何でも隠蔽するだけのセキュリティーじゃだめ ? 61
ストーリー by reo
敵の見積もりが肝要 部門より
敵の見積もりが肝要 部門より
eggy 曰く、
なんでもかんでも情報を隠蔽するアプローチでセキュリティを確保しようとするのはもう時代遅れなのかもしれない (I PROGRAMMER の記事、本家 /. 記事、arXiv:1109.5542v1 より) 。
セキュリティの確保について 2 つの原理があり、1 つはケルクホフスの原理で、情報を隠蔽してもセキュアにはならない (秘密鍵以外の全てが公知になったとして、なお安全であるべき) というもの。もう 1 つは Fortification Principle と呼ばれるもので、防御者はあらゆる攻撃手法をガードしなければならないというものである。しかし攻撃者は無制限のコンピュータリソースを手にした全知全能の神などではないわけだから、攻撃者の行動パターンやアルゴリズムを調査して攻撃者のタイプを特定したうえでシステムを適切に隠蔽することで防御の効果が高くなるのだという。つまり、考えられる限りのあらゆる攻撃からシステムを守ろうとするのではなく、これまでの攻撃及び今にも仕掛けられそうな攻撃への防御に集中せよ、ということだそうだ。
逆じゃない? (スコア:3, 参考になる)
原文の見出しは"Security by obscurity - a new theory"(隠蔽によるセキュリティ - 新たなセオリー)だし、
"security is a game of incomplete information"(セキュリティは不完全情報ゲーム)と言ってるし、
タレコミで言ってることとは逆に
「今までは『隠蔽によるセキュリティ』は駄目だって言われてたけど、意外とそれも悪くはないんじゃね?」
って書いてあるように思えるんですが……。
Re: (スコア:0)
論文は読んでないけど記事は読んだ。確かにそう書いてあるね。
Re: (スコア:0)
うわ、ほんとだこれはひどい。
元タレコミは問題ないのに、よくぞここまで改悪できたもんだ……。
Re:逆じゃない? (スコア:1)
元タレコミが
http://security.srad.jp/submission/44157/%E3%82%BB%E3%82%AD%E3%83%A5%E... [srad.jp]
で、この内容が先頭の文章になっちゃったの?
これ、もはや、悪意だよ。この改ざん編集。
Re: (スコア:0)
ところが「eggy 曰く」と書かれているおかげで、
eggyってなにバカなこと書いてるの?
あたまおかしくね?
って思われちゃう。
ひどい話です。
よくこんなキチガイ編集がいるサイトにタレコミなんてする気になるね。
中国のアクセスをブロックするだけで、かなり安全になります (スコア:2)
日本のEコマースサイトについて言うと、中国向けに商売をしているのでなければ、中国のアクセスをブロックするだけで、かなり安全になります。
あとは、ロシアですかね。
Re:中国のアクセスをブロックするだけで、かなり安全になります (スコア:1)
俗にいうkrfilterでしょうか。
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp [tsg.ne.jp]
Re: (スコア:0)
その逆に中国から日本へのアクセスを遮断するフィルタを金盾に実装してくれれば良いのに
Re:中国のアクセスをブロックするだけで、かなり安全になります (スコア:1)
エロゲ会社は海外からのアクセスをブロックしてるとこもあるしな
Re: (スコア:0)
そういう考えたか自体が危険
Re:中国のアクセスをブロックするだけで、かなり安全になります (スコア:2)
ふむ、言葉が足りなかったようで、誤解されているみたいなので、補足。
中国のアクセスを遮断するだけで、「完全」に安全になるとは言ってません。
「かなり」安全になると書きました。
元記事に書かれていますが、
「しかし攻撃者は無制限のコンピュータリソースを手にした全知全能の神などではないわけだから、攻撃者の行動パターンやアルゴリズムを調査して攻撃者のタイプを特定したうえでシステムを適切に隠蔽することで防御の効果が高くなるのだという。
つまり、考えられる限りのあらゆる攻撃からシステムを守ろうとするのではなく、これまでの攻撃及び今にも仕掛けられそうな攻撃への防御に集中せよ、ということだそうだ。」
という点で、中国のアクセスを遮断するだけで、セキュリティ対策のためにかける労力がかなり軽減されるのです。
そこで得た余力で、今すぐに重点的に行わなければならない対策に注力できます。
日本のEコマースを運営している会社は、システムの開発を外部に発注していて後手に回るか、自社制作でも少人数で行っていて、セキュリティには手が回らないところが多いのが実情です。
そういう事情を考えれば、全方位作戦に出るよりは、現状、商売の対象地域でない所のアクセスは遮断して、商売の対象地域からのアクセスについて、セキュリティ対策を重点的に行うべきと私は考えます。
Re: (スコア:0)
日本でしかやらないサービスならそれでもいいんですけど、
グローバルな商売なら、どの道、ブロックを解放することになるのでは?
北朝鮮からアタックとかなら何も考えずにブロックで済みますけどね。
#あそこは将軍様くらいしか購買力ねーし。
Re: (スコア:0)
面倒くさいからいっそのこと漢字圏は全部ブロックしてしまえ
と欧米人が考えても不思議はないかな?
Re:中国のアクセスをブロックするだけで、かなり安全になります (スコア:1)
メーリングリストなんかだと、名前に ISO-2022-JP が含まれていただの、シグネチャに ISO-2022-JP が含まれていただのいうレベルでも全面的に spam 扱いして落とすようなものも結構……。
ひどい場合は普通に日本を含むアジア圏全部 spam 扱い、なんてのもありましたね。
気付いてないだけで、それなりに結構ある話だと思いますよ。
Re: (スコア:0)
じっさい朝鮮半島からの攻撃は多いわけだが、-1したモデレータは脊髄反射しか出来ないのだろうか?
一理あるが (スコア:2)
一度攻撃を受けてみないとどう防御すればいいのかわからないこともある
# 最近はパターンとかフォレンジックとかいろいろあるんで未知の物でもある程度は大丈夫そうですけど
そうそう (スコア:2)
全部オープンにしてしまえば、何の問題もないわけです。
ノーガード作戦最強。
たいした事と書いてないのに、(秘)とかにしたがる人よくいますね。
本当に隠さないといけない情報なのか吟味することから、始めるべきですよ。
Re:そうそう (スコア:1)
その辺の秘情報を秘情報として扱う手続きって、ウォーターフォールになっていてラピッドプロトタイピングその他のアジャイルな手法がまるで通用しない。
だから上流のえらいさんが決めたら下流下層川下は手も出せずそれっきりになっている側面が見逃せないかと思います。
数千年前の中国人はすでに知っていたこと (スコア:1)
>つまり、考えられる限りのあらゆる攻撃からシステムを守ろうとするのではなく、これまでの攻撃及び今にも仕掛けられそうな攻撃への防御に集中せよ、ということだそうだ。
「守りて必ず固きは、その攻めざるところを守ればなり。」
「備えざる所なければ則ち寡なからざる所なし。」(孫子 虚実篇)
今はすっかり人海戦術の国になってしまって…
RYZEN始めました
違わね? (スコア:1)
引用してるタレコミ文:
考えられる限りのあらゆる攻撃からシステムを守ろうとするのではなく、これまでの攻撃及び今にも仕掛けられそうな攻撃への防御に集中せよ
文意:(人的/時間的/マシン的)資源に限界があるんだから、全部を守ろうとせず攻められそうなところに注力しろ。
数千年前の中国人はすでに知っていたこと、として引用している文
守りて必ず固きは、その攻めざるところを守ればなり。
文意:攻めてこないところも守ってるからこそ固い。
意味、逆だよね?
備えざる所なければ則ち寡なからざる所なし。
の方はタレコミ文の主張と同じだけど。
Re:違わね? (スコア:1)
>逆
いろいろ解釈当たったんですけど、
・「攻めてこないところも守ってるからこそ固い。」では逆に「攻めてこない(守る必要のない)ところまで守っていては守りの手が足りない=弱い」となるはず
・「攻めてこないところを守ってるから負けない」と直球ではあんまり
だもんで
・攻め手が「あ、こりゃダメだ」と攻めたくなくなるところで守ってるから負けない
という解釈になるんだとか。
相手の攻め方を読んで攻める気を無くさせる防御をするってことなら文意に沿うかなと。
(というか中国の古典って読み方次第で180度違う解釈になるのはよくあることのようなw
孫子の注釈書なんて中国史ちょっと繰っていくとぽろぽろ出てきますし…)
RYZEN始めました
Re: (スコア:0)
もう少し前後の文脈を見てみると:
「攻める時は敵が守ってないところを攻めよ」と対になっているから,
「守る時は敵が攻めてきそうにないところでもしっかり守れ」と解釈
する方がしっくりくるなぁ。
Re:違わね? (スコア:1)
でもそれだとやっぱ、同書の同篇にある言葉である
>備えざる所なければ則ち寡なからざる所なし。
と矛盾する気がするんですよねえ。
#それこそ世界各国で解説書書きがご飯の種にしてるテーマですし、
#堂々巡りになりそうなので「私の解釈はこれだ」ってことで打ち切ります。
RYZEN始めました
Re:違わね? (スコア:1)
虚実篇は情報戦的概念が背景にあるので
> 攻めて必ず取るは、その守らざる所を攻むればなり。
> 守りて必ず固きは、その攻めざる所を守ればなり。
> ゆえに善く攻むる者には、敵、その守る所を知らず。
> 善く守る者には、敵、その攻むる所を知らず。
攻めに成功するのは相手が『ここには攻めてこないな』と守りを手薄にしてるところ攻めるからである。
守りに成功するのは相手が『ここを攻め落とすのは無利だな』とそもそも攻撃を仕掛けてこないところを守るからである。
(だから情報を管理・操作して相手にそのように思わせるのが肝要である。)
ゆえに攻めの上手い者とは相手にどこを守ればいいのか的を絞らせない者である。
守りの上手い者とは相手に(どこも守りが固くて)攻めどころがないと思わせる者である。
というところでしょう
と、攻撃者は言っております。 (スコア:1)
つまり (スコア:1)
掃除のおばちゃんやおかんの電源ケーブルへの攻撃は、タップを隠しただけじゃ足りないって事ですかー!
Re:つまり (スコア:1)
タップの元側を抜かれるだけですよ?
そんなの駄目に決まってるじゃないですか。
fjの教祖様
Re:つまり (スコア:1)
簡単に引っこ抜ける「コンセント」を使っていること自体がすでにセキュリティホールです。
電源に直接接続すれば多少は耐えられるでしょう。
ただし、電気的に本当にヤバいときに今度は抜けなくなる罠が。
#電気工事士取ったgesaku
そっちは抜けなくても問題ない(オフトピ -1) (スコア:1)
機器側は通常のちょっと力を入れれば抜けるタイプ、気が利いていてもツイストロックだから平気。
マジメな話、電源側はブレーカーが必要な時に確実に機能することが命で、電源供給が分電盤ごとに適切に区画されていることって話ですけどね。
Re: (スコア:0)
適切な位置に掃除機用のタップを用意すればいいだけじゃないか。
究極的には true でしょう (スコア:1)
「何でも隠蔽する」メソッドは、漏洩するとまずい情報に不正っぽいアクセスが来たら究極的には「通信を切る」「プロセスを落とす」「情報を破壊する」「OS を固める」「ハードを物理的に破壊する」……といった感じでエスカレーションしながら「相手の手に渡らないようにする」事に他なりませんから、極めて有効な事ではないでしょうか。
まぁ、ソフトウェア的な範囲では、かなり自由に環境に合わせた設定を行えるような形でフレームワークを用意したところで、本来の目的 (ソフトウェアを動作させることで得られるメリット) のためには邪魔でしかないという事で、真っ先に「まず SELinux を無効にします」とか言われるんですけどね。
それは防御側が全能でないと成り立たないんじゃ? (スコア:1)
リスクマネジメント (スコア:1)
リスクマネジメントの視点で考えた場合、確かに最初にすべきは、どのリスクに注力しなければならないかを特定する作業なんだよね。
発生の可能性が物凄く低い事象(例えば隕石直撃)や、損失が低い事象(損失しても何百円とか)まで対処するとなると、業務が繁忙になってしまい、本来守るべき所が手薄になってしまうので、かえって別のリスクを産んでしまうことにもなりかねないし。
実際のビジネスでは予算も人員も有限だし、その限られたリソースの中で、いかに適切な範囲で対処するかってのが重要なんで、言っていることは至極当たり前のことだと思う。
*ただし*、絶対に守らなければいけない事ってのもあるのは事実で、国家機密に対する防御や、今回の原発事故のような事態の想定なんかは、必要なリソースを投入してでも、ありとあらゆる対策はすべきだと思うけど。
もっとも、それらも災害/被害の度合いを考えれば、たとえリスクの選別をしたとしても、元からリスクの管理対象としてあげられているべきだと思うけどね。
# 天災(特に地震)なんかは頻繁に起こる事象なわけだし。
そういう意味では、ほんの一例だけど、社員の情報なんてのも個人情報保護法に守られて、昔に比べたらかなり厳重な管理になったけど、その情報が流出した場合、いったいいくらの損失になるのかってのはもう一度見直す必要があるのかもね。(コンシューマ相手の商売だったら顧客情報管理は死活問題だから真面目に考えるべきだけどね)
むしろ逆じゃね? (スコア:1)
>しかし攻撃者は無制限のコンピュータリソースを手にした全知全能の神などではないわけだから
ボットネットを使った攻撃とか、システム管理者が合法的に使用できるコンピューターリソースに比較したら、無制限のコンピューターリソースを持つ全知全能の神に等しいだろう。
ダメも何も・・・・ (スコア:0)
Re:ダメも何も・・・・ (スコア:1)
そんな時代はありませんでした。
えぇ。あったとしても、それが判るようでは「隠ぺいした」事にはなりませんからね。だから「そんな時代はありませんでした」。
# 「あったのか?」なんぞと聞くようでは、永久に判らんだろう。
fjの教祖様
Re: (スコア:0)
この場合は、設問者(記事投稿者)に「あったのか?」と聞いてる、感じではないでしょうか。
# ACの方の文章という前提だと、ちょっと分りずらい気もしますが、まあこういうのもいいかな
by AC
Re:ダメも何も・・・・ (スコア:1)
もっとよく考えるんだ。
「十分に隠蔽された情報は、その存在自体が露呈しない」のだから後の歴史に記録されるはずがないだろう?
知っているのは「隠蔽し抜いた当人」だけだよ。そしてその当人は絶対その存在を明かさないのだから、『そんな時代が過去にあったとしても、他人が知るすべはない』。
だから他人に「そんな時代はあったのか?」と聞いても無駄だ。
そんな時代があったことを知っている当人はその存在を隠すためにも「なかった」と言うだろうし、そんな時代があったことを知らない人は「なかった」と言うだろう。これは何人に訪ねても同じこと。
嘘つき村と本当村の住民に「あなたは本当村の住民ですか?」と聞くようなものだ。
fjの教祖様
Re:ダメも何も・・・・ (スコア:1)
反語っていうのは、「How can it be A?」に対して yes と no の両方の答が返って来得る時に、『常識的に考えて』noだよな、と言う時に使うの。
『論理的に』 no しか返ってこない時には、反語にならない。それはただの愚問。
fjの教祖様
Re:ダメも何も・・・・ (スコア:1)
その疑問は正しいです。
なんだか微妙にミスリーディングな記事なんですな。
> なんでもかんでも情報を隠蔽するアプローチでセキュリティを確保しようとするのはもう時代遅れなのかもしれない (I PROGRAMMER の記事、本家 /. 記事、arXiv:1109.5542v1 より) 。
これ元記事は、security by obscurity が「ダメだ」という耳タコな話じゃなく、
「従来は無意味だと思われてたけど意味あるかもよ」という話ですよ。
> もう 1 つは Fortification Principle と呼ばれるもので、防御者はあらゆる攻撃手法をガードしなければならないというものである。しかし攻撃者は無制限のコンピュータリソースを手にした全知全能の神などではないわけだから、攻撃者の行動パターンやアルゴリズムを調査して攻撃者のタイプを特定したうえでシステムを適切に隠蔽することで防御の効果が高くなるのだという。
そのために、攻撃者が攻めあぐねている時間を obscurity で稼げばいいじゃん、という話じゃない?
Re: (スコア:0)
つまり、二原則ともに見直す必要があるという記事か。
1) 隠蔽は無意味←いや攻撃者の手口を見るのに役立つよ。
2) 脆弱な箇所が1点でもあれば守備力ゼロ←いや攻撃者も全能じゃないから。仕掛けてきそうになったのを見付けられるようにしとけばいい。
1はいいけど 2はどうなのかな。
Re: (スコア:0)
WEBですがカスタマイズベースのパッケージが何かバレないようにせよとは言われてきました。
ところがそれの脆弱性をつかれるなんてことを結構体験してきたので、バレたというより有名どころのパッケージのゼロデイ脆弱性は総当たりで試されるもんなんじゃないかと思うようになりました。
隠してても当てずっぽうで当てられたら隠す意味ないですからね。
# 穴があったとして穴を埋めずにふたして隠蔽するのは根本解決じゃない一時回避で隠すとは言わないよね。
Re: (スコア:0)
お好みのものからチョイスして一通りの攻撃が出来る攻撃用パッケージというものがあるらしい事を聞いて以来、小細工は無意味だと悟っています。
「あるらしい」とは書きましたが、脆弱性診断ツールを攻撃用にカスタマイズすればいいだけなので、確実にあるのでしょう。
Re: (スコア:0)
私大の情報系実習にて。
課題:「~な機能を持ったPHPプログラムを3~4人グループで開発せよ。」
結果→結果、半数近くが既製品をインストール+改造して提出。2割ほどはクレジットを消し忘れる始末。
その後の課題:「~な機能を持ったPHPプログラムを3~4人グループで開発せよ。どうしても出来ない場合は、既存の物をクレジットを残したまま用いて、その実装を解説せよ」
結果→結果、半数近くが既製品をインストール+改造して提出。2割ほどはクレジットを削除して勝負。
既製品流用組は当然解説などできるわけもなく、説明できずにしどろもどろ。でも学習せずにまたヤらかす。
彼らの評定がどうなったかは知らないが、こんなのが情報系専攻卒業の資格を持って世の中に出て行ったかと思うと怖くて怖くて・・・
なんか、その彼らと同じ精神構造のかほりを感じてしまいました。
Re: (スコア:0)
今も昔も、「隠すことによるセキュリティ」なんて1章の冒頭に悪い例として出てくる考えですよね。
Re: (スコア:0)
あと真っ黒に塗りつぶしたりとか。
Re: (スコア:0)
2、3000年前ぐらいにはあったんじゃね?
暗号方式さえ秘密にしときゃ大丈夫だろ、とかそんな感じで。
Re: (スコア:0)
東京電力
検察
官僚
政府
マスコミ
芸能事務所
著作権村の人々
なるほど (スコア:0)
> 考えられる限りのあらゆる攻撃からシステムを守ろうとするのではなく、これまでの攻撃及び今にも仕掛けられそうな攻撃への防御に集中せよ、と
つまり、「これまでの攻撃及び今にも仕掛けられそうな攻撃」以外の攻撃をすれば、攻撃が成功する確率が高くなるというわけですね。
参考になりました。
てっきり・・・ (スコア:0)
隠すんじゃなくってブラフまきちらして真実がどれかわからなくしろ・・・
って話かと想像してしまった。