セキュリティ企業は信用できるのか? 88
ストーリー by mhatta
煙が立ってると火があるような気はするわな 部門より
煙が立ってると火があるような気はするわな 部門より
あるAnonymous Coward曰く、"Open Tech Pressの
マルウェア対策業界は信用できるかという記事だが、なかなか
衝撃的だ。
McAfeeやSymantecなどの企業が年間数百億ドル規模の市場を興亡を繰り広げている
このセキュリティ業界だが、他の安全を扱う組織である
警察・消防・救急等と違って、マルウェア対策業界は全く信用できないと
断罪する記事である。その理由が幾つか書かれているが、
- US-Certが 各ディストリビューションで出されたセキュリティパッチの数の合算で Unix/Linuxの欠陥総数と公表する姿勢
- Appleの宣伝キャンペーンの直前に脆弱性の虚偽情報を流した企業の例
- 昨年91件のLinuxウィルスを報告したロシア企業の公表データを調べると 21件だけに説明があるがほとんどすべては標準*nixパーミッションに 従ってファイルを変更するプログラムだった例
Windowsに代わる安全な製品はセキュリティ企業にとって収益上の脅威となる、 というのが根本の原因とこの記事では書いているが、多少の語弊があった としても、セキュリティ関連企業がどこまで信用できるかということは 確かに疑問符がつくかもしれない。 日本にはJPCERTなんてのも あるわけだが、これも こんなニュースがでてくると何か勘ぐってしまいそう。"
日本の場合 (スコア:5, 興味深い)
ファイル共有対策企業が言うことを見ていると
「少なくとも、この会社は全く信用できない」
とは思いますよね。
初期の頃は「暗号を完全に解読した」と言いつつ、その証拠は全く提示せず
どうやら本当に解読できるようになった最近では、その非合法性を完全に無視して販売し
「ファイル送信元を完全に把握できる」 と言いつつ、ウイルスの送信元に関しては一切触れない
最後の点については、特に不信感が募る要素でして。
本当に把握出来るなら「それを黙って放置しつつ商売って、マッチポンプと同じでしょ?」と思いますし。
出来ないのなら「それは単なる詐欺じゃない?」と言う話になります。
どっちであるにしても、信用に値するとはとても思えないですね。
Re:日本の場合 (スコア:5, 興味深い)
仕事で使ってるので、個人的にはMcAfeeは信じてません。
あの会社ってばパッチのリリースノートに修正点を書かないんだもん。
めぼしい変更点もないからとパッチの適用を見送ったら、障害の問い合わせの際に「実は~の問題はこのパッチで修正されているんですよ♪」などと回答されて脱力したことが1度や2度ではありません。
Re:日本の場合 (スコア:1)
手元にあるパッチのリリースノートには修正点書いてあるように見えます。
あ、でも、修正点って書き方じゃないですね。
○○って問題があって、この問題を解決しました。
ってのが列挙してある。
未解決の問題点は公表せず、直ってからパッチでこっそりリリースって感じだと思います。
Re:日本の場合 (スコア:2, 参考になる)
パッチがリリースされた時にリリースノートを見て「ろくな修正が無いな」と適用を見送るのですが、そのあとでリリースノートに記載されていない問題について問い合わせると「リリースノートには載っていませんが先日公開のパッチで修正済みです」とくるわけ。
Re:日本の場合 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:日本の場合 (スコア:2, 興味深い)
-- 哀れな日本人専用(sorry Japanese only) --
Symantecは (スコア:1)
Vistaリリースまでに自分たちのプロダクトはIPv6対応出来そうも無いという状況を逆手に取ったFUDにしか見えないんですが。
Re:Symantecは (スコア:1)
頑張ればいい話ですが、枯れていないならば、「どこのベンダーでも
Vista リリースまでに IPv6 対応するのは無理」というだけの
話かもしれません。今の時点で「FUDにしか見えない」というのは
短絡的です。
セキュリティ企業といえば, (スコア:3, 参考になる)
ソニーBMGのCD保護対策にセキュリティの懸念噴出--「行き過ぎ」との批判も - CNET Japan [cnet.com](2005/11/02)
「このコピー対策ソフトウェアを開発した英国のFirst 4 Internetという会社は、偽装メカニズムがリスクでないこと、そして開発チームが確実を期すためにSymantecなどの大手ウイルス対策企業と密接に協力したことを明らかにした。この偽装機能は、これまでの同様の製品では容易だったコンテンツ保護機能のハッキングを、不可能とまではいかなくても困難にすることを狙ったものだと同社は説明している。」
Re:セキュリティ企業といえば, (スコア:1, 興味深い)
http://www.itmedia.co.jp/news/articles/0511/22/news068.html [itmedia.co.jp]
「なお、News.comの記事では当初、First 4 Internetが今回のrootkitをめぐりSymantecと協力したかのように報じられたが、この件についてはその後、両社はFirst 4 Internetのデジタル画像ソフトウェアをめぐり協力していたという内容に訂正されている。」
Re:セキュリティ企業といえば, (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
たまにはOpenBSDを (スコア:2, おもしろおかしい)
Windowsに代わる安全な製品 (スコア:2, 参考になる)
Windowsに代わる存在になってきたころには、
ウイルス、ワーム、マルウェアも増えるし、
アップデートしない人、変な実行ファイル動かす人、
セキュリティ意識のない人も増えます。
そうなったら、(Windowsと比べてどうかは知りませんが)
結局安全じゃなくなる、と。
それくらい、セキュリティ企業も考えてるんじゃないかなぁ
1を聞いて0を知れ!
Re:Windowsに代わる安全な製品 (スコア:3, 興味深い)
Dan Geer が懸念する IT の「モノカルチャー」が終わるという
ことでしょう。x86 上の Linux 一辺倒ではなく、Mac OS X,
Solaris, FreeBSD などが割拠する時代。できれば CPU も色々な
アーキテクチャが競い合ってほしいものです。
そうなれば、世間の Windows が片端から同一のウィルスに
感染してしまうような、ダメージの大きい現象は起こりにくくなります。
もちろん JVM を利用したポータブルなウィルスを作ろうとする
悪党は出てくるでしょうけれど、今のところ JVM の方が
Windows 全体よりもはるかに良くコントロールされているように
見受けられます。
結論として、Windows のシェアが縮小した場合、おそらく
マルウェア対策業界は縮小を迫られるでしょう。
Re:Windowsに代わる安全な製品 (スコア:2, すばらしい洞察)
> 感染してしまうような、ダメージの大きい現象は起こり
> にくくなります。
多数のプラットホームが割拠する20年前の状況に戻ったとして、
マルウェア作者がターゲットを定めにくくなるのは確かだと思います。
しかし、マルウェア作者以上に選択しにくくなるのが一般ユーザです。
知識共有が困難になり、不便になり、使う人が減る可能性があります。
> 今のところ JVM の方がWindows 全体よりもはるかに良く
> コントロールされているように見受けられます。
その意見に関しては異論を持つ人も多いのではないでしょうか。
Re:Windowsに代わる安全な製品 (スコア:0)
セキュリティ企業は別にWindowsじゃなくてもいいんです
いまはWindowsシェアが圧倒的なだけでシェアが
他のところにいけば一緒にそっち行くだけです。
今はWindowsの脆弱性は比較的商売にしやすいという
だけですよ
Re:Windowsに代わる安全な製品 (スコア:0)
あなたはWindowsに代わる安全な製品について語っているんだから、
そこが一番重要だと思うんだけど...
マルウェアが全く無いシステムがあるかと尋ねられたのなら、
あなたの言う通り「多分無い」で正解なんだけどね。
確かにうっとうしい事もある (スコア:1)
会社のPCでは多少うるさいのも致し方ないと思いますが、個人が大量の警告にびびってセキュリティソフトを継続購入すると言うのであれば、ひとつひとつの警告がある種の誇大広告とも取れるわけで……。
Dan Geer の解雇と Massachusetts 州政府 (スコア:1, オフトピック)
2003年に Daniel Geer が Microsoft の怒りを買って解雇された事件 [computerworld.com]と、
Massachusetts 州政府が ODF を採用 [srad.jp]したこととは
関係があるんじゃないだろうか。
彼は州内のセキュリティ企業で働いていた訳だし、方針公表後だが
Massachusetts 州政府の決定を支持する論説 [com.com]を書いている。
もちろん、モノカルチャーは脆弱性に繋がるという彼の論点は
まっとうなものだ。
しかし、この解雇によって、有力な論客が精力的に活動する
きっかけが出来てしまったのかも知れないと思う。
Re:Dan Geer の解雇と Massachusetts 州政府 (スコア:0)
って憶測だから議論のしようも無いけど。
Re:Dan Geer の解雇と Massachusetts 州政府 (スコア:0, オフトピック)
個人というものが大きいのかも知れないし....
# きっと巨大企業から見れば、ひとりの解雇などは小さなエピソードでしょうけど。
セキュリティ企業だけ? (スコア:0)
Re:セキュリティ企業だけ? (スコア:1, すばらしい洞察)
Re:セキュリティ企業だけ? (スコア:3, おもしろおかしい)
Re:セキュリティ企業だけ? (スコア:1)
と漫画で習いました。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:セキュリティ企業だけ? (スコア:1)
1を聞いて0を知れ!
Re:セキュリティ企業だけ? (スコア:1)
は信用できます。そういう企業は社員が好き勝手なソフトを
入れたりせず、文書の書式もビシッと統一されています。
これはジョークではなく実話です。
恐る恐る「壁紙も社則なんですか?」とそこの社員に聞いたら、
「情報部門トップの命令ですが、当社のロゴがカッコいいので
誰も文句を言わない んですよ、アハハ」とのこと。
うーむ、私も会社のロゴ刷新を上司に進言するべきか・・・
匠気だけでは商機なく、正気なだけでは勝機なし。
「多様性」という企業防衛 (スコア:2)
OS やアプリケーションもおそらく統一されているのでしょう。
となると、「モノカルチャーが失敗することは生物界で繰り返し
証明されている」(前出の Dan Geer) ということが問題になります。
IT でモノカルチャーを選択するということは、言ってみれば
フォードが T型という1車種に全てを賭けるようなものです。
(かつてはそれが合理的な経営戦略だと考えられていました。)
デスクトップ画像が統一されている会社を見たら、
おおいに警戒すべきだと私は思います。
警察・消防・救急等と違って (スコア:0)
Re:警察・消防・救急等と違って (スコア:2, 興味深い)
ある程度信用した上で話を進めないと、「仕事」が進まない。
これは何事も共通するでしょう。
ノウハウ的には、どこで誤りや不正が行われやすいかを知っておけば
回避したり追求したり、妥協したりしやすいという話ですかね。
あれ、プログラムも人間社会もあまり変わんねぇ?
Re:警察・消防・救急等と違って (スコア:1, すばらしい洞察)
「信用」って言葉だけでくくってしまうと、「何を」信用するのかという文句が抜けてしまうので、論点が非常にぼやけるというか、いったい何をして、警察・消防・救急と比べているのかよくわからない。気持ちはわかるけど、めちゃくちゃだなーと。
Re:警察・消防・救急等と違って (スコア:0)
警察はそれなりに信用できますよ。
もちろん、ならない場合もありますが、
おおむね真面目にやってくれているかと。
Re:警察・消防・救急等と違って (スコア:3, 興味深い)
まあ、見せかけ上の犯罪率を下げることには一生懸命だと思いますけどね。
でも、実際のところ、犯罪を「なかったこと」にしているだけだったりするので…。
# 実家の窓ガラスをヤンキー連中に割られまくったけど被害届すら出させてもらえなかったのでAC
# そりゃ相談で済ませれば犯罪件数にはカウントされんわな
分母対策ですか・・・ (スコア:3, 参考になる)
ちなみに「管区警察局」は都道府県警より上の組織です。
Re:警察・消防・救急等と違って (スコア:0)
それすらもあまり真面目にやってないのに
役に立つのは事後処理の検察じゃね?
Re:警察・消防・救急等と違って (スコア:1)
「嘘をつかない」
嘘つきまくってきたことが現在の信用に直結しているだけです。
#神奈川県警の管轄地域なんだけど、まぁいいやで ID
元記事が眉唾 (スコア:0)
他の主張も検証した訳じゃないが、なんか眉唾じゃないっすか?
# Linux派だがこういう主張はすべきではないと思うのでAC
Re:元記事が眉唾 (スコア:3, 参考になる)
>ディストリビューションでそれぞれリリースされたパッチが別々に
>カウントされてるようには見えないんですが。
どの辺を読んだのでしょうか?
私もまだ斜め読みしただけだけど、この辺とかはどう?
Cyber Security Bulletin 2005 Summary [us-cert.gov]の一部を拾ってみる
と、同じ名前の脆弱性報告が下記のように並んでいて、そのリンク先
を上から順に見ていくと、同じ脆弱性に対して別のディストリビュー
ション名が追加されているだけの内容になっているんだけど...
GNU GZip Directory Traversal
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
GNU GZip Directory Traversal (Updated)
#以下は「同じ文章の繰り返し」という投稿フィルタに引っかかるので
省略
Re:元記事が眉唾 (スコア:2, 興味深い)
Linux/UnixのカテゴリをUpdatedでgrepしてみると約1400件が引っか
かりますね。
残りの900件の中で重複した脆弱性があるかどうかは、中身を見てみない
と分かりませんが。
また、Linux/UnixカテゴリはCPUすら異なる様々なUnix系OS(Linux系,
BSD系, Mac OS, HP-UX, AIX, SCO Unix, IRIX, Solaris等)をひとまと
めにしたカテゴリなので、OS一種類あたりの脆弱性は確かに随分低く
なると判断して良いんじゃないでしょうか。
このリストに悪意があったかどうかは分かりませんが、少し読めば
少なくとも「実はWindowsより脆弱性が多かったLinux/Unix」 [cnet.com]
なんて結論にならないのは間違いない訳で、PC系ライターの質が低く
なる一方である現状は残念に感じますね。
Q:「ポンプを売る商売で儲けたいのですが」 (スコア:0, 余計なもの)
Re:Q:「ポンプを売る商売で儲けたいのですが」 (スコア:2, おもしろおかしい)
Re:Q:「ポンプを売る商売で儲けたいのですが」 (スコア:1, 興味深い)
#マジで団員不足で機関が減ってるんだよ ポンプ車をなくしている地方も多いし
たとえるなら (スコア:0, おもしろおかしい)
Re:たとえるなら (スコア:1, 興味深い)
Re:たとえるなら (スコア:0)
そりゃ、殆ど労力掛けないで虫歯を防ぐ方法なんてのは難しいよなぁ(笑)
#ウイルス対策も似たようなもんだ。
フッ素入り水道水でファイナルアンサー (スコア:1, 参考になる)
実際に多くの国で実行されています。
というわけで、「殆ど労力掛けないで虫歯を防ぐ方法」は既に存在します。
Re:フッ素入り水道水でファイナルアンサー (スコア:1, 興味深い)
報告されているので、導入する場合は適切なコントロールが必要だと勧告されています。
ま、量を守れというのは塩とかと同じことね。
Re:たとえるなら (スコア:0)
って言ってるんじゃないかと。
標準*nixパーミッション (スコア:0, おもしろおかしい)
Re:Open Tech Pressは信用できるのか? (スコア:2)
根拠がない、などと早とちりして Open Tech Press を中傷するのは非常にみっともない。