[port139ml:04218] Re: 絶対に見つけられないWebアプリ攻撃は存在する

[Tomoki Sanaki <sanaki@xxxxxxxxxxxx>]

佐名木@暇なので一晩、考えてみました....

同じメールに、二度レスなど、ご法度ものでしょうがご容赦をば...

Hideaki Ihara wrote on 2003-10/2(木) 16:46:5
>で、「セキュアに作ったアプリケーションでもし（誤報でも）インシデント
>      が報告・発生した場合にはどう確認・証明されますか？」

適切に構築されたシステム開発した部位にあるセキュリティ・ホールって
どの程度の悪用可能性があるのでしょうか?
# まぁ、<<適切に>>という事で、適切でない場合は、かなり確率は高くなると思いますが、
# 十分に考慮され、開発されたシステムの場合についてです。

1. どんなに金を積んでも(公式には)ソースコード、バイナリ一式を
   不正行為を行う方々には手に入れることができない。
   -> 基本的にパッケージ・ソフトウェアではないので、販売されていないし、
      オープン・ソースでもないからです。
      -> 内部犯行の場合は? -> ここではややこしくなるので今回は無視
      -> 非公式には? -> ややこしくなるので今回は無視

2. 1. によって、不正行為者は、テスト環境を自前で構築して練習できない。
   -> セキュリティ・ホールの発見から、具体的悪用方法に至るまで本番環境でテストする必要がある。
      -> これは、ターゲットのログに試行しているのが分かるかな。

2'. 1. によって、テスト環境がないので Exploit Code が公表されるようなことは考えにくい。
    -> 広く使われているソフトウェアではない。
       -> 実際に SAP/R3 とかホストコンピュータのソフトウェアの脆弱性の報告はかな〜り少ない。
          -> いわゆるハッカーと呼ばれる方々も数千万単位のソフトウェアを購入して、
             セキュリティ・ホールを探すような事はしていないですよね。

3. 2'. によって、不正行為者にはある程度のスキルは要求される。
   -> 各種プログラミング言語、開発環境の知識や実務経験
      -> スクリプト・キディには無理

4. 3. の条件がどの程度の母集団になるかですが...
   IT 産業という枠組みで見ると、かなり多い!?
   民!?という枠組みで見ると ??(どの程度)

と、事実関係としてはこんな事柄でしょうか?
後は、これらがどの程度の確率であるのか...という事になりますが、評価は人によって変わるのかな?

個人的には、十分に対策が施されたアプリケーションに対して、不正行為がどの程度あるか
という事については、
「人間的尺度においてゼロなのでは?!」
と思ってしまいます。

# 外に出ると交通事故に遭う危険性はありますが、それが怖くて外出しない人はいませんよね?
# ...でも、保険には入っているかぁ〜.....不正侵入に遭ったら保険でカバーってパターンもアリ?

ましてや、未知の脆弱性を発見し、かつ悪用方法までを自分でこなせる人間でないと、
<十分に対策された>Web Appli に対しての不正行為は難しいのでは?

そして、そのような方々に自分の Web サイトが狙われる可能性は....
一般のネットショップ系は、無視しちゃってもいい?
むしろ、ネットバンキングとか、軍とかが(住基ネットも?)とかは、注意するべきかも知れません。

以上、実際の統計データや、過去の経験によって捻出されたものではなく、
あくまでも思考実験によって、考えてみたものですので、現実と乖離している可能性があります。

2003-10/3(金) 9:55:53 作成開始

 -----------------------------------------------------
 佐名木 智貴(Tomoki Sanaki) 
    E-mail=active@xxxxxxxxxxxxxxxxxx
 PGP FingerPrint 
 = 34E5 2A31 45C8 2CB5 3CED  0B46 F328 A402 7182 DCC6