パスワードを忘れた? アカウント作成
15832 story

脆弱性をオークションで取引 27

ストーリー by mhatta
ブツはたしかなんだろうな 部門より

pinbou 曰く、

本家/.の記事より。スイスの研究所が、セキュリティ脆弱性情報を取引するオークション・サイト、WabiSabiLabiを開設した(Dark Readingの記事)。eBayやヤフオクのように、セキュリティ研究者やハッカー/クラッカーが「出品」したセキュリティホールの情報に値を付けて競り落とすというもの。すでにタレコミ時点でも4つの脆弱性が出品され、500から2000ユーロの値が付いている。今までは公的機関への報告か非公式なルート(含むゼロデイ攻撃)で明らかにされることが多かったが、このサイトの開設で脆弱性の発見に、その困難さに応じた正当な代価が支払われるようになるとサイト側は主張しているようだ。しかし、悪用したい人間が金を積んで競り落としてしまうというおそれは払拭できそうにない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ワビサビ (スコア:2, おもしろおかしい)

    by tondeke (29053) on 2007年07月06日 14時15分 (#1185557) ホームページ 日記
    blog [blogspot.com]より引用。

    Wabi-sabi nurtures all that is authentic by acknowledging three simple realities: nothing lasts, nothing is finished, and nothing is perfect."

    In this view, Wabi-sabi is the perfect term to represent the implicit imperfection of the IT security, as well as the scope of our project, which is to contribute to its improvement. This goal is achieved by completely re-designing the traditional security research cycle, introducing for the first time ever a market-driven approach to correctly value the security researchers contributions.


    なんかすっごく誤解されていませんか。日本の美意識…。
    • Re:この出品者への評価 (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2007年07月06日 15時05分 (#1185576)
      出品者:AC(2件)

      商品:【ゼロデイ】MS製品脆弱性詰め合わせ【悪用厳禁】
      落札金額:5万円
      評価者:Oliverさん
      評価:★☆☆☆☆
      コメント:
      最悪です、MS全製品に影響するゼロデイだと謳っていたのに、すでにパッチで塞がれていました。これじゃ悪戯できません。
      出品者のコメント:
      悪用厳禁って書いてありますよ、そんなお前は電車の中でLinux入りCDでも拾ってなさいってこった。

      商品:【マジヤバイ】SONY製品の致命的な欠陥情報【必見】
      落札金額:9万円
      評価者:AnonymousCouwerdさん
      評価:★★☆☆☆
      コメント:
      SONY製品の脆弱性で、ソニータイマーというのは反則じゃないでしょうか。PSP、PS3を失敗させたクターのオーバーフロー情報は役に立ちました。
      出品者のコメント:
      PSXのこともたまには思い出してやってください。
      親コメント
    • by iwakuralain (33086) on 2007年07月06日 15時55分 (#1185593)
      これは考え方によっては犯罪幇助では?
      親コメント
      • by Anonymous Coward
        脆弱性を持ったOSを勘定系システムで使用するのは、考え方によっては犯罪幇助では?

        論点を変えれば、犯罪を犯そうとする者が存在することに手を貸している世界は犯罪幇助だよなぁ。
    • by Anonymous Coward
      オークションって、日本の美意識からは外れてない?
      滅私の心で世界にご奉公ぐらいな宗教観が欲しいトコロだ。

      #もちろんネタですよ
      #無給じゃコメは買えません!
      • Re:ワビサビ (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2007年07月06日 15時07分 (#1185577)
        >滅私の心で世界にご奉公ぐらいな宗教観が欲しいトコロだ。
        >#無給じゃコメは買えません!

        もちろん昔のえらい人もそこらへんはちゃあんと分かってましたとも。
        世界にご奉公しておまんまにありつく。これを「めし奉公」と言いましてな…
        #おあとがよろしいようで。
        親コメント
      • >滅私の心で世界にご奉公ぐらいな宗教観が欲しいトコロだ。

        日本の「滅私奉公」を曲解している人がここにもいるんだなぁ。
        日本の滅私奉公は、「自分を殺しても公にたてまつる」で、公を世間とか世界と勘違いしている。
        滅私奉公が言われた時代、奉公とは、「自分が奉職するor自分がよいと思うものへの」の奉り。
        つまりは、自分の家の家督が残る、自分の奉職していた先が自分の家族を守るという、ある意味、自分の遺伝子存続のために自分を滅するという非常に自分のために公を言うということなんだ。
    • by Anonymous Coward
      諸行無常の方が当を得ていそうではありますが、日本の美意識に対する理解としてはそんなに誤解されているというわけでもないと思いますけどね。似た方面から採った本来別々の呼称と概念を結びつけてしまうのは概念導入に際してままあることじゃないでしょうか。playing cardsをトランプと呼ぶに似たりと。

    • 3つの単純な現実を認識することが、Wabi-sabiを正統たらしめています。
      「何も持続しない」「何も完了しない」「何も完璧ではない」

      こうしてみると、Wabi-sabiはITセキュリティを表現するのに実に申し分のない言葉です。同様に私たちのプロジェクト - ITセキュリティの改善に貢献する - をよく表現しています。プロジェクトのゴールは、セキュリティ研究者の貢献を市場を通して評価することにより、従来からのセキュリティ研究サイクルを完全に再設計することにあります。


      (続きは省略されました。すべて読むにはCtrl-Wを押してください)
  • 単純に (スコア:2, すばらしい洞察)

    by shit-dog (30915) on 2007年07月06日 15時36分 (#1185588) ホームページ 日記
    >悪用したい人間が金を積んで競り落としてしまう
    これが現実に起きれば、その時点で犯罪幇助では?
  • by masakun (31656) on 2007年07月06日 23時34分 (#1185783) 日記
    提供されているもの、たとえば Yahoo! Messenger 8.1 remote buffer overflow の場合

    Remotely exploitable by any user in the victim's address book (some interaction from the victim is required). Arbitrary code execution possible but non-trivial.


    という簡単な情報だけで判断せざるを得ないという点で、このオークションの出品物はあまり価値がない気がします。たとえば bugtraq や milw0rm.org で公開されているものはテストした環境が書いてあるのが普通ですがそれすらなく、影響を受けるシステムが Windows XP だけというのは、サービスパックの有無すら書いていない時点で情報が不足気味かと思われます。

    本当に悪用したい人間はこんな所で競り落とさず、bugtraq やアングラを巡回すると思いますけど。

    --
    モデレータは基本役立たずなの気にしてないよ
  • 安易な考え方だし内容も確認してないので申し訳ない感じだか タイトルを読んだだけで予想

    登場人物
    F(sの脆弱発見者で出品者 但アレ系)
    Zさん(Fの協力者で悪名高い人)
    Mさん(脆弱性がみつかったソフトsの作成者)
    Aさん(アンチウイルスなどサービス会社でMと仲がよい)
    Uさん(ソフトsの利用者)

    Fさん出品
    MさんAさんは 穴埋めのため入札
    Zさんが高額で入札
    MA共に再入札するも Zが吊り上げ
    MA撤退
    U「攻撃させる気か」と文句
    しょうがなくMAが共同で 高額落札

    Fさん 相場以上儲ける
    Zに協力金支払う

    ウマー

    ありえないよな
    --
    [注意]コメント主は大変叩かれ弱い性質です。優しく接してあげて下さい
    ~おもしろおかしい以外に興味はありません~
    • 海外は eBay、日本は Yahoo! オークションを利用していますが、吊り上げは日本の文化なのだろうかという印象があります。

      eBay では、複数が参加する入札でも、最初から出せる最高額を入力して、2度以上入札しない人が多いです。(後から来た入札者が最高額をつけても、最初の入札者が再入札することが少ない。代わりに、最初の入札者は十分な高額をつけているので、後から来た入札者が最初の入札者に勝つためには、現在値よりかなり上の額をつけないと勝てない)
      一方、Yahoo! オークションでは、競争になると、参加者が手入力で小刻みに額を増やしていくことがよく見受けられます。

      eBay に参加し始めたころ、Yahoo! オークションの流儀で小刻みに再入札していたのですが、他の人はやらないので恥ずかしくなって、出せると考えた最高額を最初から入力するようになりました。
      終了間際の飛び込み入札など、eBay と Yahoo! オークションで共通する行動もあるのですが、入札額のつけ方の傾向は違うなという感触を持っています。(人間は千差万別ですから、eBay で Yahoo! オークションと似た行動をする人もいるでしょうけれど、私に見える範囲ではいません)

      何が言いたいかというと、元コメントには、日本ならではの発想も含まれているのではないかなーと、それだけですが。
      親コメント
      • オークションでそもそも安く買おうって発想がないんですかね。というか、もともとオークションてそういうものか。

        日本てオークションとは名ばかりの「蚤の市」ですよね。どこまで値切れるか、多数ある価値の無いものの中から価値のあるものをいかに買い叩くかが主眼となってるような。
        親コメント
        • 私の書き方が悪かったですが、私の印象は逆です。

          eBay は、「安く落札できれば御の字だけど、他にも入札者がいたら、ここまで出すよ」というような基準がはっきりしているように思います。「ここまで出すよ」を最初に決めて入札するので、再入札があまり起きないようです。
          他に入札者がいなくて、最初の安値で決着することもありますし。
          そもそも、eBay では、出品者の値付けが、Yahoo! オークションの似たような商品より安いのが普通です。

          Yahoo! オークションは、出品者の値付けが高いことがしばしばありますし、入札者も、本当に欲しいためなのかもしれませんが、競札になると小刻みに再入札を繰り返してエスカレートしていって、結果的に、高価格での落札になることも多いです。(ネットで検索できる専門店などの価格と比較しても)

          なので、私の感覚で「蚤の市」なのは、eBay の方ですね。
          (もっとも、落札価格は安くても、輸送費でトントンなことが多いのだけど)

          これは私がオークションを利用しているジャンル(古書、PCパーツ、古玩具)で観察した印象なので、他のジャンルでは、また違った行動原理が見られるかもしれません。
          親コメント
    • それって、Uさえ居なけりゃ問題起きないって事?

      Fさん出品
      MさんAさんは 穴埋めのため入札
      Zさんが高額で入札
      MA共に再入札するも Zが吊り上げ
      MA撤退
      Zさん落札

      問題なし。

      仮にZさんとFさんに関係がなかったとして、落札して悪用したら、落札者の情報から足付いちゃわないか?
      落札者の身分をしっかり確認しておけば問題ないのかなぁ
      でも、やっぱり不安は残るか。
      親コメント
    • by krackmania (7864) on 2007年07月06日 17時24分 (#1185627) 日記
      F=Mだったら最悪だよなあ…。
      マッチポンプが発生する可能性は。

      業と脆弱性を作っておいて、高く。
      あれ?こういうの無かったけ?
      親コメント
  • by Anonymous Coward on 2007年07月06日 18時01分 (#1185654)
    オークションってのは、個々の商品について、買い手候補が複数存在することが前提です。

    あるソフトウェアの脆弱性にお金を払おうとする人間として想定可能なのは、
    ・ 開発元・販売元等
    ・ 脆弱性を悪用しようとする人
    なので、
    もしこのオークションサイトがプロプラソフトを対象に含めてるなら、
    インターネットから隔離すべき犯罪助長サイトと言い切れます。

    オープンソースのみ対象とするなら、ちょっと面白いねーと思います。
    • #1185654 のACです。
      > ・ 開発元・販売元等
      これ、「脆弱性を修正しようとする人」と置き換えてください。

      オープンソースソフトの脆弱性をいろんなベンダーが競って落札しようとする、っていう風な使われ方はいいと思うんですよ。貢献を競う感じで。
  • by Anonymous Coward on 2007年07月06日 15時14分 (#1185580)
    日本じゃ考えられない発想ですなあ。こんなことを研究所がやったら袋叩きでしょう。

    まあ、池田信夫氏なんかはこういうのに近い立場なんですかね。何でも経済取引で自然に解決するという発想とか。
    • by sayuporn (33927) on 2007年07月06日 16時32分 (#1185610) 日記
      脆弱性を発見するにも労力が発生し、それには対価が支払われるべきだと思います。
      ボランティアで脆弱性を発見するよりも、それに対価が支払われるならば、
      総じて脆弱性の発見は早まり、被害は少なくなると思います。

      もちろんこの思想に反対な人はオークションで落札される前に自分で発見し、
      無償で報告すればいいので、このようなオークションができることは、
      セキュリティ業界ににとってはプラスのことだと思います。

      #日本人はお金を汚いものだと見がち。
      #モチベーションと置き換えてみよう
      親コメント
      • Re:文化的違い? (スコア:2, すばらしい洞察)

        by mondy (27787) on 2007年07月06日 17時26分 (#1185628)
        脆弱性の発見に、報酬が払われる事は問題ない。

        しかし、脆弱性を修正すべき責任の無い第三者、悪意のある第三者に落札される可能性のある
        オークション形式がセキュリティに寄与するかは疑問がある。
        親コメント
        • 脆弱性の発見に報酬を払おう。というのがこのオークションの趣旨だと思います。
          またオークションにかけられることで、今まで埋もれていた脆弱性も公になるでしょうし、

          悪意のあるひとが落札した後に、安い値段で 再 出 品 すればよいのでは?
          売れた後でメーカーに報告してもいいし。
          メーカーもこのオークションを見張っていれば、脆弱性に気づくでしょう。
          親コメント
          • Re:文化的違い? (スコア:2, すばらしい洞察)

            by kicchy (4711) on 2007年07月06日 21時47分 (#1185748)
            >悪意のあるひとが落札した後に、安い値段で 再 出 品 すればよいのでは?

            これはいいかもしれませんね。
            落札後、~の期間で公開しますとか条件をつけておく。
            悪意のある人も、その期間内に活用しなくてはいけない。

            >売れた後でメーカーに報告してもいいし。

            これはだめです。
            メーカーが落札しようとする動機がなくなります。
            つまり落札者は、ほぼ必ず悪意のある人になります。
            親コメント
      • by Anonymous Coward
        同じ行為でも、金銭的利益の有無で、可罰的違法性が判断される国ですよ。
        幇助とかは特に。
        どんな屁理屈を立てようが、結果的に犯罪を助長する結果が出たら逮捕起訴有罪。金目当ての犯行だったと断罪される。
        • by Anonymous Coward
          > 同じ行為でも、金銭的利益の有無で、可罰的違法性が判断される国ですよ。
          スイスってそんな国だったんですか?
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...