アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。
普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には 対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止
元コメントのACとは別ACです。
その辺りは契約などもあるでしょうから容易に判断しかねますが、n_ayase 氏の言っていた「ベストではないにしろベターではあると信じている」という点についてはそれなりに同意できます。
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth さんの感覚でそれでもOKだった場合、それはそれで一貫しているので特に議論もなく終わりになります。
部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異
サービスの提供を中断させる操作が可能であるということは、完全な部外者とはなりえないのが確定しないでしょうか。
通常のシャットダウンが行われたという認識ですか。
前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを
# 落ちるまでがペネトレーションテストです。
そのようなテストを実際にサービスを運用しているサーバーで実行するのは不合理ですね。システムをコピーして隔離されたテスト系を作り、そこで実行するのが合理的です。そして、今回のtwitter での発言をみると、「本番系サーバーをシャットダウン」と、わざわざ本番系サーバーと断っているわけです。テスト系でセキュリティホールを見つけたら、そこで得た知識を使って本番系のサーバーも落としに行くのがあなたの考えるペネトレーションテストなんでしょうか?
不合理な行動だったことを認めるわけですね。もし、ペネトレーションテストで落としたのであれば、それは不合理な行動にはなりません。したがって、#1954069 の AC の言う、落としたのはペネトレーションテストの一環という主張は嘘ということになります。テストが完了し、脆弱性を報告したのに対処が遅いから切れて(おそらくは不正アクセスで)本番系のサーバーを落としたということが再確認できました。
合理的な理屈はすべてま・ち・が・い。
巫女の人の行動を合理的に擁護することは無理だということを認める、ということで合意に至ったようです。
最終的に脆弱なシステムが止まってめでたしめでたし
ペネトレーションテストでもなく、ネットにアクセスしている時に偶然セキュリティホールがあるサービスを見つけ、報告したけど「その対策は会議をしてから」と言われたために、セキュリティホールをついてサーバーを破壊して落とした人がいたとします。そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
> そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?
逆に聞くけど「クレジット番号が容易に抜けるサーバを1ヶ月は放置します、と上に言われたから、言われたとおり従います。」って話だったら、あなたは「めでたしめでたし」って言うんだ?実にすばらしい職業倫理をお持ちのようで。
そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?
あれが「例え」に読めるのですか?他のケースでどういう判断をするかを尋ねることで、どういう基準で正当な行動かどうかを判断しているのかを確認しようとしているだけですが。
逆に聞くけど「クレジット番号が容易に抜けるサーバを1ヶ月は放置します、と上に言われたから、言われたとおり従います。」って話だったら
サービスを落とすか、言われた通り従うか、以外に選択肢があるというのが普通の答えでは。自分で書いていて、その馬鹿な二者択一に疑問を覚えないのですか?
そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?あれが「例え」に読めるのですか?他のケースでどういう判断をするかを尋ねることで、どういう基準で正当な行動かどうかを判断しているのかを確認しようとしているだけですが。
「例えばサーバをシャットダウンしたのではなく、破壊していたら?」っていう他のケースを聞いたんでしょ?どう見ても例えじゃん。正に例えば、だけど「強盗を拘束する際に怪我を負わせた警官が居ました。とにかく拘束しないと他人が死ぬところでした」って言う話に「まぁ怪我を負わせるくらい状況的に仕方ないよね」っていった人に「強盗を殺してても仕方ないって言うの?」って確
「例えばサーバをシャットダウンしたのではなく、破壊していたら?」っていう他のケースを聞いたんでしょ?どう見ても例えじゃん。
「例え」という言葉を「比喩」の意味ではなく、「一例」の意味で使ったというのですか?「世のたとえにもれず」とか、昔の用法が残っている決まり文句ぐらいしか聞いたことないですね。
もとの話も、それ以外の選択肢を考えられる余裕はなかったよね、が話のベースだと思うので。
話が通じない上司が、なぜペネトレーションテストを頼むのでしょうか?何か変だと思わないのですか。ペネトレーションテストをやれ、とその上司に指示した人が別にいるんですよ。そこをたどっていくのが筋です。
言及済みの結果論しかないんだ?問題を認識し、依頼(発注)をしている人間に現場の人間は連絡を取る手段が用意されていない、なんていう状況はごく普通ですよ。
今回のも社長が偶々ツイートをみてたから連絡があって、事後初顔合わせで、「今後は」直接連絡するように言われた、というツイートがあったのでそれまでは連絡先を知らなかったと推測するのは妥当でしょう。連絡をつけれるかもわからない、連絡がつけば問題なく止めれるかも分からない相手と連絡をとれば良かったなんてのは結果を見たから言える理想論ですよ。
言及済みの結果論しかないんだ?
「ペネトレーションテストを指示した人を見つけて報告する」のは、一般的に通用するやり方であって、結果論ではありません。それがうまくいく可能性が高いのは、そのような指示をする人ならセキュリティに対する意識が高いという理由があるからです。
一方、サービスを無理やり落とすようなやり方は、うまくいく可能性はずっと低い。一般的には、そのような行為によってペネトレーションテストの実行を指示した人の社内での発言力は低下します。セキュリティに対する意識が高い人が失脚した結果、セキュリティホールが放置されたままサービスが続行される可能性だって十分ありますね。
連絡を取る手段が用意されていない
連絡手段がなければ自分で作るものです。用意されてないからあきらめましたって、社会ではそういうのを子供の言い訳と呼びます。
「社長に直接連絡を取れる」が一般的?学生か極小企業出身か、新入社員時点で役職付のエリートさんですか?
どちらにせよ、普通の範囲ではないですね。
大人と子供の違いは「大人は何でも出来ると思っているか否かだ」と言います。常に正しい方法で何でも出来る、と思っているのは子供ですよ。
今回の場合、それでも社長に正しいセキュリティ意識があったから社長に連絡取れればで済んでいたと「結果的」に分かっていますが、その社長でさえ問題意識がなく、オーナーに厳命されて仕方なく、であった場合さらにハードルがあがります。それで
「社長に直接連絡を取れる」が一般的?
「ペネトレーションテストを指示した人」が、一般的に社長とは限らないのだから、一般的に社長に連絡することになるわけがありません。仮に、自分が今やっているペネトレーションテストを指示した人は社長だということを、あらかじめ知らされていたのであれば、社長に連絡することは別に不思議なことではありません。
大人と子供の違いは「大人は何でも出来ると思っているか否かだ」と言います。
それは「連絡手段を作ろうとしても作れない事情がある」というケースがあるという話です。「連絡手段が用意されていない」、だから連絡できない、というのとはまったく違い
今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?「誰」かは分からないけど、世界のどこかに解決できる人が居るのは絶対だから、がんばって連絡手段を考えてたら必ずいつかは連絡が取れて大団円を迎えられます、なんてのは映画並みのご都合主義です。
その仮定の下で、サーバーを強引に止めたらどうなると思っているのでしょうか。止めた人は警察行きで、どういうセキュリティホールがあったのかわからないし、オーナーも詳細な事情はつかめないため、サーバーを復活させてそのままサービス再開でしょう。それに比べれば、遅くても会議で対策が話し合われるほうがよっぽどましですね
該当モジュールを退避し、単純に起動するだけでは読み込まれないようにしているため、少なくとも情報系エンジニアを連れてこないとサービスの再開は出来ません。巫女SEが拘留され、代わりに連行された情報系エンジニアが余程無能で従順でない限りは、そのまま再開させることはないでしょう。ソースコードレベルのセキュリティホールなので、サービスを再開させずに検証可能ですし。
まず、「腐るほどある」ことから、今回テスト環境がなかったことが証明されるわけではありません。さらに、そこでいうテスト環境のうち、「運用中にそのテストを行うことによってユーザーに大迷惑をかける可能性がある」というようなものがどれだけあると言うのでしょうか。onetime_id 氏は、「テスト環境」とだけ書いて、ユーザーに迷惑をかける可能性があるという条件を落としています。ユーザーに迷惑をかける可能性がないテストなら、わざわざ金をかけてテスト環境を構築する必要が低くなるので、技術者側からも環境を用意しろと強く要求できないのはあたりまえです。ついでに書いときますが、ペネトレーションテストをやるなら、公開前に実行するのが大部分なので、その場合はテスト系を作る必要はありません(まだユーザーがいない)。仮に、ユーザーに迷惑をかける可能性があるテストをサービス運用中にやっている企業がある、それを知っているというなら、それは非常に重要な情報なので公開するべきですね。出せないというなら、そんなのは最初から嘘なのか、技術者倫理がどうたらと言いつつ、実際にはロクデナシ企業のビジネス優先のロクデナシ野郎なのか、どちらかだということです。
まず、「腐るほどある」ことから、今回テスト環境がなかったことが証明されるわけではありません。
さらに、そこでいうテスト環境のうち、「運用中にそのテストを行うことによってユーザーに大迷惑をかける可能性がある」というようなものがどれだけあると言うのでしょうか。onetime_id 氏は、「テスト環境」とだけ書いて、ユーザーに迷惑をかける可能性があるという条件を落としています。ユーザーに迷惑をかける可能性がないテストなら、わざわざ金をかけてテスト環境を構築する必要が低くなるので、技術者側からも環境を用意しろと強く要求できないのはあたりまえです。ついでに書いときますが、ペネトレーションテストをやるなら、公開前に実行するのが大部分なので、その場合はテスト系を作る必要はありません(まだユーザーがいない)。
仮に、ユーザーに迷惑をかける可能性があるテストをサービス運用中にやっている企業がある、それを知っているというなら、それは非常に重要な情報なので公開するべきですね。出せないというなら、そんなのは最初から嘘なのか、技術者倫理がどうたらと言いつつ、実際にはロクデナシ企業のビジネス優先のロクデナシ野郎なのか、どちらかだということです。
ようは「本番系でペネテやるのが論外」って話だけど、そんなの巫女SEの責任じゃないし(話を持ってこられた時点で、既にその状況だったんだから)巫女SEの立場だけに立って言えば「サーバを止める」と「一ヶ月放置」のどっちの悪を選択するかしかなかったの状況は変わってない。
あと巫女SEが虚偽を述べていると言いたげな書き方でもあるけど、それならいっそ「あのエピソード自体が虚偽」としてしまう方が妥当。自分が非難するのに都合が悪いところだけを虚偽だと言うのは、それはもう「非難をするのだけが目的」にしか見えない。
ちなみに、SQLインジェクションが騒がれたころ、監査室的部署から「既にサービスインしているものにも速やかにセキュリティテストを行うこと」ってお達しがきましたよ。実働部隊の偉い人たちは相当頭を悩ませて、私の知っている範囲ではだましすかし色々理由を作ってテストそのものを行いませんでしたが。既にサービスインしている顧客に「監査室がやれっていうので、今からテスト環境の機器購入費を出すか、しばらくサービス止めさせてください」なんていえる訳ないし、言っても許可取れるわけないからね。
これは実働部隊と監査室の権限がほぼ同等だから通せてるけど、オーナーから求められました、とあっては相当困難でしょう。そんななかで「既に赤字案件なのに(開発状況のツイートを見るに妥当な推測でしょう)テスト環境機器の費用なんて出せないし、本番機で直接やって問題が発生しなければ一番安くあがるよね」と判断するプロマネは、居ても不思議じゃないですよ。もちろん、そのプロマネの職業倫理が正しいとは思わないけど、セキュリティのためならどんな赤字も許してくれるほど企業も甘くないからね。
何度も言うけど、そもそもそこの判断がどんなに間違っていようと、現場SEを責めるのは根本的にずれてるし。
セキュリティを考えずに作ったサーバーなら、あっという間にroot権限でシェルを起動されてるでしょ。
もともとそうだろうな、と思っていたけど、確信しました。あなたIT業界の人じゃないですね。root権限を奪取できるセキュリティホールはOSやミドルウェアといったインフラ系の不備で発生する可能性が高く(逆にこのレベルがしっかりしていればアプリ側がどんな下手を打っても防げる可能性もある)SQLインジェクションはインフラに関係なく、アプリの作りの悪さに起因するので、まったく別個に発生しますよ。インフラの構築とアプリの開発が別の会社って事もよくある事だし、インフラ担当とアプリ担当でセキュリティ意識が全然違うってのも極普通です。一般的に言って、アプリ開発者の方がセキュリティ意識は低いし。意識しかけるときりがないし、本格的にセキュリティ維持体制を構築すると開発費(人件費)に跳ねやすいのもアプリだから。
代わりに連行された情報系エンジニアが余程無能で従順でない限りは、そのまま再開させることはないでしょう。
実運用中のシステムでペネトレーションテストをやれと言われて従うのが普通と主張している人が、そんなことを主張しても説得力がないですね。だいたい、修理するために呼ばれたエンジニアに、細かい経緯なんか説明しないでしょう。「トチ狂った奴が起動できないようにしていったから直せ」と言うのが普通では。
私の知っている範囲ではだましすかし色々理由を作ってテストそのものを行いませんでしたが
つまり、ユーザーを危険にさらすようなテストは、技術者側でなんとかして回避しているというの
再度
今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?
これの答えがない限り、全然代替案を示したことになってないので、「越権シャットダウン」と「お上の言うとおりに放置」しかやっぱり選択肢ないですよ?「その馬鹿な二者択一に疑問を覚えないのですか?」と聞いてきたあなたは当然他の合理的な選択肢を示せるんですよね?「疑問を覚えたけど、答えは持ってない」ですか?だったら相手も「疑問は覚えたけど、他に選択肢を見つけられなかったから、その二者択一で聞いているのだろう」という位は思い至るべきだよね?
まぁ実際にその状況になるかというと、ここまでひどい案件を持ってくるほどにはうちの営業も鬼畜じゃないふうだし、万が一持ってこられても請けずに流せる程度には今は立場も弱くないと思っているので、その状況にならない自信はそれなりにありますが。
.
実運用中のシステムでペネトレーションテストをやれと言われて従うのが普通と主張している人
そんな人、居たっけ?「従うのが普通」と「従わざる得ない状況が発生しうる」が別物である事くらいは常識的に分かることだけど。
以降も集合論的に同じ突込みを入れたいものばっかなんだけど、全部長々と返信書くと論拠全無視で結論にだけずれた返信しか返ってこないので割愛。
ちょっと思い出して見に来てみたら、こんなことを書いていたのか。
「その馬鹿な二者択一に疑問を覚えないのですか?」と聞いてきたあなたは当然他の合理的な選択肢を示せるんですよね?
まともな論者が二者択一を提示した場合は、「その馬鹿な二者択一に疑問を覚えないのですか?」と言われたときに、「他に合理的な選択肢はない、なぜなら……だからだ」と説明するものです。一方、まともではない論者は、相手に「他の合理的な選択肢を示せるのか」と尋ねてしまい、他に合理的な選択肢があるかどうか確認せずに二者択一を提示したことを暴露してしまうもので
まともな論者が二者択一を提示した場合は、「その馬鹿な二者択一に疑問を覚えないのですか?」と言われたときに、「他に合理的な選択肢はない、なぜなら……だからだ」と説明するものです。
そうそうに説明してますが? [srad.jp]
ペネテで落とせば問題なかった、がエンジニアジョークである事位は理解してるよね?社長に直談判すればよかったんだ、は結果論だよ?自分の営業に相談すればよかったも同様。ちなみに、私だったら「本番系でペネテを行うなんて仕事を請けたのが間違い」とか答えるけどね。非常に合理的である自負はあるが、当然それ以上にナンセンスである自覚もある。
ペネテで落とせば問題なかった、がエンジニアジョークである事位は理解してるよね?社長に直談判すればよかったんだ、は結果論だよ?自分の営業に相談すればよかったも同様。
ちなみに、私だったら「本番系でペネテを行うなんて仕事を請けたのが間違い」とか答えるけどね。非常に合理的である自負はあるが、当然それ以上にナンセンスである自覚もある。
「論拠全無視で結論にだけずれた返信しか返ってこない」事が再度証明されただけですね。
馬鹿げすぎているから、最初のターム以降読まないつもりだったんだけど、このレベルで理解してなかったのか、、、
また、「ペネトレーションテストを指示した人を見つけて報告する」は一般的に合理的な選択肢だということをあなたは否定できていません。あなたが言っていることは、「もしかしたら、そうできなかったかもしれない」ということだけです。「そうできなかったことの証明」が存在するのであれば、二者択一が成立するかもしれませんが、証明はないのですから、「馬鹿な二者択一」と言われるのは自然な結果というものです。(というか、実在すら怪しい人物の周囲の状況に関して証明ができるわけがない)
取引先の社長と直連絡取れるのが一般的ではありえないと答えた筈ですが?専務が出張ってきている状況なのだから、同等かそれ以上の役職者と連絡取れなきゃ話にならない訳で、よりお手軽な相手と連絡取れれば解決しうる、なんて想定が何度も言うように、お花畑の理想論。
そもそも「巫女SEの状況を言い当てろ」と言っている訳ではなく、あなただったらどういう状況を想定し、どのような解決プロセスを提示できるか、と聞いてるだけです。はっきり言うけど、ドラマのような奇跡的に都合の良い状況を想定するか、常識的に考えてなさげなプロセスしか思いつかないんでしょ?だから頑なに話しそらして答えることを避け続けてるんだよね。無自覚だったら、性根から歪んでるんだろうね。多分。
その「普通」がどういう文脈で出てきているか確認してはいかがですか。まず、あなたがサービスを再開させるエンジニアを「無能で従順」と書いたわけです。しかし、「無能で従順」ではない「普通」のエンジニアが、「実運用中のシステムでペネトレーションテストをやれ」と言われて従うわけですね。じゃ、「普通」のエンジニアがサービスを再開しろという命令に従うことはないとなぜ言えるのかと指摘されているわけです。本来なら、サービスを再開させろといわれて命令に従った現場SEがいたとしても、「従わざるを得ない」からやったという評価になるはずで、「無能で従順」などと現場SEが罵倒されるようなことは起きないわけです。ところが、あなたの場合はサービスを無理やり停止するのを「正しい」と主張してしまっているので、それをやらない現場SEを非難することになるわけです。自分で現場SEが非難される土台をせっせと作っておいて、何が「現場SEを責めるのは根本的にずれてる」ですか。
その「普通」がどういう文脈で出てきているか確認してはいかがですか。まず、あなたがサービスを再開させるエンジニアを「無能で従順」と書いたわけです。しかし、「無能で従順」ではない「普通」のエンジニアが、「実運用中のシステムでペネトレーションテストをやれ」と言われて従うわけですね。じゃ、「普通」のエンジニアがサービスを再開しろという命令に従うことはないとなぜ言えるのかと指摘されているわけです。
本来なら、サービスを再開させろといわれて命令に従った現場SEがいたとしても、「従わざるを得ない」からやったという評価になるはずで、「無能で従順」などと現場SEが罵倒されるようなことは起きないわけです。ところが、あなたの場合はサービスを無理やり停止するのを「正しい」と主張してしまっているので、それをやらない現場SEを非難することになるわけです。自分で現場SEが非難される土台をせっせと作っておいて、何が「現場SEを責めるのは根本的にずれてる」ですか。
『サービスを無理やり停止するのを「正しい」と主張』などしたことはありません。「正しい」ことであることと、「せざる得ない状況である」ことの区別くらい付くよね?巫女本人も、「どちらの悪を選択するか、という話です」と言っているとおり、その行為を正しいなどとは主張していません。
じゃ、「普通」のエンジニアがサービスを再開しろという命令に従うことはないとなぜ言えるのかと指摘されているわけです。
「実運用中のシステムでペネトレーションテストをやれ」と言われたエンジニアと、「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアでは抱えているコンテキストが全然違うからです。
っていうかこんなレベルから説明要るんですか?かなり根本的な部分で問題を理解して無いとしか、、、
後者のエンジニアがシステムを起動しないのはエンジニアの職権範囲で出来ることです。なので越権行為も無く、セキュリティを維持できる選択肢があるという時点で、前者とは根本的にコンテキストが異なります。システムに他人が変更を加えている以上、それなりの調査を行わないと起動できる状況に復旧できない訳で、無能でなければセキュリティ状況に問題があることに気づけるでしょう。(もっと無能であれば、復旧手順自体が調べきれない可能性もありますが)その状況で営業なりに「今日中には起動できるって言っちゃったんだよ~」とか言われて従うのも「無能で従順」でしょう。
実在するかどうかも怪しい人物を擁護するために、あなたが犠牲にしているものに、気付くべきですね。セキュリティ問題が起きた時に、経営側ではなく、サービスを停止させなかった現場SEが無能で従順と罵倒され責任を負わされる世界を、あなたは希望しているというなら、それでもいいのかもしれませんが。
そもそも発注元や営業の問題で、現場SEの責任じゃねぇよっていうのは私が言い続けたたことで、現場SEの責任だといい続けたのはあなたの方でしょうが。旗色悪いことに気づいたからって、しれっと将棋板ひっくり返すイカサマみたいな事してんじゃねーよ。
っていうか、何「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアと「越権シャットダウンを行わなかった」エンジニアを混ぜてんの?想定される人物は全然別人だよね?こんな事も区別付かなくなるくらい破綻してきた?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
Re: (スコア:1)
基本的には同意なのですが、流れとしては微妙に異なる気がするので。その点を把握した上で同じ意見であれば、多分考え方に根本的な違いがあるのでしょうけれども。
まず致命的なさまざまな問題の発見があり、それを担当上長へ報告したものの「アンチウィルスソフトが入っているから大丈夫だろう」という程度の認識で「来月の定例会議でサービスを停止
Re: (スコア:0)
元コメントのACとは別ACです。
今回はテストを依頼されてセキュリティホールを見つけたわけですが、テストを頼まれたわけでもなく、アクセスの過程でセキュリティホールを見つけた部外者が、報告したけど無視されたのでシステムを落としたケースを考えます。そのケースで「ベストではないがベターだと信じる」ことができるでしょうか。私の感覚ではこれはダメです。Stealth
Re: (スコア:1)
部外者ということは、稼働中の社外にもサービスを提供しているグループウェア等を利用している担当チームが異
Re: (スコア:0)
通常のシャットダウンが行われたという認識ですか。
前のコメントであげたケースでは、完全に無関係な部外者がセキュリティホールをついて落とすような操作をイメージしてました。通常のシャットダウンが行われたと考えるかどうかが評価の違いにつながっている可能性はありそうです。
今回の件では、真っ当なシャットダウンが行われたとは思っていません。本人が、「システムが壊れてしまいました」と twitter で述べているからです。システムを
Re: (スコア:1, おもしろおかしい)
なんで?
# 落ちるまでがペネトレーションテストです。
Re: (スコア:1, 参考になる)
そのようなテストを実際にサービスを運用しているサーバーで実行するのは不合理ですね。システムをコピーして隔離されたテスト系を作り、そこで実行するのが合理的です。そして、今回のtwitter での発言をみると、「本番系サーバーをシャットダウン」と、わざわざ本番系サーバーと断っているわけです。テスト系でセキュリティホールを見つけたら、そこで得た知識を使って本番系のサーバーも落としに行くのがあなたの考えるペネトレーションテストなんでしょうか?
Re: (スコア:0)
Re: (スコア:0)
不合理な行動だったことを認めるわけですね。もし、ペネトレーションテストで落としたのであれば、それは不合理な行動にはなりません。したがって、#1954069 の AC の言う、落としたのはペネトレーションテストの一環という主張は嘘ということになります。テストが完了し、脆弱性を報告したのに対処が遅いから切れて(おそらくは不正アクセスで)本番系のサーバーを落としたということが再確認できました。
Re: (スコア:0)
合理的に考えるならな。でもあんたの考えは間違ってる。不合理な状況で不合理な複数の人間が不合理に行動する話なんだから、合理的な理屈はすべてま・ち・が・い。そもそも最終的に脆弱なシステムが止まってめでたしめでたし、巫女も逮捕されなくてよかったねって話だしな。それを認めたり認めなかったりできるのは当事者の社長さんだけだろ。
あと、不正アクセスにはたぶんできないね。彼女は少なくともペネトレする権限は持っていただろうし、その権限においてシステムにアクセスして落としたのだろうから。不正なのは彼女が切れる前にペネトレ権を剥奪しなかった方だろう。
Re: (スコア:0)
巫女の人の行動を合理的に擁護することは無理だということを認める、ということで合意に至ったようです。
ペネトレーションテストでもなく、ネットにアクセスしている時に偶然セキュリティホールがあるサービスを見つけ、報告したけど「その対策は会議をしてから」と言われたために、セキュリティホールをついてサーバーを破壊して落とした人がいたとします。そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
Re: (スコア:1)
> そのときも、「サービス提供者に問題があるから不合理な行動に出る必要があった」「脆弱なシステムが止まってめでたしめでたし」と言うのですか?
そんな実際に採った行動より馬鹿馬鹿しい部分しか増えてない例えに、いったい何の価値があるの?
逆に聞くけど「クレジット番号が容易に抜けるサーバを1ヶ月は放置します、と上に言われたから、言われたとおり従います。」
って話だったら、あなたは「めでたしめでたし」って言うんだ?実にすばらしい職業倫理をお持ちのようで。
Re: (スコア:0)
あれが「例え」に読めるのですか?他のケースでどういう判断をするかを尋ねることで、どういう基準で正当な行動かどうかを判断しているのかを確認しようとしているだけですが。
サービスを落とすか、言われた通り従うか、以外に選択肢があるというのが普通の答えでは。自分で書いていて、その馬鹿な二者択一に疑問を覚えないのですか?
Re: (スコア:0, 荒らし)
「例えばサーバをシャットダウンしたのではなく、破壊していたら?」っていう他のケースを聞いたんでしょ?どう見ても例えじゃん。
正に例えば、だけど「強盗を拘束する際に怪我を負わせた警官が居ました。とにかく拘束しないと他人が死ぬところでした」って言う話に
「まぁ怪我を負わせるくらい状況的に仕方ないよね」っていった人に「強盗を殺してても仕方ないって言うの?」って確
Re:警察を呼ぶ専務、理解を示す社長 (スコア:0)
「例え」という言葉を「比喩」の意味ではなく、「一例」の意味で使ったというのですか?「世のたとえにもれず」とか、昔の用法が残っている決まり文句ぐらいしか聞いたことないですね。
話が通じない上司が、なぜペネトレーションテストを頼むのでしょうか?何か変だと思わないのですか。ペネトレーションテストをやれ、とその上司に指示した人が別にいるんですよ。そこをたどっていくのが筋です。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
言及済みの結果論しかないんだ?
問題を認識し、依頼(発注)をしている人間に現場の人間は連絡を取る手段が用意されていない、なんていう状況はごく普通ですよ。
今回のも社長が偶々ツイートをみてたから連絡があって、事後初顔合わせで、「今後は」直接連絡するように言われた、というツイートがあったのでそれまでは連絡先を知らなかったと推測するのは妥当でしょう。
連絡をつけれるかもわからない、連絡がつけば問題なく止めれるかも分からない相手と連絡をとれば良かったなんてのは結果を見たから言える理想論ですよ。
Re: (スコア:0)
「ペネトレーションテストを指示した人を見つけて報告する」のは、一般的に通用するやり方であって、結果論ではありません。それがうまくいく可能性が高いのは、そのような指示をする人ならセキュリティに対する意識が高いという理由があるからです。
一方、サービスを無理やり落とすようなやり方は、うまくいく可能性はずっと低い。一般的には、そのような行為によってペネトレーションテストの実行を指示した人の社内での発言力は低下します。セキュリティに対する意識が高い人が失脚した結果、セキュリティホールが放置されたままサービスが続行される可能性だって十分ありますね。
Re: (スコア:0, フレームのもと)
「社長に直接連絡を取れる」が一般的?
学生か極小企業出身か、新入社員時点で役職付のエリートさんですか?
どちらにせよ、普通の範囲ではないですね。
大人と子供の違いは「大人は何でも出来ると思っているか否かだ」と言います。
常に正しい方法で何でも出来る、と思っているのは子供ですよ。
今回の場合、それでも社長に正しいセキュリティ意識があったから社長に連絡取れれば
で済んでいたと「結果的」に分かっていますが、その社長でさえ問題意識がなく、
オーナーに厳命されて仕方なく、であった場合さらにハードルがあがります。
それで
Re: (スコア:0)
「ペネトレーションテストを指示した人」が、一般的に社長とは限らないのだから、一般的に社長に連絡することになるわけがありません。仮に、自分が今やっているペネトレーションテストを指示した人は社長だということを、あらかじめ知らされていたのであれば、社長に連絡することは別に不思議なことではありません。
それは「連絡手段を作ろうとしても作れない事情がある」というケースがあるという話です。「連絡手段が用意されていない」、だから連絡できない、というのとはまったく違い
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
今更の確認だけど、Togetterは読んでるよね?社長に限定する必要は勿論ないけど、あなただったら誰に連絡とって問題を解決させるつもりなの?すみやかに確認可能な権限者には確認を取っているんですよ?
「誰」かは分からないけど、世界のどこかに解決できる人が居るのは絶対だから、がんばって連絡手段を考えてたら必ずいつかは連絡が取れて大団円を迎えられます、なんてのは映画並みのご都合主義です。
該当モジュールを退避し、単純に起動するだけでは読み込まれないようにしているため、少なくとも情報系エンジニアを連れてこないとサービスの再開は出来ません。
巫女SEが拘留され、代わりに連行された情報系エンジニアが余程無能で従順でない限りは、そのまま再開させることはないでしょう。
ソースコードレベルのセキュリティホールなので、サービスを再開させずに検証可能ですし。
ようは「本番系でペネテやるのが論外」って話だけど、そんなの巫女SEの責任じゃないし(話を持ってこられた時点で、既にその状況だったんだから)巫女SEの立場だけに立って言えば「サーバを止める」と「一ヶ月放置」のどっちの悪を選択するかしかなかったの状況は変わってない。
あと巫女SEが虚偽を述べていると言いたげな書き方でもあるけど、それならいっそ「あのエピソード自体が虚偽」としてしまう方が妥当。
自分が非難するのに都合が悪いところだけを虚偽だと言うのは、それはもう「非難をするのだけが目的」にしか見えない。
ちなみに、SQLインジェクションが騒がれたころ、監査室的部署から「既にサービスインしているものにも速やかにセキュリティテストを行うこと」ってお達しがきましたよ。
実働部隊の偉い人たちは相当頭を悩ませて、私の知っている範囲ではだましすかし色々理由を作ってテストそのものを行いませんでしたが。
既にサービスインしている顧客に「監査室がやれっていうので、今からテスト環境の機器購入費を出すか、しばらくサービス止めさせてください」なんていえる訳ないし、言っても許可取れるわけないからね。
これは実働部隊と監査室の権限がほぼ同等だから通せてるけど、オーナーから求められました、とあっては相当困難でしょう。
そんななかで「既に赤字案件なのに(開発状況のツイートを見るに妥当な推測でしょう)テスト環境機器の費用なんて出せないし、本番機で直接やって問題が発生しなければ一番安くあがるよね」と判断するプロマネは、居ても不思議じゃないですよ。
もちろん、そのプロマネの職業倫理が正しいとは思わないけど、セキュリティのためならどんな赤字も許してくれるほど企業も甘くないからね。
何度も言うけど、そもそもそこの判断がどんなに間違っていようと、現場SEを責めるのは根本的にずれてるし。
もともとそうだろうな、と思っていたけど、確信しました。あなたIT業界の人じゃないですね。
root権限を奪取できるセキュリティホールはOSやミドルウェアといったインフラ系の不備で発生する可能性が高く(逆にこのレベルがしっかりしていればアプリ側がどんな下手を打っても防げる可能性もある)SQLインジェクションはインフラに関係なく、アプリの作りの悪さに起因するので、まったく別個に発生しますよ。
インフラの構築とアプリの開発が別の会社って事もよくある事だし、インフラ担当とアプリ担当でセキュリティ意識が全然違うってのも極普通です。
一般的に言って、アプリ開発者の方がセキュリティ意識は低いし。意識しかけるときりがないし、本格的にセキュリティ維持体制を構築すると開発費(人件費)に跳ねやすいのもアプリだから。
Re: (スコア:0)
実運用中のシステムでペネトレーションテストをやれと言われて従うのが普通と主張している人が、そんなことを主張しても説得力がないですね。だいたい、修理するために呼ばれたエンジニアに、細かい経緯なんか説明しないでしょう。「トチ狂った奴が起動できないようにしていったから直せ」と言うのが普通では。
つまり、ユーザーを危険にさらすようなテストは、技術者側でなんとかして回避しているというの
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
再度
これの答えがない限り、全然代替案を示したことになってないので、「越権シャットダウン」と「お上の言うとおりに放置」しかやっぱり選択肢ないですよ?
「その馬鹿な二者択一に疑問を覚えないのですか?」と聞いてきたあなたは当然他の合理的な選択肢を示せるんですよね?
「疑問を覚えたけど、答えは持ってない」ですか?だったら相手も「疑問は覚えたけど、他に選択肢を見つけられなかったから、その二者択一で聞いているのだろう」という位は思い至るべきだよね?
まぁ実際にその状況になるかというと、ここまでひどい案件を持ってくるほどにはうちの営業も鬼畜じゃないふうだし、万が一持ってこられても請けずに流せる程度には今は立場も弱くないと思っているので、その状況にならない自信はそれなりにありますが。
.
そんな人、居たっけ?
「従うのが普通」と「従わざる得ない状況が発生しうる」が別物である事くらいは常識的に分かることだけど。
以降も集合論的に同じ突込みを入れたいものばっかなんだけど、全部長々と返信書くと論拠全無視で結論にだけずれた返信しか返ってこないので割愛。
Re: (スコア:0)
ちょっと思い出して見に来てみたら、こんなことを書いていたのか。
まともな論者が二者択一を提示した場合は、「その馬鹿な二者択一に疑問を覚えないのですか?」と言われたときに、「他に合理的な選択肢はない、なぜなら……だからだ」と説明するものです。一方、まともではない論者は、相手に「他の合理的な選択肢を示せるのか」と尋ねてしまい、他に合理的な選択肢があるかどうか確認せずに二者択一を提示したことを暴露してしまうもので
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
そうそうに説明してますが? [srad.jp]
「論拠全無視で結論にだけずれた返信しか返ってこない」事が再度証明されただけですね。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1)
馬鹿げすぎているから、最初のターム以降読まないつもりだったんだけど、このレベルで理解してなかったのか、、、
取引先の社長と直連絡取れるのが一般的ではありえないと答えた筈ですが?
専務が出張ってきている状況なのだから、同等かそれ以上の役職者と連絡取れなきゃ話にならない訳で、よりお手軽な相手と連絡取れれば解決しうる、なんて想定が何度も言うように、お花畑の理想論。
そもそも「巫女SEの状況を言い当てろ」と言っている訳ではなく、あなただったらどういう状況を想定し、どのような解決プロセスを提示できるか、と聞いてるだけです。
はっきり言うけど、ドラマのような奇跡的に都合の良い状況を想定するか、常識的に考えてなさげなプロセスしか思いつかないんでしょ?
だから頑なに話しそらして答えることを避け続けてるんだよね。
無自覚だったら、性根から歪んでるんだろうね。多分。
『サービスを無理やり停止するのを「正しい」と主張』などしたことはありません。
「正しい」ことであることと、「せざる得ない状況である」ことの区別くらい付くよね?
巫女本人も、「どちらの悪を選択するか、という話です」と言っているとおり、その行為を正しいなどとは主張していません。
「実運用中のシステムでペネトレーションテストをやれ」と言われたエンジニアと、「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアでは抱えているコンテキストが全然違うからです。
っていうかこんなレベルから説明要るんですか?かなり根本的な部分で問題を理解して無いとしか、、、
後者のエンジニアがシステムを起動しないのはエンジニアの職権範囲で出来ることです。
なので越権行為も無く、セキュリティを維持できる選択肢があるという時点で、前者とは根本的にコンテキストが異なります。
システムに他人が変更を加えている以上、それなりの調査を行わないと起動できる状況に復旧できない訳で、無能でなければセキュリティ状況に問題があることに気づけるでしょう。(もっと無能であれば、復旧手順自体が調べきれない可能性もありますが)
その状況で営業なりに「今日中には起動できるって言っちゃったんだよ~」とか言われて従うのも「無能で従順」でしょう。
そもそも発注元や営業の問題で、現場SEの責任じゃねぇよっていうのは私が言い続けたたことで、現場SEの責任だといい続けたのはあなたの方でしょうが。
旗色悪いことに気づいたからって、しれっと将棋板ひっくり返すイカサマみたいな事してんじゃねーよ。
っていうか、何「別のエンジニアによって止められたシステムを起動させろ」と言われたエンジニアと「越権シャットダウンを行わなかった」エンジニアを混ぜてんの?想定される人物は全然別人だよね?こんな事も区別付かなくなるくらい破綻してきた?