- 2006年7月21日 04:50
- Linux
コンピュータで食っていく人間が何を言ってますかという突っ込みを受けそうですが,System EngineerではなくSecurity Engineerのお話.ネットワークやシステムにおけるセキュリティー,企業戦略としての情報セキュリティ,どちらにも興味があるし好きな分野だと思う.でもそれを仕事にして飯を食いたいかと問われれば,出来ることならNOと答えたい(苦笑
リスクマネージメントの分野であり,純利益を生まず,10の投資に対し1の結果しか出す事が出来ないかもしれない仕事.更には自身の過失ではなくても大きな責任を取らなければいけない仕事.これだけ情報セキュリティーが騒がれている時代でも,経営陣からの風当たりは未だ相当に強いことだろう.彼ら経営陣は情報セキュリティーを勘違いしていると思うよ,ほんと.
「セキュリティーは完璧」 こんな言葉を使う技術者がいたら,とても一緒にお仕事をしたいとは思わない(苦笑 そんな言葉を放つ彼は,システム,そして人間の統制を取り,セキュリティーレベルを高めることが如何に大変なことであるかを知らないのだろう.セキュリティーというものは,針の穴を突き住宅地に火を放つ犯人(故意であれ過失であれ,外部であれ内部であれ)に対して,広域警戒網で対応しているような状態であるというのが個人的な見解.ちょっとオーバーな表現だったが,セキュリティーに完璧など無いと認識すべきではないか.
で,なんでこんな愚痴みたいな話をしているのかと言うと・・・.
幾つかのLinuxサーバーで2006/07/14に公開されたLinux kernel 2.6xの内部ユーザー権限昇格の脆弱性CVE-2006-3626の対応に追われたから.半ば0dayでExploit codeが出回っているってのはどういうことだ・・・.山のようなユーザーがいる大学のサーバーでは致命的なお話.パッチを追うスピードが命?(--、
# ちなみにDebian GNU/LinuxではDSA-1111-1 2.6.8-16sarge4でfixed
時を同じくして,こちらもLinux kernel 2.6xの内部ユーザー権限昇格の脆弱性CVE-2006-2451でDebian Projectの開発サーバーであるgluck.debian.orgが侵入を受けたというお話.SELinuxやAppArmorを導入していれば防げたのかもしれないが,多種のシステムが動作するサーバーではいささか難航しそうだなぁ.っていうかDebian Projectは3年前にもクラックされたことなかったか?(苦笑 妙な狙われっぷり(==;
ちなみに侵入の経緯や結果に関しては以下の記事が読みやすい.
Debian開発サーバーへの不正侵入,原因はLinuxカーネルのセキュリティ・ホール itpro.nikkeibp.co.jp
Update on compromise of gluck.debian.org, lock down of other debian.org machines kmuto.jp
Debian Projectのサーバが不正侵入される slashdot.jp
Debian Server restored after Compromise www.debian.org
Comments:0
Trackbacks:0
- TrackBack URL for this entry
- http://distance.eclisse.info/cgi-bin/mt-tb.cgi/755
- Listed below are links to weblogs that reference
- SEにはなりたくない from distance
