アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。
普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には 対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止
元コメントのACとは別ACです。
その辺りは契約などもあるでしょうから容易に判断しかねますが、n_ayase 氏の言っていた「ベストではないにしろベターではあると信じている」という点についてはそれなりに同意できます。
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth さんの感覚でそれでもOKだった場合、それはそれで一貫しているので特に議論もなく終わりになります。
部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異
サービスの提供を中断させる操作が可能であるということは、完全な部外者とはなりえないのが確定しないでしょうか。
通常のシャットダウンが行われたという認識ですか。
前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムをシャットダウンしただけでは、リブートされてしまえば同じですから、容易に再開されないようシステムを意図的に壊すのは、本人の目的からすれば合理的な行動です。
後のコメントで「jsp を退避後シャットダウンした」とのことで、物理的な破壊とか妙な攻撃などではなく、再度起動してもサービスがそのまま継続して提供される訳ではない (が、復旧自体は分かっていれば容易っぽい) という感じでしたよ。
これを完全な部外者が行っていたとしたら、なんらかの脆弱性を突いてファイル操作等を行った上でシャットダウン「させた」となるでしょうが、テストを依頼されている状況でソースコードや DB までアクセス等が行える権限を持つアカウントが割り当てられており、OS の正常なシャットダウンを行える権限は持っていませんでした、と見るのはやや無理筋に思えます。
ペネトレーションテストをするために、サーバーにログインできる必要はありません。まして、root権限を最初から与えていたら、侵入できたのかどうかの確認にならないでしょう。テストで重大なセキュリティホールを発見したので、それをついてサーバーを壊しましたと言っているように読めるのです。それが明示されているわけではないですが、そう見えるものを容認することはできないというのは、ご理解いただけるでしょうか。
えぇ、そういう解釈は確かに可能です。 しかし私の場合は、自社が提供しているサービスにおいてそのような致命的なセキュリティーホールがあるにも関わらず「来月の定例会議でどのようにするかを決める」と判断するような「アンチウィルスソフトが入ってるし大丈夫でしょ」などという上長により管理されている現場で、そのように厳密なアカウント管理を行っているとはとても考えられません。 その辺りからも「とりあえず必要なら使ってくれ」と root (または operator) 権限のパスワードまで教えていた可能性をまったく否定しません。
ついでに言うと、ペネトレーションテスト「しか」依頼されていないかどうかは知りませんので、「だからゲスト権限以外持っていなかったはずだ」と判断するのは早計に思えます。
シャットダウンの認識あたりが判断の違いに結びついているということがわかって、あとは意見の相違はそれほどはないように思えるので、ほぼ解決ですね。
ここは「そう読める話を容認はできない」という話なので、それ以外の可能性が存在しないことを確認する必要はないのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
Re: (スコア:1)
基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。
まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止
Re: (スコア:0)
元コメントのACとは別ACです。
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth
Re: (スコア:1)
部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異
Re: (スコア:0)
通常のシャットダウンが行われたという認識ですか。
前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
後のコメントで「jsp を退避後シャットダウンした」とのことで、物理的な破壊とか妙な攻撃などではなく、再度起動してもサービスがそのまま継続して提供される訳ではない (が、復旧自体は分かっていれば容易っぽい) という感じでしたよ。
これを完全な部外者が行っていたとしたら、なんらかの脆弱性を突いてファイル操作等を行った上でシャットダウン「させた」となるでしょうが、テストを依頼されている状況でソースコードや DB までアクセス等が行える権限を持つアカウントが割り当てられており、OS の正常なシャットダウンを行える権限は持っていませんでした、と見るのはやや無理筋に思えます。
えぇ、そういう解釈は確かに可能です。
しかし私の場合は、自社が提供しているサービスにおいてそのような致命的なセキュリティーホールがあるにも関わらず「来月の定例会議でどのようにするかを決める」と判断するような「アンチウィルスソフトが入ってるし大丈夫でしょ」などという上長により管理されている現場で、そのように厳密なアカウント管理を行っているとはとても考えられません。
その辺りからも「とりあえず必要なら使ってくれ」と root (または operator) 権限のパスワードまで教えていた可能性をまったく否定しません。
ついでに言うと、ペネトレーションテスト「しか」依頼されていないかどうかは知りませんので、「だからゲスト権限以外持っていなかったはずだ」と判断するのは早計に思えます。
Re: (スコア:0)
シャットダウンの認識あたりが判断の違いに結びついているということがわかって、あとは意見の相違はそれほどはないように思えるので、ほぼ解決ですね。
ここは「そう読める話を容認はできない」という話なので、それ以外の可能性が存在しないことを確認する必要はないのです。