パスワードを忘れた? アカウント作成
402644 journal
GNOME

oddmakeの日記: Paul Kocher(2)

日記 by oddmake

翻訳しますた。

3) Internet broken?

3)インターネットは壊れてる?

by bpfinn

bpfinnによる質問

The Internet was primarily designed for use by researchers who were collaborating on similar projects, and so security was not part of the design. Would you advocate designing and building another Internet where security was a major design goal? Or can we tweak the current Internet to reduce that amount of maliciousness that goes on now?

インターネットは主に似たようなプロジェクトで協同作業する研究者が利用するために設計され、そのためセキュリティはデザインの一部になっていません。あなたはセキュリティが大きな設計上の目標であるような異なるインターネットの設計と構築を提唱しませんか? あるいは私達は現在のインターネットを微調整して今そこを流れている悪意の量を減らすことができるのでしょうか?

Paul:

I don't think the core Internet is the problem. While some protocols need upgrading, the Internet does a great job of providing untrusted, unreliable communications. Trying to impose security policies in the network layer would destroy the spontaneity and openness that make the Internet great. In other words, we need to find ways to cope with the fact that the Internet is always going to be dangerous.

私は核となるインターネットが問題とは思わない。いくつかのプロトコルはアップグレードが必要だが、インターネットは信頼されずまたできもしないコミュニケーションを提供するという大きな仕事をしてきている。セキュリティポリシーをネットワーク層に適用すしようと試みることは、インターネットを偉大なものしている自発性とオープンさを破壊することになるだろう。言い換えれば、私達はインターネットは常に危険であり続けるという事実に対処する方法を見つける必要があるということだ。

The place where I see the real need for improved security is in the protocols, applications, and devices that use the Internet. For example, Moore's Law has made processing power so cheap that there is no reason why web pages aren't all encrypted. Similarly, IPSEC, VPN tunnels, and e-mail encryption should be used much more widely.

私が改良されたセキュリティが本当に必要であると思う部分はプロトコル、アプリケーション、そしてインターネットを利用する装置だ。例えば、ムーアの法則は、Webページの全てが暗号化されない理由は無いくらいに、計算能力をとても安価なものにした。同様にIPSEC,VPNトンネル,暗号化電子メールはもっと広く使われるべきだ。

Of course, large networks are always going to have unpredictable complex security risks. As a result, if you are dealing with critical systems, they should be as disconnected as possible.

もちろん、大きなネットワークはいつも予測不能な複雑なセキュリティリスクがあるだろう。その結果、もし君がクリティカルなシステムを扱うなら、可能な限りネットワークから遮断するべきだ。

4) Dive Right In

4)飛び込め

by Accidental Hack

Accidental Hackによる質問

What does a newbie do? Having been put in a position where I'm partly responsible for server security, and having been put in that position without the proper background (and the responsibility is here to stay), how do I get my head straight on the core issues and make sure I'm not leaving the doors open for anyone to do whatever they want? Reading books/articles doesn't seem to be enough, but if that's the best place to begin, any recommendations?

新人は何をするのでしょうか? 私が部分的にサーバセキュリティに責任ある立場におかれ、さらに正しい背景知識無しにその立場に置かれ(そして責任は私のもとにとどまったまま)てます。いかに私は頭を整理して重要な問題に集中し誰かが自分のしたいことを何でもできるようにドアを開け放しにしないと確信が持てるでしょうか? 本や記事を読むことは十分ではないようです。しかしもしそれが一番の出発点なら、お勧めは何ですか?

Paul:

You are really asking two questions: how to learn about security, and what to do if you are put in situations where you don't know what to do.

君は実際には二つの質問をしているね:セキュリティについてどうやって学ぶかということと、君が何をしたらいいかわからない状況に置かれたら何をするかということと。

For people wanting to learn about security or cryptography, I'm a big supporter of hands-on experience. When you hear about a security bug, go see what actually went wrong. Implement DES, AES, RSA, and your own big-number library. Set up a couple of poorly-configured Linux boxes and break into them. Install a sniffer and sniff your own network traffic. Observe and modify software programs. Learn C/C++. Study known bugs in open-source crypto code and hunt for new ones. If you have the budget at work, hire a security expert and ask lots of questions. Whatever you do, be careful to follow the laws (even if you disagree with them) and act ethically.

セキュリティや暗号技術について学びたいと欲する人々にとって、私は実地経験の有力な提供者です。君がセキュリティバグについて聞いたとき、いって何が実際に間違ったかを見なさい。DES,AES,RSAそして君の任意精度ライブラリを実装しなさい。貧弱に構築されたLinuxマシンを2台セットアップし、それらに侵入するんだ。スニッファをインストールして君自身のネットワークのトラフィックを監視するんだ。ソフトウェアプログラムを観察し修正するんだ。C/C++を学ぶんだ。オープンソースの暗号コードの既知のバグを研究し新しいのを探すんだ。もし君が仕事で予算がつくのなら、セキュリティの専門家を雇いたくさんの質問をするんだ。君が何をするのせよ、法律に慎重に(君が同意しないものであっても)従って倫理的に振舞うんだ。

The question of what to do if you are put in a situation beyond your skill level ultimately depends on the risks involved. With ordinary servers (corporate e-mail and the like), occasional problems may not be that catastrophic if you have good backups.

君の技術水準を越えた状況に君が置かれたとき何をするかという質問は、究極的には関わってくるリスクによるものだ。普通のサーバ(会社の電子メールやそういったもの)の場合、もし君がきちんとバックアップをとっているなら時折起きる問題は破滅的ではない。

On the other hand, if the chances or consequences of failure are severe, you can't just "give it a try" any more than I should try open heart surgery or piloting a 747. For example, if you are dealing with critical infrastructure, likely fraud targets, pay TV networks (or anything involving piracy), or large customer databases, get help. Even if you are experienced, you need to have someone check your work. When you do hire someone, make sure they will answer questions, educate you, and provide good documentation. Avoid mad scientists, people who have never done serious engineering, and anyone who views security audits as threatening or insulting.

一方、失敗の結果や成り行きが深刻なものである場合には、君は、私が開胸手術やボーイング747の操縦を試すべきではないように、ただ「やってみる」ことはできない。例えば、もし君がクリティカルなインフラや攻撃目標になりやすいマシン、ペイテレビのネットワーク(か、海賊行為と関わるもの全て)とか大きな顧客データベースを扱っているなら、助けを得るんだ。たとえ君が経験豊かだったとしても、君は誰か君の仕事をチェックしてくれる人を必要としているんだ。君が誰かを雇うとき、彼らが質問に答え、君を教育してくれ良いドキュメントを提供してくれることを確かめるんだ。マッドサイエンティスト、真剣なエンジニアリングをしたことのない人々、セキュリティ監査を脅威とか侮辱とかと受け取る人全てを避けるんだ。

「真剣なエンジニアリング」ってきちんと手順を踏んだSE作業とかのことかなぁと思うんだがまぁいいとしよう。この段階では直訳だし。

# ある人に相性判定を依頼したらですね。なんと100%だったのですよ…
# こういう場合私はどうしたらいいのでしょう?(何もできません)

また明日

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...