スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月28~29日のtwitterセキュリティクラスタ

また1つ年を取りました。

先日のCSRFによる逮捕者は不正指令電磁的記録罪(ウイルス罪)が適用されていましたが、それに対してmala氏が問題点を指摘しています。
bulkneets:以上のような問題がある

bulkneets:1.特にログインとか不要でCSRFが可能な掲示板に対して自分のIPアドレスで書きこまれた場合に無実を証明するために家宅捜索受けたりパソコンの中身見せたりしないといけないのか。犯人が巧妙だった場合に逮捕されて取り調べを受けたりすることにならないか。(ユーザー向け)

bulkneets:2.特にユーザーの同意を得ずに書き込み操作が行われるようなWebサイトは多くある。足あと機能、IPアドレス等を晒すページ、投票機能、確認のないシェアボタン、カートに入れる操作はCSRFできるが商品購入は確認あり、とか。意図に反すると言われたらどうすればいいのか(開発者向け)

bulkneets:3.CSRFに不正指令電磁的記録が適用される事例ができれば法的に対処できるので対策しなくてもいいやという空気が生まれるのではないか(サイバーノーガード)

bulkneets:4.技術者が萎縮する!!なんてのは、萎縮しなければいいわけなんだけど hamachiya.com/junk/cj.html こういうページ公開するのは確実に躊躇することになると思う(セキュリティ研究者向け)

bulkneets:5.CSRFに引っかかった人を「ウィルスに感染したのか、マヌケwwww」という反応がでるけど、Webページ表示するだけで書き込み処理が行われるようなものを防げるわけない。(被害者の名誉)

bulkneets:個人的には1を一番気にしていて「その掲示板、CSRFか何か勝手に書きこまれちゃったみたいなんですけど」「なるほど、例のウィルスですね」「感染してますね・・・」「犯人検挙に、ご協力を!」などといってブラウザ履歴を押収されるのではないかという恐怖がある。

それに対する高木先生の意見。
HiromitsuTakagi:1.← 不正指令罪にCSRF含むかに無関係。不正指令被供用者としてなら、任意の捜査協力要請にしかなり得ないので、嫌なら断ればいいだけ。今回の件が強制捜査になり得たのはCSRFの結果が直接別の犯罪(脅迫罪)を構成するから。不正指令罪にCSRFを含まなくても同じ可能性は常にある。

HiromitsuTakagi:2.← 意図に反するだけでは不正指令電磁的記録に当たらない。「不正な」でなければ。「不正な」か否かを判断するのは裁判所ということになっている。また、意図に反するかも、どうやってリンク先に誘導したかによる。

HiromitsuTakagi:3.← 不正アクセス行為と不正アクセス禁止法の関係でも同様であり、理由にならない。

HiromitsuTakagi:4.← そのページは(その説明のあり方からして)元々躊躇してしかるべきものなので、理由にならない。

HiromitsuTakagi:5.← 「ウィルスに感染したのか、マヌケwwww」という反応自体が(CSRFか否かに関わらず)マヌケなので、理由にならない。

この高木先生の意見に対する園田寿先生とのやり取り。
sonoda_hisashi:@HiromitsuTakagi 犯罪を構成しなくとも、たとえばポルノサイトに登録させるなど、供用罪に当たる可能性はありますね。

HiromitsuTakagi:@sonoda_hisashi 今の論点は、CSRFを不正指令罪に含めないべきであるとする @bulkneets 氏の主張に対する反論(含めた場合に対して指摘の懸念1.は、含めない場合にも同様にあるので、理由にならないというもの)です。

bulkneets:@HiromitsuTakagi 含めないべき、とまではいってません。少なくともウィルスと表現するのは弊害があるというのと、適用は慎重であるべき、という立場です。

HiromitsuTakagi:@sonoda_hisashi 嫌がらせが不正指令罪に当たり得る(CSRFによるものか否かに関わらず)というのはその通りかと。

sonoda_hisashi:@HiromitsuTakagi どんなプログラムであれ、社会倫理に反する使われ方がなされた場合、不正指令供用罪の可能性はありますね。

HiromitsuTakagi:@sonoda_hisashi そうですね。そして、「社会倫理に反する」か否かの判断が事実上(日本の司法制度では?),裁判所ではなく警察と検察に委ねられてしまっていることが、それでいいのか(コンピュータプログラムに関して)という疑問があろうかと。
sonoda_hisashi:@HiromitsuTakagi 仰る通りだと思います。ただ、たとえば、出版(表現行為)も社会倫理的にその許容性がまずは警察によって判断されますので(わいせつ等の場合)、その限りでは、同じ次元の問題かと思います。法的には、プログラムも表現物ですね。


そしてmala氏のツイートを読んだ人が曲解されているみたいで大変そうです。
bulkneets:読んだ人の感想であって自分の意見ではない

bulkneets:そんなことは言ってねえよ → 「ウィルス作成罪の適用対象じゃない可能性高そうという点も激しく同意」

bulkneets:自分の主張していることはシンプルで、ユーザーの安全と開発者の自由を両方守るために、実行可能な処理が制限されてるプラットフォーム上で動いてるプログラムを法的に制限することの必然性が薄く、適切に運用されないとデメリットの方が大きくなるということです。


結局は不正指令電磁的記録罪をウイルス罪と置き換えちゃうのがいけないんでしょうね。やはり。
komiyaguchi:そもそもの話をすると、この手の罪で逮捕された人間がやったことを見ると、不正指令電磁的記録を「コンピュータウイルス」と言い換えること自体が変なんだよな。ウイルスも含むけどもっと上の方のものを指してる。端的に言えば「マルウェア」全般。マルウェア罪と聞いたらすんなり頭に入ってくる。

nat0468:@genjima56 なるほど、コンピュータウイルスは処罰対象の一部でしかないという事ですね。「不正指令電磁的記録に関する罪」は変な日本語ですが、まだこっちの言葉が「ウイルス作成罪」より正確な言葉な気がします。もしくは「マルウェア作成罪」ですかね。

HiromitsuTakagi:「マスコミが馬鹿」が正解。いくら警察が「不正指令電磁的記録の罪」と記者発表しても、「ウイルス作成罪のことですね?」としてしまう。 RT @coccokun これは警察が馬鹿なのか司法が馬鹿なのかマスコミが馬鹿なのかさてどれだろう?


マルウェアと普通のプログラムの境界線がどんどん曖昧になっているのでしょうね。
typex20:シマンテックが、AirPushが組み込まれた com.apperhand.* のパッケージ名のアプリをトロイの木馬のマルウェアと認定し、Android.Counterclankと命名。リスクレベルは1(とても低い)とされる。 / “T…” http://htn.to/CEYXqZ

typex20:勝手にブックマーク、ショートカットを作る、ブラウザのホームページを変える、プッシュ通知する、端末情報を収集するなどを行うと、たとえ広告でもシマンテックからマルウェア認定される可能性がある。 / “Android.Counterclan…” http://tn.to/kT3kUk


その他に気になったことはこのあたり。
kitagawa_takuji:サウジのハッカーが事故調のサイト不正改ざん | YUCASEE MEDIA  NHK科学文化部が、リーダー格らしき人物のツイッターにメッセージを発信しているが応答はないようだ。


InfosecNewsBot:Identity Finder Tool for Securing the Sensitive Information: Any person that are using internet are fac... http://bit.ly/zOUevf #infosec


FSECUREBLOG:ポーランドのパスワードをクラッキング:  月曜日の記事で紹介したサイトの多くは、現在もまだDDoS攻撃による標的となって以来オフラインのままだ。ハッカーたちは26日まで継続すると宣言している。  Polskie Radio... http://bit.ly/yIyKNS


sen_u:対談公開されてたみたい。写真付き。 【連載】緊急特集! サイバー攻撃の動向と対策 (3) ユーザーと開発会社はWebアプリケーション脆弱性にどう取り組むべきか? マイナビニュース http://bit.ly/wq52yp


kitagawa_takuji:Megaupload摘発、サイバーロッカー(オンラインストレージ)は終焉を迎えるか - P2Pとかその辺のお話@はてな (id:heatwave_p2p / @heatwave_p2p)


aki0816:本当にいろいろとやるもんだ orz QT: SSH Password attacks using domain name elements as userid @AddThisさんから


StackSecurity:Is this JSON encoding vulnerable to CDATA injection?
kitagawa_takuji:NHKニュース 米 学校システム侵入し成績改ざん http://nhk.jp/N3zr6XsQ 3人は深夜、学校に忍び込み、教師のパソコンに、入力した文字を追跡する装置を取り付けて、パスワードなどを盗み出したあと、自宅から学校のコンピューターシステムに入り込み、成績を改ざんしていた


hasegawayosuke:オープンリダイレクタ多いな。

hasegawayosuke:DOM based XSSとオープンリダイレクタ、共通点多いなと思ったけど、locationへの代入でのXSSが多いんで、どっちも細工したURLでフィルタバイパスってことですね。


ockeghem:日記(会社公式)書いた / “HASHコンサルティングオフィシャルブログ: ホスト型の廉価版WAFであるSiteGuard Liteを評価した” http://htn.to/ef431z


bulkneets:instagramのCSRFとpinterestのXSSが直った

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。