パスワードを忘れた? アカウント作成
10047638 story
プライバシ

元Microsoftのプライバシー対策担当者、「もうオープンソースしか信じられない」と述べる 45

ストーリー by hylom
反動 部門より
あるAnonymous Coward 曰く、

かつてMicrosoftでプライバシー対策を担当していたCaspar Bowden氏が、Microsoftのプライバシー測定能力に不信感を持っているという。きっかけは、米国家安全保障局(NSA)が通信監視を行うために構築していたPRISMプログラムの存在だ(HOT HARDWARE本家/.)。

Bowden氏は2002〜2011年の間、40か国以上の地域でプライバシー問題を監督していたが、PRISMプログラムの存在に気がつかなかったという。Microsoftを退社してから2年後、現在ではオープンソースの忠実な信奉者となった。彼はソースを見ることができないプログラムはもはや信頼できないと主張している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年10月03日 18時27分 (#2471042)

    ストールマンが吠えようとも、リーナスがぶちきれようとも、ソース見ない人は見ない。理解できない人は見てもわからない。読めて書けても挙動を見落とすこともあれば、膨大すぎていざ使う前に時間がかかりすぎることもある。
    結局多くの人の目で(NSAが買収するには多すぎるくらい)確認したものを信用して使うのがいいのだろうか...

    • by Anonymous Coward

      昔のsendmailのバグみたいに、沢山の人が目を通している筈なのに・・・ってのも幾らでも有りますからね。

  • measures (複数形) には「対策・措置・手段」などの意味があります。この場合はこっちの意味でしょう。
    ex)
    measures against terrorism テロ対策
    austerity measures 財政緊縮措置

  • by Anonymous Coward on 2013年10月03日 23時11分 (#2471209)

    この人はすべてのプログラムを手元で実行するつもりなのだろうか。

    例えば、仮にGmailアプリケーションがOSSで公開したとしてもGoogleがそれを使う保証すらなく、使っていても「サービスの一部」だと主張してデータは抜かれるのに

  • by Anonymous Coward on 2013年10月03日 16時13分 (#2470930)

    ソースどうこうの問題ではなくサービスの問題じゃないの?
    クライアントソフトウェアにバックドアが云々とかそういうんじゃないんだし…

    • by Anonymous Coward

      サービスプロバイダと国家機関の間で情報を受け渡しても、その内容をどっかに出さないとそりゃ気が付かなくて当たり前だよなあ。
      逆に自分で本気で全部ソース確認してビルドしても、外部のサービスを使ったらその時点でもう、情況は変わらない訳だしねえ。

    • by Anonymous Coward

      完全に同意。
      Linusが暗黙にばらしたように、米政府はオープンソースにも協力を要求していて、全てのオープンソースが拒否したとは誰にもわからない。
      オープンソースが安全なのかを証明するのは悪魔の証明そのもの。

      PRISMに協力していた米企業も、オープンソースをつかっていなかったわけじゃない。
      プロプラが信じられないのではなく、米企業が信じられないというのが正しい。

      米企業は中国企業と同レベルで信用に値しないってこと。

      TPPで、日本政府はそんなPRISMなアメリカに日本を差し出そうとしてるけど、PRISMが発覚した時点でTPPは白紙にすべきか、あるいは米国の要求はすべて却下すべきなんだよ。

      • by Anonymous Coward

        > Linusが暗黙にばらしたように、米政府はオープンソースにも協力を要求していて、全てのオープンソースが拒否したとは誰にもわからない。

        誰にもわからない、ではなく、ソースをきちんと読む人ならば確認できる。
        ただ、大多数のそうじゃない人(そういう技能・時間を持てない人)はどっち使っても信頼性は変わらない。

  • by Anonymous Coward on 2013年10月03日 16時47分 (#2470952)

    (オープンソースシンパな俺も流石に「糞記事御苦労様です」としか言い様がない)

  • by Anonymous Coward on 2013年10月03日 16時54分 (#2470954)

    Microsoft自身がPRISMに参加してないといってるわけで、
    10年近くMicrosoft社内でプライバシー問題に関与してきた人間が知らないというのは、
    むしろ、Microsoftの主張の裏付け情報に思えるのですが。

    そもそも社内でオープンソース使ってるかどうかの問題ではないでしょう。
    MySQLを使っていたところで、PRIMに情報提供していたなら同じことです。

    なんだか意味がわからないですね。

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      発想としてはむしろ逆だと思う。

      この人はセキュリティ専門家特有の慎重さで、NSAはMSから情報を取得してた、あるいは取得しようとしていたと考えてる。
      となると、システムの運用にかかわる部分ならそれが不正アクセスなり、情報提供の要請なりで監督である自分が知るところになるはず。
      しかし、自分のところに来ていないということは提供された(内部ロジックの確認ができない)プログラムが怪しいと考えてる。

      MySQLだろうがSQLServerだろうが、(直接間接を問わず)NSAに情報提供したことを把握してたらこんなことは言ってないと思う。

      自分が知らない、というのはMSが協力してないことを意味しないし、それで安心するならセキュリティの監督者としては失格。
      もちろん自分が見逃しただけ、ということもありうるけどだからと言って確認できていないプログラムを信用することにもならない。
      自分の問題なら自己研さんする、それ以外のところは素性のハッキリしたものがいい、というのはこの業界なら普通じゃないかな。

      • by Anonymous Coward

        やっぱりわかりません。
        「何も証拠はないが、証拠がないのが証拠だ」というのは無茶では。
        (Microsoftの立場に立って、事実としてNSAと何の協力関係もなく、一切要請もない状況で、どうやって自己の潔白を証明できるか考えてみれば、あなたの主張のおかしさがわかると思います。)

        ところで、オープンソース云々のコメントから想像すると、このMicrosoft元社員の人、「NSAの凄腕ハッカーがだれにもわからないバックドアをシステムに仕掛けて、だれも気付かないうちに情報を盗んでいるんだ」的な、素人くさいイメージで話していませんかね。

        実際には、継

        • 犯罪をしてるかどうか、ではなくシステム管理者が情報漏えいのリスクを管理する話なので、MSが潔白の証明をする必要は
          ありません。ブラックボックスがあると、たとえそれが身内の作ったものであってもリスク管理をしきれないというだけの話です。

          また、過去の標的型攻撃の事例からすると、それを素人くさいイメージと簡単に言いきれてしまうことこそが素人くさいでしょう。
          なんせ、「自分の想定外」というものを想定していない発言ですから。セキュリティの分野ではゼロデイ対策など自分が知りえ
          ない脅威にどう対策するか、などというのは普通の懸案事項です。
          しかもテロ

  • by Anonymous Coward on 2013年10月03日 16時59分 (#2470957)

    Linuxにもバックドアあるし、オープンソースだとソース見放題だから脆弱性多いんだけど…。

    • Linuxにバックドアあるんですか?
      初耳でした。
      どの辺にあるんでしょうか。
      あと傾向として、『ソースの公開/非公開に依存して、脆弱性に差がある』という情報があるなら、是非参照してみたいです。
      ポインタがあれば教えてください。

      親コメント
    • by Anonymous Coward

      ソースを提示することができないコメントははもはや信頼できない。

      ソース見放題→脆弱性多いの論理がよくわからん。ソースを見たら脆弱性が発生するのか?
      ソース見放題→糞なソースは淘汰される、ソース見放題→脆弱性発見されやすいだろう。
      メンテされてないプロダクトを使うのは自己責任で。

    • by Anonymous Coward

      10年前に生きている人なんだなあ

  • by Anonymous Coward on 2013年10月03日 17時08分 (#2470963)

    > 彼はソースを見ることができないプログラムはもはや信頼できないと主張している。

    この人、テレビを見てても「今、どの番組を見ているのかをNSAに監視されてる!」とか、
    炊飯器でコメ焚いてるときでも「どれくらいの頻度で自炊しているのかお袋に監視されている!」とか
    言ってそうだな。

    • by Anonymous Coward on 2013年10月03日 17時13分 (#2470968)

      いや、お袋を馬鹿にしちゃいけない。

      親コメント
      • by Anonymous Coward

        アレの隠し場所ももちろん監視されています

    • by Anonymous Coward

      ソースをみてじっくり点検してからmakeしているのか………apt-getでバイナリ取ってきているとかじゃないよね?

      • by Anonymous Coward

        makeや、gccが信用出来るのか?なんて話も有りますしね。
        太古の件ですが、gccのバックドアの件は良い教訓事例かと。

      • by Anonymous Coward

        信頼できる場所からバイナリを入手してMD5なりなんなりで同一性をチェックしたほうが安全を確認できると思う。
        社内でビルドする場合、ソースをこっそり修正されても、完全なチェックはまず不可能だろう。

    • by Anonymous Coward
      テレビに関しては技術的に可能ですね。
      お袋に・・・、に関しては意外な所にバックドアがあるので侮れません。
    • by Anonymous Coward
      俺のお袋は『死んだらあなたの心に住む』って言ってたから、いつも監視してくれてるよ。
  • by Anonymous Coward on 2013年10月03日 19時39分 (#2471086)

    確認しろ!
    と言いたい所だけど、能力が無い私。

    • by Anonymous Coward

      きっとだれかが確認してくれてるから大丈夫です。

  • by Anonymous Coward on 2013年10月04日 0時04分 (#2471237)
    Androidって、Googleがシングルバイナリで提供せずに、各ベンダーにソースの形で提供してしまったが故に、Google側で修正しても、各ベンダーが動かないとセキュリティホールが放置されるという、Microsoftとは逆の意味で最悪な状況になっている例だと思っています。

    そろそろ、GoogleはシングルバイナリでのAndroidの供給、アップデートについて真剣に検討すべき所に来ていると思います。
    フラグメントを減らそうという努力はその一歩ではあるんでしょうが。
  • by Anonymous Coward on 2013年10月04日 1時07分 (#2471260)

    当のNSAの中の人はオプソユーザで開発者でもあるんですけど。
    何故だかTOMOYOを叩いてたりしてましたよね。

  • by Anonymous Coward on 2013年10月04日 1時56分 (#2471273)

    仕事の中で会った、ような・・・

    それはとっても安心だって

    もうNSAも恐くない

    Echelonも、PRISMも、あるんだよ

    盗聴なんて、あるわけない

    こんなの絶対可笑しいよ

    本当のプライバシーと向き合えますか?

    ゲイツって、ほんとバカ

    プライバシー問題、あたしが許さない

    もう会社にも頼らない

    最後に残ったソース

    わたしの、最高の友達(オープンソース)

    • by Anonymous Coward

      わたしの、最高のソース

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...