えーと
ブログ:ITセキュリティー下学上達
脆弱性をただ公表すればいいのか?リンクする側も責任を持とう
ツッコミ所が満載なのであとで細かく。
そのうえでトラックバックでもするか・・・?
どっちにしろこのエントリはあとで修正する予定。
書いた。
まず冒頭から。
このようなシステムの脆弱性をホームページで公開するやり方は、情報セキュリティを確保する手段として、適切ではない。 |
そうとも限らない。今回の場合回避策がわかっている。設定の変更で充分対応可能であって、かつメーカーの対応があったとしても即座には反映が徹底されないと考えられるケースだ。この場合、公知の WEB サイトで公開することで事実を浸透させることには十分な効果があると考えられる。リモートデスクトップなんか使おうと試みる奴はそれなりに考えているはずだと期待できるしね。
まあ、IBM の場合は WindowsUpdate みたいに初期導入なアプリのアップデートもやってくれるからまだいいんだけど。
で。
>発見者の考え
いつの話なんだか。
>・脆弱なシステムを作る側に問題がある。
これはまあそうだろうとも思うけどね。でも回避できない場合もある。つうかそう考えてると決め付けるな。
>・セキュリティーホールを発見し、事故を未然に防ぐ為にセキュリティー情報を公開して何が悪い。
これは厨房論理。
場合によっては非公開のままやりとりすることもあった。その線引きができないのは厨房。
>・公開したセキュリティー情報を悪用する者がいたら、それは悪用した奴が悪い。
これは正解。ただし悪用しやすく防御しにくいものは公開を躊躇して当然。その線引きが以下略。
>・問題点を提起しただけで、法的にもなんら問題ない。
('A`)
幇助とか共同正犯とか助長行為とか威力業務妨害とかその他いろいろ。俺はとてもこんなこと言えないね。
グレーゾーンにいることが理解できないうちはおとなしくしておいたほうが身のためだと思う。
それだけじゃないぞ。
>メーカーの考え
>・公表する前に知らせてくれれば、関連部門や販売会社等を通じて予防策を講じられたのに。
どうだろうかねえ。握りつぶされる可能性もあって、経験のある指摘者はそれを憂慮しがちだ。
>・情報セキュリティーに関わる情報倫理について、学校では教えないのか。
ふるでぃすくろーじゃー萌え。
情報セキュリティにおいて秘匿は最悪のリスクマネジメントであると教えているならそれは正しいと思うんだが。
ぶっちゃけ、半端な情報公開は微妙なラインだと思う。特にアングラに流れるのと大差ない程度ならやめといたほうがいいね。
逆に、全国ネットのニュースに流れるくらいの勢いのいい情報公開ならどこにも問題はないと思う。そこまで公知の情報と言い切れるバックグラウンドができたら、それはヤられるほうが悪い。
知らない人が半端にでてきて被害を受けるから問題になる。問題はいずれ露見するわけだから、それならさっさとメジャーな情報にしてしまったほうがいい。
>また、該当サイトをリンクする側に対しては、
> ・この情報をきっかけに、ダウンされる利用者の事を考えたのだろうか。倫理観を疑う。
愚かである。ダウンされる程度なら何ら問題は無い。っつうか LAN 経由でダウンさせられるならすぐに原因を把握できるだろうし前述の通り対策も知られている。それもリンク先のコメントに載っている。
インターネット越しにダウンさせられるならそれはそもそもファイアウォールなりルータの設定に問題がある。脆弱性以前の問題だ。
全体的に見てこの記事のネタになっている情報はそんなにひどいものだとは思わない。リスクレベルは充分に低い。
そこから先は間違った前提に則ったものだからもう読む価値が無い。
記事を書いた人間の見識を疑うだけだ。