2016年3月15日のtwitterセキュリティクラスタ

yousukezan
2016年3月15日のtwitterセキュリティクラスタです。セキュリティって開発者からすると難しいものなんでしょうね。

セキュリティ対策とかセキュアコーディングって開発の現場でどう思われているのでしょうね

Ikeda Masakazu@ikepyon

基本だ基本だと言いながら、シンプルじゃない方法を説明して、結局難しく考えさせるのやめてほしい。現場の人はあらゆる場面では基本だけど複雑な方法じゃなくて、特定の条件下でしか有効じゃないけど、簡単な方法を望んでるのだし

Ikeda Masakazu@ikepyon

現場の人間としては実現困難な理想論より、今そこにある問題を手っ取り早く、完璧に問題をなくさなくてもよくて、許容できる範囲で残ってもいいから解決できる方法を望んでるんだと思う

Ikeda Masakazu@ikepyon

セキュリティ対策には、とりあえず今ある問題に対処することと、根本的な対策と二つがあると思うんだ

Ikeda Masakazu@ikepyon

で、現場の人間としては今ある問題に対して「簡単に」、「許容できる範囲のリスク」とする方法が必要なわけで

Ikeda Masakazu@ikepyon

セキュアコーディングにおいても、エスケープやバリデーションといった本来すべきことをしろというのは必要であるが、現場の人間にこれを必ず守らせるのは難しい。そもそも、コーディングの基本というのが分からない促成栽培された開発者もいるし

Ikeda Masakazu@ikepyon

そういった現状において、根本的な対策はほっておいて、大体の場合、有効な脆弱性を作りこまないようにコーディング規約で縛ってしまうのは非常に短期的な効果は高いし、望まれていると思う

Ikeda Masakazu@ikepyon

並行して根本的な方法を教育するというのは必要だけど、セキュリティ対策だからやれというのはちと違うと思うんだよねぇ

Ikeda Masakazu@ikepyon

狭義のセキュリティと関係なくエスケープとか、バリデーションってしないといけないものだし

Ikeda Masakazu@ikepyon

「ならば、今すぐ愚民共すべてに叡智をさずけてみせろ!」(byシャア)と長期的な対策だけを主張する人には言ってあげたいw

Ikeda Masakazu@ikepyon

理想論だけではセキュリティ事故を防げないんでみんな困ってるんだよねぇ

Ikeda Masakazu@ikepyon

セキュリティ技術者ほど、組織外の人とのつながりが必要な技術者はいない気がするw 今悩んでいることを他の人と共有でき、よりよい対策を議論できる場というのは必要だと思う

Ikeda Masakazu@ikepyon

そういった意味でセキュ蕎麦は結構面白い場だと思うんだよねぇ。公開できない議論とか酒飲みながら時間無制限でできるしw

Ikeda Masakazu@ikepyon

現場の人間からすれば、ある対策がセキュリティ対策かどうかなんでぶっちゃけどうでもよくて、問題を解決できるかどうかだよねw セキュリティ対策というとめんどくさいことやらされるような気がするから嫌いw

Ikeda Masakazu@ikepyon

「セキュリティ対策のためにこういうコーディングをしましょう」は抵抗感を生むけど「バグを作りこまないようにこういうコーディングをしましょう」はすんなり開発者に受け入れられる気がする

Ikeda Masakazu@ikepyon

「セキュリティ対策だからバリデーションしましょう」は間違いで「バグをなくすために仕様に則ったバリデーションをしましょう」が正しいのだと思う。バグが無くなった結果、脆弱性も消えるのだし

その他に気になったことはこのあたり。

ハッカー集団「アノニマス」10代多く(真相深層) nikkei.com/article/DGXLZO…

S.Nakata@shonantoka

アノニマスには10代が多く、目立ちたいという欲望からDDoS攻撃に加担していることが多いという日経の記事。だいたい1回800円でできるんですね。にしても日経、主犯格にコンタクトとったのはやるなぁ。 pic.twitter.com/SMuDpaeqwe
OpenSSH Security Advisory: x11fwd.adv openssh.com/txt/x11fwd.adv 認証されたユーザが、ユーザ権限で任意のファイルをread/writeできてしまう。X11Forwardingを有効にしている場合のみ影響を受けるとのこと。
この手の「バージョンを固定しておけば安全」みたいな信仰ってどこから来てんのかな……。バージョンを固定するのはこういう事例を見れば分かる通りリスクでしかなくて、互換性が保てない時の緊急避難だと思うのだが / “高木浩光@自宅の日記…” htn.to/gMwnAMLq

SisterMaas_ver2@SisterMaas_ver2

eLTAX(地方税ポータルシステム)=インターネットバンキング口座を使って納税できる=古いバージョンのJavaを使ったシステムのままなので、利用するとマルウェアにやられるリスク大。国は対策済みだが地方自治体は放置。原因は憲法第92条→takagi-hiromitsu.jp/diary/20160314…

Hiroki Takakura@hiroki_takakura

え?三重大と三重県警が同じ「インターネット回線」を利用???
三重大にサイバー攻撃か HPに障害、「アノニマス」が声明:社会:中日新聞(CHUNICHI Web) chunichi.co.jp/s/article/2016…

濵田譲治@JojiHamada

例のランサムウェアに感染し、顔が撮られて犯罪者になってしまった。日本のIPを見て日本語訳の文章を表示してる。Safe Modeでも削除できないことも。その場合は端末を初期化するしかない。欧米で流行ってた奴がとうとうアジアに来たか。 pic.twitter.com/d6AefuNAJM
[2016/03/15 14:40 公表] 国内のウェブサイトに SQL インジェクションの脆弱性 jvn.jp/ta/JVNTA999293…

Yu F@fj_twt

不正アクセス:家電量販店顧客パスワード保管、中国人逮捕 – 毎日新聞 mainichi.jp/articles/20160…
三重大HPが一時閲覧不能、サイバー攻撃か…「アノニマス」の可能性も sankei.com/west/news/1603…

産経ニュース@Sankei_news

「殺してやる」LINEで知人女性脅迫 容疑で姫路の大学生逮捕 sankei.com/west/news/1603…

ロイター.co.jp@Reuters_co_jp

バングラ中銀総裁が辞任、ハッカーによる8100万ドル盗難で引責 bit.ly/1Wndy4d pic.twitter.com/PyMhQCGQEp

ITmedia@itmedia

[エンタープライズ]OpenSSH、情報流出の脆弱性を修正 bit.ly/22gMirz

ITmedia@itmedia

[エンタープライズ]半径300メートルのIT:そんな目的でケータイ電話番号を渡したつもりはないのに…… bit.ly/1pHCWqW

ITmedia@itmedia

[エンタープライズ]Google、脆弱性発見者への最高賞金を倍増に bit.ly/22gOAXP

ITmedia@itmedia

[@IT]セキュリティ、いまさら聞いてもいいですか?(6):なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ bit.ly/1U1X5F7

ITmedia@itmedia

[キーマンズネット] 【特集】 もはや待ったなし!危機管理の決め手「CSIRT」構築 dlvr.it/KnCVSs
vvvウイルス再び猛威か、1週間で攻撃メール20万件 – ESET news.mynavi.jp/news/2016/03/1…
OpenSSHに情報窃取の脆弱性 news.mynavi.jp/news/2016/03/1…
2013年発見のJavaの脆弱性、完全に修正されていないことが発覚 news.mynavi.jp/news/2016/03/1…
【レポート】事後にこそ問われる、企業の真価-セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード news.mynavi.jp/itsearch/artic…
https://matome.naver.jp/odai/2145799984215122601
2016年03月15日