo.jp]
仮にそういう穴だらけのサイトがあって、危険だから即刻停止して改修するように現場の人が上にかけあっても、「わしには技術のことは良く分からん。なんかわからんけど、来月の会議の議題に取り上げるよう上に申請するから、とりあえず現状維持。」みたいな間違った指示を出すような、技術力も判断力も行動力も皆無な経営患部がいたりするだけじゃないの?#そんな時には、来月まで待ってられないってのにね。
こういう場合は現場判断ででもサービス停止するのが正しいのだが、上の人に危機感がないと、逆恨みされるからねえ。
こういう場合は現場判断ででもサービス停止するのが正しいのだが、
それを「正しい」と言ってしまうと、セキュリティ問題が起きた責任は、サービス停止という「正しい行動」を選択しなかった現場にあることになりますよ。
どっちでもいいんじゃないですかね。
リスクとベネフィットを定量化して秤にかけることができるレベルまで検討されている組織では緊急時の役割分担や連絡指示系統まで作りこんでいるのが普通ですが、リスクもベネフィットも何にも考えていなかった組織では、止めたら止めた現場の責任の方が大きくなるでしょうし、止めずにセキュリティ問題を起こしたら止めなかった現場の責任の方が大きくなるんじゃないでしょうか。
結局どっちに転んだとしても現場の責任の方が大きくなりますので、その議論にあまり意味無いんじゃないかな…と思います。
#現場クビ=課長干される=部長10%減給位で釣り合う感じ
リスクもベネフィットも何にも考えていなかった組織では、止めたら止めた現場の責任の方が大きくなるでしょうし、止めずにセキュリティ問題を起こしたら止めなかった現場の責任の方が大きくなるんじゃないでしょうか。
それは止めるのが「正しい」と認めているのを前提にして、その場合に全部現場に責任が押し付けられるという話ですね。止めるのが「正しくない」のであれば、「止めなかった現場が悪い」と言えないわけです。
「最も原始的で、ありふれた脆弱性を有している」 [jiji.com]ということですから、かなりセキュリティ面で劣っているのでしょう。こちらの情報 [ameblo.jp]によると、かなり古いバージョンのソフト使ってたようだし。#OpenSSH 4.4って本当に???いくらなんでも…
ソニー系列全般にセキュリティ面で手を抜いてるんじゃないかという疑念が湧いてきます。だからあっちもこっちも「既知の脆弱性」とやらで攻撃を食らうんでしょう。
「ソニー系列は簡単にヤれる相手」、クラッカー集団にはそういうふうに思われてるような気がします。
クラッカー集団「マジ既知」
単純に「比較的」セキュリティ強度を必要としないところばかり被害を受けているように見える.フェリカの暗号解読、ソニー銀行、社員系ネットワークとかは今のとこ大丈夫だっし
> #OpenSSH 4.4って本当に???いくらなんでも…
手元のcentos 5.6に入ってるのはopenssh 4.3ですな。バグが出るたびにバージョン番号をあげるという発想は、まともな管理者にはないです(だってバージョンあがってオプションの体系とか変わっちゃったら困るでしょ)バックポートパッチ当てた同じバージョンのソフトで入れ替えるのが普通で、アップデートかければ自然にそうなります。
だからopenssh 4.4が動いてるとか、apacheのバージョンが古いとかは当たり前なんだけど、パッチがあたってなければそりゃだめですな。もっとも、この自称アノニマスの構成員が語る内容ってのがどこまで信用できるのか、ちょっと疑わしい気もするんだが(どうやってアノニマスだって確認したんだろう?)
ハッカーの達人と言われるのが我々の目的ではないから暴露してしまうけど、 非常に単純なSQLインジェクション(今どき誰でも知ってる最も原始的かつ一般的な脆弱性)で SonyPictures.comのコントロールを奪ったのさ。SQL文1回注入しただけで、全部アクセスできた。 こんな単純な攻撃に無防備な企業を何故みなさん、そこまで信用するの?
http://www.gizmodo.jp/2011/06/100_18.html [gizmodo.jp]
秘密の暴露! まさか貴様がAnonymousか!# 今ここに俺が通らなかったか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
ソニー関連企業のセキュリティが劣るのか、狙われているだけなのか? (スコア:0)
どっちだろう?
どっちもだった嫌だなw
「人並みに劣っている」? (スコア:1, 興味深い)
どっちもじゃないですかねぇ。
セキュリティはさすがに「人並みに劣っている」だけだと思いますが、集中的に狙われているので被害が多発しているのでしょう。
# たぶん、狙われたら同じような状態に陥るところは多々あると思われ。前の職場も酷かったし(汗
# でも普通ここまで目を付けられないですからねぇ。
# 有名人税ってことなんでしょうが、その割には備えが甘かったって印象はあります。
Re:「人並みに劣っている」? (スコア:1)
こちらのページの情報が本当なら、「人並み」程度じゃなく
かなり劣っていると思えます。
ソニーが抱えていた脆弱性
http://ameblo.jp/seek202/entry-10895087134.html [ameblo.jp]
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
Re: (スコア:0)
仮にそういう穴だらけのサイトがあって、危険だから即刻停止して改修するように
現場の人が上にかけあっても、
「わしには技術のことは良く分からん。なんかわからんけど、来月の会議の議題に
取り上げるよう上に申請するから、とりあえず現状維持。」
みたいな間違った指示を出すような、技術力も判断力も行動力も皆無な
経営患部がいたりするだけじゃないの?
#そんな時には、来月まで待ってられないってのにね。
こういう場合は現場判断ででもサービス停止するのが正しいのだが、
上の人に危機感がないと、逆恨みされるからねえ。
Re: (スコア:0)
それを「正しい」と言ってしまうと、セキュリティ問題が起きた責任は、サービス停止という「正しい行動」を選択しなかった現場にあることになりますよ。
Re: (スコア:0)
巫女SEがうんたらかんたら。
Re: (スコア:0)
どっちでもいいんじゃないですかね。
リスクとベネフィットを定量化して秤にかけることができるレベルまで検討されている組織では緊急時の役割分担や連絡指示系統まで作りこんでいるのが普通ですが、リスクもベネフィットも何にも考えていなかった組織では、止めたら止めた現場の責任の方が大きくなるでしょうし、止めずにセキュリティ問題を起こしたら止めなかった現場の責任の方が大きくなるんじゃないでしょうか。
結局どっちに転んだとしても現場の責任の方が大きくなりますので、その議論にあまり意味無いんじゃないかな…と思います。
#現場クビ=課長干される=部長10%減給位で釣り合う感じ
Re: (スコア:0)
それは止めるのが「正しい」と認めているのを前提にして、その場合に全部現場に責任が押し付けられるという話ですね。止めるのが「正しくない」のであれば、「止めなかった現場が悪い」と言えないわけです。
簡単にヤれる相手 (スコア:1)
「最も原始的で、ありふれた脆弱性を有している」 [jiji.com]ということですから、
かなりセキュリティ面で劣っているのでしょう。
こちらの情報 [ameblo.jp]によると、かなり古いバージョンのソフト使ってたようだし。
#OpenSSH 4.4って本当に???いくらなんでも…
ソニー系列全般にセキュリティ面で手を抜いてるんじゃないかという疑念が湧いてきます。
だからあっちもこっちも「既知の脆弱性」とやらで攻撃を食らうんでしょう。
「ソニー系列は簡単にヤれる相手」、クラッカー集団にはそういうふうに思われてるような気がします。
--------------------
/* SHADOWFIRE */
Re: (スコア:0)
クラッカー集団「マジ既知」
Re: (スコア:0)
単純に「比較的」セキュリティ強度を必要としないところばかり被害を受けているように見える.
フェリカの暗号解読、ソニー銀行、社員系ネットワークとかは今のとこ大丈夫だっし
Re: (スコア:0)
> #OpenSSH 4.4って本当に???いくらなんでも…
手元のcentos 5.6に入ってるのはopenssh 4.3ですな。バグが出るたびにバージョン番号をあげるという発想は、まともな管理者にはないです(だってバージョンあがってオプションの体系とか変わっちゃったら困るでしょ)バックポートパッチ当てた同じバージョンのソフトで入れ替えるのが普通で、アップデートかければ自然にそうなります。
だからopenssh 4.4が動いてるとか、apacheのバージョンが古いとかは当たり前なんだけど、パッチがあたってなければそりゃだめですな。もっとも、この自称アノニマスの構成員が語る内容ってのがどこまで信用できるのか、ちょっと疑わしい気もするんだが(どうやってアノニマスだって確認したんだろう?)
Re: (スコア:0)
ハッカーの達人と言われるのが我々の目的ではないから暴露してしまうけど、
非常に単純なSQLインジェクション(今どき誰でも知ってる最も原始的かつ一般的な脆弱性)で
SonyPictures.comのコントロールを奪ったのさ。SQL文1回注入しただけで、全部アクセスできた。
こんな単純な攻撃に無防備な企業を何故みなさん、そこまで信用するの?
http://www.gizmodo.jp/2011/06/100_18.html [gizmodo.jp]
Re: (スコア:0)
秘密の暴露! まさか貴様がAnonymousか!
# 今ここに俺が通らなかったか?
Re: (スコア:0)
こんな単純な攻撃に無防備なお母さんを何故みなさん、そこまで信用するの?