脆弱性をオークションで取引 27
ストーリー by mhatta
ブツはたしかなんだろうな 部門より
ブツはたしかなんだろうな 部門より
pinbou 曰く、
本家/.の記事より。スイスの研究所が、セキュリティ脆弱性情報を取引するオークション・サイト、WabiSabiLabiを開設した(Dark Readingの記事)。eBayやヤフオクのように、セキュリティ研究者やハッカー/クラッカーが「出品」したセキュリティホールの情報に値を付けて競り落とすというもの。すでにタレコミ時点でも4つの脆弱性が出品され、500から2000ユーロの値が付いている。今までは公的機関への報告か非公式なルート(含むゼロデイ攻撃)で明らかにされることが多かったが、このサイトの開設で脆弱性の発見に、その困難さに応じた正当な代価が支払われるようになるとサイト側は主張しているようだ。しかし、悪用したい人間が金を積んで競り落としてしまうというおそれは払拭できそうにない。
ワビサビ (スコア:2, おもしろおかしい)
なんかすっごく誤解されていませんか。日本の美意識…。
Re:この出品者への評価 (スコア:5, おもしろおかしい)
商品:【ゼロデイ】MS製品脆弱性詰め合わせ【悪用厳禁】
落札金額:5万円
評価者:Oliverさん
評価:★☆☆☆☆
コメント:
最悪です、MS全製品に影響するゼロデイだと謳っていたのに、すでにパッチで塞がれていました。これじゃ悪戯できません。
出品者のコメント:
悪用厳禁って書いてありますよ、そんなお前は電車の中でLinux入りCDでも拾ってなさいってこった。
商品:【マジヤバイ】SONY製品の致命的な欠陥情報【必見】
落札金額:9万円
評価者:AnonymousCouwerdさん
評価:★★☆☆☆
コメント:
SONY製品の脆弱性で、ソニータイマーというのは反則じゃないでしょうか。PSP、PS3を失敗させたクターのオーバーフロー情報は役に立ちました。
出品者のコメント:
PSXのこともたまには思い出してやってください。
犯罪幇助? (スコア:1)
Re:犯罪幇助? (スコア:0)
論点を変えれば、犯罪を犯そうとする者が存在することに手を貸している世界は犯罪幇助だよなぁ。
Re:ワビサビ (スコア:0)
滅私の心で世界にご奉公ぐらいな宗教観が欲しいトコロだ。
#もちろんネタですよ
#無給じゃコメは買えません!
Re:ワビサビ (スコア:2, おもしろおかしい)
>#無給じゃコメは買えません!
もちろん昔のえらい人もそこらへんはちゃあんと分かってましたとも。
世界にご奉公しておまんまにありつく。これを「めし奉公」と言いましてな…
#おあとがよろしいようで。
Re:ワビサビ (スコア:0)
日本の「滅私奉公」を曲解している人がここにもいるんだなぁ。
日本の滅私奉公は、「自分を殺しても公にたてまつる」で、公を世間とか世界と勘違いしている。
滅私奉公が言われた時代、奉公とは、「自分が奉職するor自分がよいと思うものへの」の奉り。
つまりは、自分の家の家督が残る、自分の奉職していた先が自分の家族を守るという、ある意味、自分の遺伝子存続のために自分を滅するという非常に自分のために公を言うということなんだ。
Re:ワビサビ (スコア:0)
【超訳】WabiSabiLabiの哲学 (スコア:0)
3つの単純な現実を認識することが、Wabi-sabiを正統たらしめています。
「何も持続しない」「何も完了しない」「何も完璧ではない」
こうしてみると、Wabi-sabiはITセキュリティを表現するのに実に申し分のない言葉です。同様に私たちのプロジェクト - ITセキュリティの改善に貢献する - をよく表現しています。プロジェクトのゴールは、セキュリティ研究者の貢献を市場を通して評価することにより、従来からのセキュリティ研究サイクルを完全に再設計することにあります。
(続きは省略されました。すべて読むにはCtrl-Wを押してください)
単純に (スコア:2, すばらしい洞察)
これが現実に起きれば、その時点で犯罪幇助では?
ブツはたしかなんだろうな部門 (スコア:2, すばらしい洞察)
という簡単な情報だけで判断せざるを得ないという点で、このオークションの出品物はあまり価値がない気がします。たとえば bugtraq や milw0rm.org で公開されているものはテストした環境が書いてあるのが普通ですがそれすらなく、影響を受けるシステムが Windows XP だけというのは、サービスパックの有無すら書いていない時点で情報が不足気味かと思われます。
本当に悪用したい人間はこんな所で競り落とさず、bugtraq やアングラを巡回すると思いますけど。
モデレータは基本役立たずなの気にしてないよ
安易な考え方 (スコア:1)
登場人物
F(sの脆弱発見者で出品者 但アレ系)
Zさん(Fの協力者で悪名高い人)
Mさん(脆弱性がみつかったソフトsの作成者)
Aさん(アンチウイルスなどサービス会社でMと仲がよい)
Uさん(ソフトsの利用者)
Fさん出品
MさんAさんは 穴埋めのため入札
Zさんが高額で入札
MA共に再入札するも Zが吊り上げ
MA撤退
U「攻撃させる気か」と文句
しょうがなくMAが共同で 高額落札
Fさん 相場以上儲ける
Zに協力金支払う
ウマー
ありえないよな
[注意]コメント主は大変叩かれ弱い性質です。優しく接してあげて下さい
~おもしろおかしい以外に興味はありません~
脱線:オークションでの行動について (スコア:4, 興味深い)
eBay では、複数が参加する入札でも、最初から出せる最高額を入力して、2度以上入札しない人が多いです。(後から来た入札者が最高額をつけても、最初の入札者が再入札することが少ない。代わりに、最初の入札者は十分な高額をつけているので、後から来た入札者が最初の入札者に勝つためには、現在値よりかなり上の額をつけないと勝てない)
一方、Yahoo! オークションでは、競争になると、参加者が手入力で小刻みに額を増やしていくことがよく見受けられます。
eBay に参加し始めたころ、Yahoo! オークションの流儀で小刻みに再入札していたのですが、他の人はやらないので恥ずかしくなって、出せると考えた最高額を最初から入力するようになりました。
終了間際の飛び込み入札など、eBay と Yahoo! オークションで共通する行動もあるのですが、入札額のつけ方の傾向は違うなという感触を持っています。(人間は千差万別ですから、eBay で Yahoo! オークションと似た行動をする人もいるでしょうけれど、私に見える範囲ではいません)
何が言いたいかというと、元コメントには、日本ならではの発想も含まれているのではないかなーと、それだけですが。
Re:脱線:オークションでの行動について (スコア:1)
日本てオークションとは名ばかりの「蚤の市」ですよね。どこまで値切れるか、多数ある価値の無いものの中から価値のあるものをいかに買い叩くかが主眼となってるような。
Re:脱線:オークションでの行動について (スコア:2, 興味深い)
eBay は、「安く落札できれば御の字だけど、他にも入札者がいたら、ここまで出すよ」というような基準がはっきりしているように思います。「ここまで出すよ」を最初に決めて入札するので、再入札があまり起きないようです。
他に入札者がいなくて、最初の安値で決着することもありますし。
そもそも、eBay では、出品者の値付けが、Yahoo! オークションの似たような商品より安いのが普通です。
Yahoo! オークションは、出品者の値付けが高いことがしばしばありますし、入札者も、本当に欲しいためなのかもしれませんが、競札になると小刻みに再入札を繰り返してエスカレートしていって、結果的に、高価格での落札になることも多いです。(ネットで検索できる専門店などの価格と比較しても)
なので、私の感覚で「蚤の市」なのは、eBay の方ですね。
(もっとも、落札価格は安くても、輸送費でトントンなことが多いのだけど)
これは私がオークションを利用しているジャンル(古書、PCパーツ、古玩具)で観察した印象なので、他のジャンルでは、また違った行動原理が見られるかもしれません。
Re:安易な考え方 (スコア:1)
Fさん出品
MさんAさんは 穴埋めのため入札
Zさんが高額で入札
MA共に再入札するも Zが吊り上げ
MA撤退
Zさん落札
問題なし。
仮にZさんとFさんに関係がなかったとして、落札して悪用したら、落札者の情報から足付いちゃわないか?
落札者の身分をしっかり確認しておけば問題ないのかなぁ
でも、やっぱり不安は残るか。
Re:安易な考え方 (スコア:1)
マッチポンプが発生する可能性は。
業と脆弱性を作っておいて、高く。
あれ?こういうの無かったけ?
買い手が複数存在しうるか? (スコア:1, すばらしい洞察)
あるソフトウェアの脆弱性にお金を払おうとする人間として想定可能なのは、
・ 開発元・販売元等
・ 脆弱性を悪用しようとする人
なので、
もしこのオークションサイトがプロプラソフトを対象に含めてるなら、
インターネットから隔離すべき犯罪助長サイトと言い切れます。
オープンソースのみ対象とするなら、ちょっと面白いねーと思います。
Re:買い手が複数存在しうるか? (スコア:0)
> ・ 開発元・販売元等
これ、「脆弱性を修正しようとする人」と置き換えてください。
オープンソースソフトの脆弱性をいろんなベンダーが競って落札しようとする、っていう風な使われ方はいいと思うんですよ。貢献を競う感じで。
文化的違い? (スコア:0)
まあ、池田信夫氏なんかはこういうのに近い立場なんですかね。何でも経済取引で自然に解決するという発想とか。
Re:文化的違い? (スコア:1)
ボランティアで脆弱性を発見するよりも、それに対価が支払われるならば、
総じて脆弱性の発見は早まり、被害は少なくなると思います。
もちろんこの思想に反対な人はオークションで落札される前に自分で発見し、
無償で報告すればいいので、このようなオークションができることは、
セキュリティ業界ににとってはプラスのことだと思います。
#日本人はお金を汚いものだと見がち。
#モチベーションと置き換えてみよう
Re:文化的違い? (スコア:2, すばらしい洞察)
しかし、脆弱性を修正すべき責任の無い第三者、悪意のある第三者に落札される可能性のある
オークション形式がセキュリティに寄与するかは疑問がある。
Re:文化的違い? (スコア:1)
またオークションにかけられることで、今まで埋もれていた脆弱性も公になるでしょうし、
悪意のあるひとが落札した後に、安い値段で 再 出 品 すればよいのでは?
売れた後でメーカーに報告してもいいし。
メーカーもこのオークションを見張っていれば、脆弱性に気づくでしょう。
Re:文化的違い? (スコア:2, すばらしい洞察)
これはいいかもしれませんね。
落札後、~の期間で公開しますとか条件をつけておく。
悪意のある人も、その期間内に活用しなくてはいけない。
>売れた後でメーカーに報告してもいいし。
これはだめです。
メーカーが落札しようとする動機がなくなります。
つまり落札者は、ほぼ必ず悪意のある人になります。
Re:文化的違い? (スコア:0)
幇助とかは特に。
どんな屁理屈を立てようが、結果的に犯罪を助長する結果が出たら逮捕起訴有罪。金目当ての犯行だったと断罪される。
Re:文化的違い? (スコア:0)
スイスってそんな国だったんですか?
Re:文化的違い? (スコア:0)