アカウント名:
パスワード:
Microsoft自身がPRISMに参加してないといってるわけで、10年近くMicrosoft社内でプライバシー問題に関与してきた人間が知らないというのは、むしろ、Microsoftの主張の裏付け情報に思えるのですが。
そもそも社内でオープンソース使ってるかどうかの問題ではないでしょう。MySQLを使っていたところで、PRIMに情報提供していたなら同じことです。
なんだか意味がわからないですね。
発想としてはむしろ逆だと思う。
この人はセキュリティ専門家特有の慎重さで、NSAはMSから情報を取得してた、あるいは取得しようとしていたと考えてる。となると、システムの運用にかかわる部分ならそれが不正アクセスなり、情報提供の要請なりで監督である自分が知るところになるはず。しかし、自分のところに来ていないということは提供された(内部ロジックの確認ができない)プログラムが怪しいと考えてる。
MySQLだろうがSQLServerだろうが、(直接間接を問わず)NSAに情報提供したことを把握してたらこんなことは言ってないと思う。
自分が知らない、というのはMSが協力してないことを意味しないし、それで安心するならセキュリティの監督者としては失格。もちろん自分が見逃しただけ、ということもありうるけどだからと言って確認できていないプログラムを信用することにもならない。自分の問題なら自己研さんする、それ以外のところは素性のハッキリしたものがいい、というのはこの業界なら普通じゃないかな。
やっぱりわかりません。「何も証拠はないが、証拠がないのが証拠だ」というのは無茶では。(Microsoftの立場に立って、事実としてNSAと何の協力関係もなく、一切要請もない状況で、どうやって自己の潔白を証明できるか考えてみれば、あなたの主張のおかしさがわかると思います。)
ところで、オープンソース云々のコメントから想像すると、このMicrosoft元社員の人、「NSAの凄腕ハッカーがだれにもわからないバックドアをシステムに仕掛けて、だれも気付かないうちに情報を盗んでいるんだ」的な、素人くさいイメージで話していませんかね。
実際には、継
犯罪をしてるかどうか、ではなくシステム管理者が情報漏えいのリスクを管理する話なので、MSが潔白の証明をする必要はありません。ブラックボックスがあると、たとえそれが身内の作ったものであってもリスク管理をしきれないというだけの話です。
また、過去の標的型攻撃の事例からすると、それを素人くさいイメージと簡単に言いきれてしまうことこそが素人くさいでしょう。なんせ、「自分の想定外」というものを想定していない発言ですから。セキュリティの分野ではゼロデイ対策など自分が知りえない脅威にどう対策するか、などというのは普通の懸案事項です。しかもテロリストや他国政府を想定しているならともかく、自国政府が仮想敵となるとPRISMの実在自体が否定されない限りは陰謀論みたいな話も考えられるでしょう。戸籍すらいじりかねない相手なのに。アンダーカバーに証人保護プログラムなど、最大の信用保証機関である国家がらみとなると、それを見破れる身辺調査をSNS管理者に対して行うのも無理でしょう。
CPUの稼働率やらディスク消費をごまかすなんて大昔のウィルスでもやってるレベルですし、そもそも正規のOS、正規のプログラムにバックドアが仕込まれているかも、という話なので仕込みをするのは下手をすれば自分自身や何も知らない同僚です。たとえ運用部隊が自分一人だけで、構築からすべてやっていたとしてもどうしようもありません。そもそも侵入されないので痕跡などあろうはずもありません。正規の会社(それも自分の会社)から正規のルートでやってくる、下手すると市販品を買ってきたかもしれない正規品が信用できないから、「オープンソース以外は信用できない」と言ってるわけです(僕が、じゃないですよ)。もしこれが、誰かが侵入して知らないコードを仕掛けていく、という想定なら別にクローズかどうかは関係ありません。なので、そもそも不審な痕跡などありようがありません。当然痕跡を消す必要すらありません。
正規品にバックドアが仕掛けられている場合(普通バックドアってそういうもんだと思いますが)、CPUの稼働率やネットワークトラフィックは区別がつきません。自分のマシンのとあるプログラムが使用しているCPUリソースのどれだけがどのロジックに使われてるかなんてわかります?パスワードなどをクラウドに保存するブラウザのした秘匿化通信の中からパスワードを送信してる通信だけ判別つきます? システムがどれだけ複雑だろうが、どれだけの部署にまたがろうが、セキュリティの手続きが厳格だろうが関係ありません。下手すれば正規のパッチアップデートで仕込まれる可能性すらあります。ターゲットに合わせて調整された特定の条件が成立するまで発動しない、というのは標的型攻撃では普通です(セキュリティチェックをくぐるのは当然の前提として組み込まれてます)。
なお、MSを離れてなおOSSの熱心な信奉者になっているのですから、これがMSだけの問題ではなく一般的なリスクとしてとらえているということも見て取れます。MSだけが問題なら他社製のクローズドプロダクトで問題ないわけですから。
# これらを踏まえたうえで、自分のシステムにどこまで念を入れるか、はもちろん各人の自由です。# 一笑に付して何もしなくてもいいし、念を入れてクローズドなプロダクトを避けてもいい。# まぁ、バックドアといえば14年間ばれなかったUnixとコンパイラに仕掛けられたKenの例もありますけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
よくわからん (スコア:0)
Microsoft自身がPRISMに参加してないといってるわけで、
10年近くMicrosoft社内でプライバシー問題に関与してきた人間が知らないというのは、
むしろ、Microsoftの主張の裏付け情報に思えるのですが。
そもそも社内でオープンソース使ってるかどうかの問題ではないでしょう。
MySQLを使っていたところで、PRIMに情報提供していたなら同じことです。
なんだか意味がわからないですね。
Re: (スコア:0, 興味深い)
発想としてはむしろ逆だと思う。
この人はセキュリティ専門家特有の慎重さで、NSAはMSから情報を取得してた、あるいは取得しようとしていたと考えてる。
となると、システムの運用にかかわる部分ならそれが不正アクセスなり、情報提供の要請なりで監督である自分が知るところになるはず。
しかし、自分のところに来ていないということは提供された(内部ロジックの確認ができない)プログラムが怪しいと考えてる。
MySQLだろうがSQLServerだろうが、(直接間接を問わず)NSAに情報提供したことを把握してたらこんなことは言ってないと思う。
自分が知らない、というのはMSが協力してないことを意味しないし、それで安心するならセキュリティの監督者としては失格。
もちろん自分が見逃しただけ、ということもありうるけどだからと言って確認できていないプログラムを信用することにもならない。
自分の問題なら自己研さんする、それ以外のところは素性のハッキリしたものがいい、というのはこの業界なら普通じゃないかな。
Re: (スコア:0)
やっぱりわかりません。
「何も証拠はないが、証拠がないのが証拠だ」というのは無茶では。
(Microsoftの立場に立って、事実としてNSAと何の協力関係もなく、一切要請もない状況で、どうやって自己の潔白を証明できるか考えてみれば、あなたの主張のおかしさがわかると思います。)
ところで、オープンソース云々のコメントから想像すると、このMicrosoft元社員の人、「NSAの凄腕ハッカーがだれにもわからないバックドアをシステムに仕掛けて、だれも気付かないうちに情報を盗んでいるんだ」的な、素人くさいイメージで話していませんかね。
実際には、継
非難がどうこうじゃなくてリスク管理の話 (スコア:0, 興味深い)
犯罪をしてるかどうか、ではなくシステム管理者が情報漏えいのリスクを管理する話なので、MSが潔白の証明をする必要は
ありません。ブラックボックスがあると、たとえそれが身内の作ったものであってもリスク管理をしきれないというだけの話です。
また、過去の標的型攻撃の事例からすると、それを素人くさいイメージと簡単に言いきれてしまうことこそが素人くさいでしょう。
なんせ、「自分の想定外」というものを想定していない発言ですから。セキュリティの分野ではゼロデイ対策など自分が知りえ
ない脅威にどう対策するか、などというのは普通の懸案事項です。
しかもテロリストや他国政府を想定しているならともかく、自国政府が仮想敵となるとPRISMの実在自体が否定されない限りは
陰謀論みたいな話も考えられるでしょう。戸籍すらいじりかねない相手なのに。アンダーカバーに証人保護プログラムなど、最
大の信用保証機関である国家がらみとなると、それを見破れる身辺調査をSNS管理者に対して行うのも無理でしょう。
CPUの稼働率やらディスク消費をごまかすなんて大昔のウィルスでもやってるレベルですし、そもそも正規のOS、正規のプログ
ラムにバックドアが仕込まれているかも、という話なので仕込みをするのは下手をすれば自分自身や何も知らない同僚です。
たとえ運用部隊が自分一人だけで、構築からすべてやっていたとしてもどうしようもありません。そもそも侵入されないので痕跡
などあろうはずもありません。正規の会社(それも自分の会社)から正規のルートでやってくる、下手すると市販品を買ってきたか
もしれない正規品が信用できないから、「オープンソース以外は信用できない」と言ってるわけです(僕が、じゃないですよ)。
もしこれが、誰かが侵入して知らないコードを仕掛けていく、という想定なら別にクローズかどうかは関係ありません。
なので、そもそも不審な痕跡などありようがありません。当然痕跡を消す必要すらありません。
正規品にバックドアが仕掛けられている場合(普通バックドアってそういうもんだと思いますが)、CPUの稼働率やネットワーク
トラフィックは区別がつきません。自分のマシンのとあるプログラムが使用しているCPUリソースのどれだけがどのロジックに使わ
れてるかなんてわかります?パスワードなどをクラウドに保存するブラウザのした秘匿化通信の中からパスワードを送信してる通
信だけ判別つきます? システムがどれだけ複雑だろうが、どれだけの部署にまたがろうが、セキュリティの手続きが厳格だろう
が関係ありません。下手すれば正規のパッチアップデートで仕込まれる可能性すらあります。ターゲットに合わせて調整された特定
の条件が成立するまで発動しない、というのは標的型攻撃では普通です(セキュリティチェックをくぐるのは当然の前提として組み
込まれてます)。
なお、MSを離れてなおOSSの熱心な信奉者になっているのですから、これがMSだけの問題ではなく一般的なリスクとしてとらえて
いるということも見て取れます。MSだけが問題なら他社製のクローズドプロダクトで問題ないわけですから。
# これらを踏まえたうえで、自分のシステムにどこまで念を入れるか、はもちろん各人の自由です。
# 一笑に付して何もしなくてもいいし、念を入れてクローズドなプロダクトを避けてもいい。
# まぁ、バックドアといえば14年間ばれなかったUnixとコンパイラに仕掛けられたKenの例もありますけどね。