[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:04218] Re: 絶対に見つけられないWebアプリ攻撃は存在する
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:04218] Re: 絶対に見つけられないWebアプリ攻撃は存在する
- From: Tomoki Sanaki <sanaki@xxxxxxxxxxxx>
- Date: Fri, 03 Oct 2003 10:22:21 +0900
佐名木@暇なので一晩、考えてみました....
同じメールに、二度レスなど、ご法度ものでしょうがご容赦をば...
Hideaki Ihara wrote on 2003-10/2(木) 16:46:5
>で、「セキュアに作ったアプリケーションでもし(誤報でも)インシデント
> が報告・発生した場合にはどう確認・証明されますか?」
適切に構築されたシステム開発した部位にあるセキュリティ・ホールって
どの程度の悪用可能性があるのでしょうか?
# まぁ、<<適切に>>という事で、適切でない場合は、かなり確率は高くなると思いますが、
# 十分に考慮され、開発されたシステムの場合についてです。
1. どんなに金を積んでも(公式には)ソースコード、バイナリ一式を
不正行為を行う方々には手に入れることができない。
-> 基本的にパッケージ・ソフトウェアではないので、販売されていないし、
オープン・ソースでもないからです。
-> 内部犯行の場合は? -> ここではややこしくなるので今回は無視
-> 非公式には? -> ややこしくなるので今回は無視
2. 1. によって、不正行為者は、テスト環境を自前で構築して練習できない。
-> セキュリティ・ホールの発見から、具体的悪用方法に至るまで本番環境でテストする必要がある。
-> これは、ターゲットのログに試行しているのが分かるかな。
2'. 1. によって、テスト環境がないので Exploit Code が公表されるようなことは考えにくい。
-> 広く使われているソフトウェアではない。
-> 実際に SAP/R3 とかホストコンピュータのソフトウェアの脆弱性の報告はかな〜り少ない。
-> いわゆるハッカーと呼ばれる方々も数千万単位のソフトウェアを購入して、
セキュリティ・ホールを探すような事はしていないですよね。
3. 2'. によって、不正行為者にはある程度のスキルは要求される。
-> 各種プログラミング言語、開発環境の知識や実務経験
-> スクリプト・キディには無理
4. 3. の条件がどの程度の母集団になるかですが...
IT 産業という枠組みで見ると、かなり多い!?
民!?という枠組みで見ると ??(どの程度)
と、事実関係としてはこんな事柄でしょうか?
後は、これらがどの程度の確率であるのか...という事になりますが、評価は人によって変わるのかな?
個人的には、十分に対策が施されたアプリケーションに対して、不正行為がどの程度あるか
という事については、
「人間的尺度においてゼロなのでは?!」
と思ってしまいます。
# 外に出ると交通事故に遭う危険性はありますが、それが怖くて外出しない人はいませんよね?
# ...でも、保険には入っているかぁ〜.....不正侵入に遭ったら保険でカバーってパターンもアリ?
ましてや、未知の脆弱性を発見し、かつ悪用方法までを自分でこなせる人間でないと、
<十分に対策された>Web Appli に対しての不正行為は難しいのでは?
そして、そのような方々に自分の Web サイトが狙われる可能性は....
一般のネットショップ系は、無視しちゃってもいい?
むしろ、ネットバンキングとか、軍とかが(住基ネットも?)とかは、注意するべきかも知れません。
以上、実際の統計データや、過去の経験によって捻出されたものではなく、
あくまでも思考実験によって、考えてみたものですので、現実と乖離している可能性があります。
2003-10/3(金) 9:55:53 作成開始
-----------------------------------------------------
佐名木 智貴(Tomoki Sanaki)
E-mail=active@xxxxxxxxxxxxxxxxxx
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6