簡単に言うと「お前なに言ってんの?」ですかね。 capital oneの設定ミスって話があるので、「銀行の人的セキュリティホール」てのは良いのですが、その後のズレた例え話の意味が分からないって事かと。 例え話?を今回の事件をに合わせるなら「借りた銀行は金庫に鍵をかけずに使ってて、ある日、金庫屋の元社員(3年前に退職)が銀行が借りてた金庫から中身を盗んだ。」かな。
被害を受けた側の公式発表に、「我々は問題を修正し」とあるので、人的セキュリティホールではないよ。 原文:"What we've done\n\nCapital One immediately fixed the issue and promptly began working with federal law enforcement. " #1行にまとめたかったので改行コード使っちゃったけど、読めるよね
「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:4, すばらしい洞察)
人的セキュリティホールってのも立派なシステム脆弱性だと思うのですが
#こんなこと言われても「じゃあそういう従業員を雇うような会社なのか」「辞めたあとに報復?されるような待遇なのか」って思われるだけでは
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
Capital OneがAmazon S3の設定をミスって全公開にしていたのが原因なので、AWSの脆弱性でもないし、容疑者が元AWS従業員であることも本質的には関係ないということ
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
この容疑者、ミス設定があることをどうやって知ったのだろう?外からの攻撃でわかったのなら、もっと被害が出ていそうなものだが、そうでないなら、内部にいる人間にはミス設定サイト一覧を得るのは朝飯前なのかな?
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
「site:amazonaws.com」「site:リージョンサーバー名.aws.amazon.com」で検索してみ、ダウンロード販売ややばい個人情報データも含めていろんなファイル見れるから
公開設定になってるとアマゾン側はサーバーの全ファイルのインデックス返してそれをGoogleがクロールしちゃう。この辺の対策何もやってないわけですよ。
各自が非公開にするかrobots.txt作って弾けば解決する話ではあるが。
Re: (スコア:0)
そういう仕様ですと言われればそれまでのような。
ちなみにS3のバケットを検索するなら「site:s3.amazonaws.com」だと思う。
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:1)
20年前「"index of" and (タイトル)」で検索して、何処かの公開サーバーにあるmp3や映画mpegを探してた時から
アクセス権の設定不足による情報流出は何も進歩してない
ftpサーバーがクラウドに移っただけだ
Re: (スコア:0)
そのうち思想調査とか必須になってくるのか・・・
何をしたら(何を基準としたら)そういうのクリアできるんだろうね
Re:「AWSのシステムを狙った攻撃やAWSの脆弱性によるものではない」 (スコア:2, 参考になる)
昔の日本の地方銀行などは良家の子女限定って処があったらしいです。
まともな金融機関だとサラ金で一回でも借りたことがあると駄目だという噂もありましたね。
要は金に困ったことがあるような人間に大金を扱わせるのは怖い。
Re: (スコア:0)
信用金庫で働いていた妹曰く、「やらかしても回収できる可能性が高い」ってのも大きいらしいよ。
Re: (スコア:0)
そのうち思想調査とか必須になってくるのか・・・
何をしたら(何を基準としたら)そういうのクリアできるんだろうね
・運用担当従業員のキータッチをすべて記録・監視して業務以外の動きをしたら拘束する
・上記の監視員についても独立監視員を配置し2重チェックを行い客観性を担保する
・運用担当従業員に視線を記録する眼鏡をつけるように契約を結ばせ以下、同上
・入室/退室時に全裸にしてケ○の穴まで検査してデータ持ち出しがないか調べる
・不定期的に異性もしくは同性の好みのエージェントと出会いをもたせ、誘惑に負けるかどうか検査する。なお「合体」に至る前に接触は切断する
・不定期的に家族を誘拐し、以下同上
・不定期に本人を拘束し、尋問対策訓練を実行する
これで情報漏洩しない従業員で構成される会社だったら信頼できるんじゃないでしょうか
労基的に生き残れないでしょうけど
Re: (スコア:0)
合体に至る前に切断するって、くノ一みたいだな―
#もう帰りたい。
Re: (スコア:0)
その手の対策としては例えば「単独で扱わせない」ってノウハウがはるか昔からありますよね。
他にも作業のログとかも当然、「作業者が必ずしも信用できるとは限らない」ってのは考慮の内です。
Re: (スコア:0)
AWSじゃなくて銀行の人的セキュリティホールですね。
AWSは金庫と鍵を用意しただけ、借りた銀行が金庫と鍵を使っていたが、ある日、銀行員がその正規の鍵を使って金庫を開けて中身を盗んだ。
金庫屋に出来た対策を考えてみるのも良いとは思うけれど。
Re: (スコア:0)
そのたとえ話って今回の件となんか関係あるの?
Re: (スコア:0)
例え話に例え話で返して「関係あんの」って返して意味あんの?
Re: (スコア:0)
簡単に言うと「お前なに言ってんの?」ですかね。
capital oneの設定ミスって話があるので、「銀行の人的セキュリティホール」てのは良いのですが、その後のズレた例え話の意味が分からないって事かと。
例え話?を今回の事件をに合わせるなら「借りた銀行は金庫に鍵をかけずに使ってて、ある日、金庫屋の元社員(3年前に退職)が銀行が借りてた金庫から中身を盗んだ。」かな。
そもそも人的セキュリティホールは例え話じゃないような?
金庫云々も犯人が違うし、例えてないような?
Re: (スコア:0)
一般的に、内部犯行は、企業の内部統制、ガバナンスの欠如と解される。
物理・ITに依らず、重要な施設の運用・操作では、日常的に、カメラでの監視(作業者の監視のためね。
ITなら監査ログの日常的分析)とか、違反行動への警報発報導入は当然だし、
究極的には操作する担当者の身辺調査導入も「対策」の範疇に入る。
心理・信条・家計状況に関する調査やアンケートをクリアしないと特定の業務には就かせない、とかね。
再発防止策では、当然、そういった傾向の社員を雇用しないよう、雇用時の身辺調査などが強化される。
SNSや趣味での活動状況など、ね。
あと、架空話持ち出すまでもなく、実在の話で例えればいい。
Re: (スコア:0)
容疑者としてAWSの元従業員が拘束されたとありますよ。
導入した金庫の中の小人さんが勝手に盗み出した訳で、そんなのが金庫に住み着いていたなんて銀行側にとっちゃ寝耳に水でしょう。
銀行員さんは悪くないと思うのです。
Re: (スコア:0)
被害を受けた側の公式発表に、「我々は問題を修正し」とあるので、人的セキュリティホールではないよ。
原文:"What we've done\n\nCapital One immediately fixed the issue and promptly began working with federal law enforcement. "
#1行にまとめたかったので改行コード使っちゃったけど、読めるよね
Re: (スコア:0)
fixedって人的セキュリティホールで公開設定にしてあったのを非公開にしただけだろ
違うん?
Re: (スコア:0)
AWS使ってる時点でセキュリティについては察し。
Re: (スコア:0)
顧客からすればそれらを含めたサービスを購入してんだから、分ける事には意味が無い。
全てひっくるめて「AWSのサービスのセキュリティホール」だわ。
AWSのシステムの脆弱性で無かったとしてもね。
Re: (スコア:0)
穴を見つけたらデータを抜く様な奴が運用側に居るってのは、AWSのセキュリティホールでも有るだろ。