SoftEtherが一時的に公開停止状態に 273
ストーリー by wakatono
そのうちOpenVPNやSSHも公開停止? 部門より
そのうちOpenVPNやSSHも公開停止? 部門より
多くのタレコミをいただいたが、その中からIKeJI 曰く、 "先日、鳴物入りで公開されたSoftEtherですが、
政府(経済産業省)からの要請を受け、一時的に公開を停止した模様。
SoftEther 配布一時停止のご案内
しかし、すでにceek.jpなどにミラーリングされており、こちらからダウンロード可能となっているようです。
やはり、気軽に使えるSoftEtherは影響が大きいのでしょうか?他のOpenVPNなどのソフトが使える諸兄はどう思いますか?"
この公開停止は、経済産業省やIPAに対する「問題点の指摘」をトリガとして、IPA の未踏ソフトウェア事務局からの要請に基づくものであり、作者の登氏も「この公開停止は一時的なもの」と述べている。早期の配布再開が望まれる。
確かにこれを使うことで、セキュリティ上の懸念が増大する、というのはあるが、そんなのは他のソフトウェアを使ったところで避けられないことである。むしろこのような横槍が入ることで、せっかくのすばらしい成果の普及を阻害しかねないということの方がよっぽど有害だ。
[Update: 2003年12月25日 by yC] ニュース・リリース『経済産業省の要請により SoftEther の配布を停止』が公開された。経緯の説明と、開発者の見解が述べられている。
横槍というけど (スコア:4, すばらしい洞察)
いまどきセキュリティの問題に関して十分な考慮がなされていないネットワークツールを「素晴らしい成果」と呼ぶ事は難しいのではないでしょうか?
♯薬だって副作用の研究は大切でしょ?
♯で、作用とのバランスで、どの程度の副作用なら許容できるか考えないと。
Re:横槍というけど (スコア:2, おもしろおかしい)
臨床試験をやっているのではないかな?>SoftEther
Re:横槍というけど (スコア:1, すばらしい洞察)
公開を続けていてもリスクを避けたい人は自分の意志で使わないという選択をする事が出来る。
だけど公開を止めてしまうとリスクを覚悟しても恩恵を受けたいという人の選択肢が無くなってしまう。
#薬にしても副作用を覚悟してでも新薬に望みを賭けたい、という人は居ますね。
Re:横槍というけど (スコア:1, すばらしい洞察)
本質を解ってない?
このソフトは、使う人とリスクを負う人が別なんですけど。
Re:横槍というけど (スコア:2, すばらしい洞察)
使う人とリスクを背負いかねない人が別々だなんて今更取り立てていうほどのものではないでしょう。コンピュータウイルスだってセキュリティホールだって使用者が全くリスクを負わずに済むケースはよくあることです。
公開を中止したからそれで解決するかというとそうではないと思います。公開を中止することは「臭いものに蓋」以外の何物でもなくて、裏でSoftEtherをベースにした何らかの裏ソフトウエアが一子相伝的な伝播をしていくだけだと思います。言い換えれば公開を停止したところで危険性が存在しうることには何も違いが無いということです。
ひとたびでも公開してしまった以上、ソフトウエアの公開を停止するという措置よりは、システムの安全性を高める義務を背負う方々(システム管理者、ネットワーク管理者)への積極的な情報提供を行なっていくべきなんではないでしょうか。たとえば、どうやればSoftEtherの通信を止めることができるのかとか。
Re:横槍というけど (スコア:1)
最初に穴たくさんあるのは当たり前っしょ。
しかし、本当の問題は (スコア:4, すばらしい洞察)
ちょっと心得のある奴であれば、SoftEtherがたとえこれから世の中から消えてなくなっても、「また作ればいいじゃん」ということになる。そしてそれは、どこの国のどんな人でも、一定以上のプログラミング能力と知識があればできるもの、ということが証明されているわけだから。
すでにiSCSIなんかもよく使われているわけだから、このような「低いレイヤをエミュレートしたソフトウエア」は、他にもいくらでも作れるし、そのアイデアの実現はけっこうたくさんある他の通信デバイスでも応用がきくものだよね。
この種の「管理不能なもの」はこれからハッキングの種としては、とても技術的に面白いものだし、きっといくらでも出てくるように思うが。
Re:しかし、本当の問題は (スコア:1)
Re:しかし、本当の問題は (スコア:1)
バイナリの再公開は無理でも仕様さえ出てしまえば誰かがやるでしょうからね…
# つばさは一つじゃないのだよ…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:しかし、本当の問題は (スコア:1)
その間に管理者側の対応策を考えておくべ。
ってことだと思いたいなぁ、なんて思う無知な私。
--
「なんとかインチキできんのか?」
自分 (スコア:2, 興味深い)
お願いです。 (スコア:2, すばらしい洞察)
なぜわざわざ壁の中と外をつなぐのですか?
つなぐのは壁の中同士にしてください。
Re:お願いです。 (スコア:1)
Re:お願いです。 (スコア:1, おもしろおかしい)
> httpsやsshは安全なプロトコルというのは間違いです。
> 管理者にとっては暗号化通信なんてものはあってはいけないもののはずです。全通信内容を管理しましょう。
おっしゃる通りです。銀行の振込みだって、クレジットカードの番号のPOSTもHTTPで良いんです。
お客様のマシン、ネットワーク機器の管理もtelnetを使用しましょう。
管理者は組織内の全構成員の通信内容を把握しましょう。
#覗き見可。;-)
Re:お願いです。 (スコア:2, すばらしい洞察)
・中→外しか通信できないはずのところを、SOCKSなんかを通して外→中に接続できるようにしたり
・SSLを偽装したり
するところが大きいのではないかと。
pppoe とかみたいに、専用のポート番号を持ち、それを使って拠点間接続するものなら、ここまで叩かれることはなかったでしょう
前トピで懲罰検討だったAC (スコア:2, 興味深い)
前トピがあがった段階で該当サイトへのアクセスも制限しておきましたが4件ほど見に行った人がいてくれぐれも入れない様指導入ってました。
穴が開く事が困る場合は管理者が人事への査定権限持っていないと駄目かもしれませんね。
Re:前トピで懲罰検討だったAC (スコア:1, 興味深い)
是非その理由を聞かせたく。
問題が発生するから使うなってのは分かるが、ソフトの情報を入手させないのは何の意味があるのでしょうか。
もしかして、貴社ではウィルス関連を知るための、それら情報サイトへもアクセス不可なのでしょうか。
知ると使うは別問題だと思われるがいかがでしょう?
#条件反射するAC
Re:前トピで懲罰検討だったAC (スコア:1)
サイトアクセスまで禁止というのはさすがにどうかと…
せめてダウンロードページ/バイナリ程度でいいのではないかと…
#で,無視して導入した時にはきっちり厳罰で臨むと…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
あ,やっぱりダウンロードのみでしたか (スコア:2, 参考になる)
# 一応,パケットの内容からSoftEtherを検出する事は
# 技術的に可能だそうです.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:ド素人発言で申し訳ないのですが‥ (スコア:1)
普段からなーんも(有効な施策を)やっとらんところなら大変だろうけど、それは別に SoftEther に限った話でもないだろうに。
PGP開発者 (スコア:2, 興味深い)
911事件直後に、自分が作成したソフトウェアがテロリストに使われたかもしれないとPGP開発者が後悔しているというデマ [impress.co.jp]が流れた一件を思いおこさせますね。
ソフトウェア作者として重要なのは、どういう信念でソフトウェア開発に望んでいるのかというスタンスでしょうね。 とりわけ、セキュリティなど社会的な影響が大きい分野ではね。 私などは、テロリストであれ使ってくださいなという覚悟はなかなか持てませんけどね。
危険? (スコア:1, 興味深い)
問い合わせが殺到したことが問題のように見える。
ただ、別の視点として、例えばこういった便利なツールを
配布するときは、それによるセキュリティの危険さも
踏まえて、ツールに対するなんらかの対策も一緒に
公開すべきでないかと思います。SoftEtherに限った話ではなく。
税金投入してるから不味いんじゃなかろうか (スコア:1)
このツールの売りはそこだとは思うんだけど、税金つかって本来の管理者が管理できない抜け穴掘るツールはいかんだろということでしょう。
これがネットワーク管理者が容易に不当なSoftEatherの使用を遮断できるようなものなら問題にはならなかったでしょう
#これで未踏がやるなら金返せとかいいだすとヤだな
Re:税金投入してるから不味いんじゃなかろうか (スコア:4, 参考になる)
それを管理できない管理者のほうが悪いって気がしてきた。
まず仮想Hubへの接続形態が TCP 直接接続の場合は。packet の中身見りゃ思いっきり「SoftEther」って書いてある(笑)のでこれで「検知できない! 管理できない!」と何も調べず叫ぶ方が阿呆。
HTTPS 経由の場合は、実は HTTPS セッションを豪快に張りっぱなしになるのでこの挙動で検知可能。(延々と張り続けるのよねこれ。) SOCKS についても同様。SSH 経由については検知方法はまだよくわかんないけど多分どうにでもなるのでは。
つまりですな。
何も調べずに「SoftEther は管理できない!」と叫ぶ奴はとりあえず自分で多少は調べなさいってこった。おれにはそうとしか言いようがありませんぜ。
Re:税金投入してるから不味いんじゃなかろうか (スコア:4, すばらしい洞察)
技術的には、まったく正しい。
コスト的には、常に正しいとはいえない。
と思います。はい。
Re:税金投入してるから不味いんじゃなかろうか (スコア:1)
機能の説明が悪い (スコア:1, 興味深い)
い社内 LAN の例』を読んだら、パワーユーザーなら会社のポリ
シーを無視して好き勝手に外部との接続を行うべきだと推奨し
ている意図があるように見えた。
自由な通信ってのは、わがままをやる事かとツッコミ入れたく
なった。
説明の悪さもクレーム受けてる原因じゃないのかな。
他のセキュリティーホール要因は良いのか? (スコア:1, 興味深い)
どれも過去に(現在もか?)セキュリティーホールの要因になっているよね。
SoftEther は今までのやつとくらべて何が問題だろう。
一番は新しい方法に対抗するノウハウが無いことかな。そう考えると「一時」であれば配付を止める事に意味が有るかも知れない。
未知の物を恐れるのは正しい事だし。但し「一時」であれば。
Re:他のセキュリティーホール要因は良いのか? (スコア:2, すばらしい洞察)
企業の情報セキュリティという観点からすると、とんでもないツールであることには間違いないですよ。極端な話、リスクをよくわかってない奴が職場の重要情報(例えば、財務情報とか、技術情報とか、顧客情報とか・・・)が入ったPCのフォルダを、自宅でも作業するために自宅のPCとファイル共有することだって(理屈の上では)できちゃうのでしょう?そして、もしも設定ミスがあって、第3者がデータの抜き取りをしたらどうなります??
Re:他のセキュリティーホール要因は良いのか? (スコア:1, すばらしい洞察)
現在の企業や学校などの組織のネットワークは、インターネットとは異なるセキュリティポリシー(たとえば、内部から外部へのWebアクセスは許可するが、逆はダメどか)を実現するために、ファイアウォールに依存しているのが現実で、SoftEtherは、組織内部の人間が容易に、下手をするとまったく危険性に気が付かずに、ファイアウォールの存在を無効にできてしまう点で危険といえます。
逆に、HTTPやSMTPというか、それらの実装におけるセキュリティホールは、ソフトウェアのアップデートで対応できますし、そもそも組織内部に外部からアクセスできるサーバがなければ、セキュリティホールの影響が発生しないこともある点で、性格が異なるのです。
内部性善説に立脚したファイアウォールでのセキュリティ対策にとっては、良心を持った内部の人間であっても、ファイアウォールを容易に無効化可能な、SoftEtherのような実装は極めて恐れるべき存在なのです。
もちろん、SSH のポートフォワーディングの機能などなど、ファイアウォールの存在を無効化しうるソフトウェアや、その組み合わせは、いくらでもありますが、そうした多くは技術的な知識も必要な点で敷居も高く、内部の人間が、悪意を持って用いるか、リスクを承知のうえで内緒で使ったりするなどという点で異なります。それに、その多くは、ある程度、ファイアウォールなどで制御可能でした。組織によっては、HTTP Proxyや定められたメールサーバ以外での外部との通信を一切排して、そのようなセキュリティ侵害の可能性を“極力"排除するというオプションを選択することも可能なわけです。
しかしながら、SoftEtherは、HTTPS Proxyなどを利用したトンネリングの機能を実装しており、また、作者のWebサイトでは、それによって、組織内部のセキュリティポリシーを無視して、その使用ができることをうたっている(というか、そのためにHTTP Proxy経由でのトンネルが可能になっている?)点も疑問が残ります。
ファイアウォールに依存したセキュリティ対策自体からの脱却も検討されるべきトピックだと思いますが、現状で、SoftEtherの前には、外部との通信をHTTPを含め一切禁止する、といった方法か、クライアントPCへインストール可能なソフトウェアを集中管理するなどの方法でしか、組織のネットワークを守ることが難しくなるというのが現実的だと思うのですがいかがでしょうか?
技術的に可能だったことと、それが容易になったことの間には、大きな違いがあるのですよ。現実社会では。
変なたとえ話はしたくありませんが、それまで有効だった『錠前』に対して、錠自体のセキュリティが甘いから、『ピッキングツール』や『ピッキングのノウハウ』が流通したということに対して、技術的な発展だから、ピッキングツールの公開や行使は阻害されるべきではない。というのと状況は似ているかもしれません。もちろん、件のピッキングの増加で、本当にヤバかった錠前は製造されなくなったわけで、悪いことばかりではありませんが。
# 社内でも、よくわからずにインストールしたヤツがいるはずだ、という冗談を語った直後なので、AC
Re:他のセキュリティーホール要因は良いのか? (スコア:4, 参考になる)
外部との通信禁止にしても、情報セキュリティアドミニストレータ試験では、
「禁止しているにも関わらず情報が漏洩した。何故か?」が定番、
つまり、禁止がデフォルトとして認知されつつあると考えます。
現状の究極解はターミナルサービス+シンクライアントの組み合わせや、
通信の禁止あるいは完全なログ保全と解析による、
「完全なる管理」でしょう。
で、それで良いのでしょうか?
業務現場が必要としているものを「管理者」は提供できているのでしょうか?
「業務支援者」であるはずの「管理者」が「管理のための管理者」になっていないでしょうか。
必要な支援が得られなければ、現場は「管理者」を見限って暴走を始めますよ。
SoftEtherなんて必要ありません。手段はいくらでもあります。
ご懸念の件は十分に理解できます。
しかし、貴兄が相対している問題はひとつのソフトを潰したところで解決するわけではないと考えます。
Re:他のセキュリティーホール要因は良いのか? (スコア:1, すばらしい洞察)
「そういうことは会社の人間としてしちゃダメだろ」っていう
モラルが社内に浸透していればいいのだろうけど‥。
技術者の飽くなき探求心は企業の競争力を高めるので、
それが社会的な理に適っているかどうかを考えるのが
営業の仕事かとも思う今日この頃‥。
# 昔技術で今営業なのでAC
なし崩しの一例 (スコア:1, おもしろおかしい)
- 「一部メンバー」以外、メール以外の外部接続、外部ソフトのインストールを一切禁止とする
- 「一部メンバー」以外が外部接続をしたい場合、書類で上司に申請し、「一部メンバー」がアクセス代行、結果を申請者に返送(ファームウェア部門なのでデータシートやチップメーカー提供のツールとかが多い)
- 「一部メンバー」以外が外部ソフトをインストールする場合、事前に「一部メンバー」の審査を受ける
- OSや主要アプリのアップデートは、「一部メンバー」が落としてイントラネットに登録、一般ユーザーはそこからインストール
ところが人的リソースは変わらないままなので、「一部メンバー」の負荷が一挙に増大して音を上げた結果、「一部メンバー」権限が乱発され、社員のほとんどが「一部メンバー」に(笑)#今回はAC
Re:他のセキュリティーホール要因は良いのか? (スコア:1)
というのは、どんな錠前でも完璧でないのと同様、ファイヤウォールもやはり完璧ではないが、セキュリティを破るコストをある程度高くしておく(困難性、犯罪性により)ことで、そこそこのコストの錠前=ファイヤウォールでも、そこそこ十分な実効性を発揮できる、という点で共通している部分もあるでしょうに? ……ないかな?
おっしゃるとおり、外からではなく、内側から「開ける」ものなわけですが、SoftEtherのようなソフトウェアによって、ファイヤウォールを回避するコストが低廉化すれば、『ファイアウォールのよるセキュリティ確保』という手法の実効性を危うくするのはもちろん、セキュリティ確保のコストを上昇させる存在とは言えなくないですか?
ちょうど、ピッキングの広がりによって、錠前の実効性が下がり、コストも上昇したように。
Re:他のセキュリティーホール要因は良いのか? (スコア:1)
>どうなんでしょうか?
Air-H"の場合は導入に個人でコスト負担が必要であることと、
帯域が現状128Kbpsまでしかありませんが、
SoftEtherの場合はソフトさえダウンロードしてしまえば
個人的なコスト負担はゼロ、職場で使用している帯域の 限界まで使用可能。
なおかつ職場の回線および資産を使用しているためにトラブルが起きた際に、
「個人が勝手に自前の回線を使って問題を起こした」
と言えないところでしょう。
夢が形になったから? (スコア:1, すばらしい洞察)
実際、SoftEtherで実装されていることは、ちょっとネットワークに 詳しい人ならばすぐに理解&関心できることですよね。 でもそれをこんなに解りやすく形になっているのを今まで見たことがありません。
で、それって、夢が形になったってことなのかなあと、思いました。 だとしたら、そういうものを助けてあげるのがIPAのこのプロジェクトの意義そのものですよね。
だから未踏なんて... (スコア:1)
「未踏?ハッカーに金を出すんならウチに仕事だせよ」
「ファイヤーウォール無効化ソフト? けしからん! だからハッカーに金だすなんてろくなことならないじゃないか」
役所に文句を言った人はこんなことを考えていたりして。
[役]人達の本音を想像してみる (スコア:1)
セキュリティリスクとかが原因というより
クリスマス前から年末年始にかけて
仕事増やしたく無いのでは?
「年末のクソ忙しい時に、問合せが増えると御互い面倒だよね。
ソフトは成人式過ぎくらいまで公開止めてくれない?」
というのが本音かと 想像してみています。
自分の仕事もできればそうしたいので ID
TCP/IP Over HTTPは既ににRFCとしてあるんですが (スコア:1, 参考になる)
Re:TCP/IP Over HTTPは既ににRFCとしてあるんですが (スコア:1, おもしろおかしい)
> RFC 3093 Firewall Enhancement Protocol 1 April 2001
と書いてあるんですけど...
Re:TCP/IP Over HTTPは既ににRFCとしてあるんですが (スコア:1)
Re:ソースも公開すべき (スコア:1, 興味深い)
いきなり自分勝手の変な妄想に走る人が多いのだろうか?
#洗脳されてるのか?
Re:あおってるなぁ (スコア:1, おもしろおかしい)
住基ネットはファイアウォールで守られているから安全だという総務省の見解が嘘であることがばれてしまうので
圧力をかけて止めさせたって事じゃないの。
Re:あおってるなぁ (スコア:2, すばらしい洞察)
「誰でも可能」の必要はありません。「誰かが可能」で充分危険です。
Re:登氏は神になる (スコア:1)
再公開要望に一票投じます。BR?
Super Souya
Re:RIAA vs Napster again (スコア:1)
Re:誰もここにはツッコまないのか。 (スコア:1)
Re:Winnyとか (スコア:1, すばらしい洞察)
-
馬鹿でもPCを使えるようにしてしまった罪のほうをどうにかしてほしいAC
Re:便利なものほど (スコア:2, 参考になる)
にてsnort用にSoftEtherのパケットを検出できるシグネチャが公開されていますね。
"SoftEtherProtocol"という文字列を引っ掛けているだけのようなので、そんなに難しくないみたいですね。
Re:フリーソフトウェア? (スコア:2, 参考になる)
>※ 「フリーソフト」という用語に関しては、様々な定義や意見がありますが、
> SoftEther に関して使用されている「フリーソフト」という用語の使用方法については、
> 原則として こちら (Vector) の定義 [vector.co.jp]に従っています。
さらに、親コメントの方は"使用許諾契約書"を先に引用していますが、使用許諾契約書は、
"使用条件"の下に存在しているようですので、引用の仕方に問題があったのではと。
しかも、この情報は0.40beta1の時には既に記載されていたので、親コメントの方は
Webページを詳しく読んでなかったのでは?と思ってしまいます。