Security - Testing tool to the public?

OperaWatch の How will Mozilla’s security tools affect Opera and the public? で言及されている internet.com の記事から紹介をしておく。
米国ラスベガスのシーザース・パレスで開かれる Black Hat というセキュリティ・セミナで今週水曜、Mozilla のセキュリティ部門最高責任者(Chief Security Officer)ウィンドー・シュナイダーが Building and Breaking the Browser というセッションにおいて、Fuzz testing のツールを公開する予定だという。予定表によると 8 月 2 日に Window Snyder と Mike Shaver の 2 人がそのセッションを担当するようだ。
記事にも一部引用がされているが、より適切と思われる、イベントの担当者紹介ページから引用してみる。

Mozilla is using openness and transparency to better secure its products and help other software projects do the same.

Mozilla has built and collaborated on tools to secure the Firefox Web browser and Thunderbird e-mail client, the first of which will be released at Blackhat Las Vegas 2007. These tools include protocol fuzzers for HTTP and FTP and a fuzzer for Javascript, which together have led to the discovery and resolution of dozens of critical security bugs.

引用部分の訳

  • Mozilla は自らの製品(プロダクト)と企画(プロジェクト)のセキュリティ向上のため、公開性と透明性という原則を用いている。Mozilla はウェブ・ブラウザ Firefox とメール・クライアント Thunderbird を安全なものにするため幾つかの道具を作り上げ各部門で利用しているが、ブラックハット・ラスベガス 2007 においてそれらの一部を公開する。それらの道具には、HTTP と FTP に対するプロトコル・ファザと JavaScript ファザが含まれる。これらを利用することによって、重大なセキュリティ上のバグと修正法が数多く発見されるであろう。」

internet.com 誌の取材に答えた Opera の広報担当トーマス・フォードによると、既に 2 人の開発者の元にその道具が届けられ、試験が行われているという。もちろんこうした道具は、既に各社独自に開発され運用されている。たとえば Google はレモンと呼ばれる同様の道具を用いていることが記事になっていし、Opera においてもそれは同様である。しかしそうした道具を「一般に」公開するかどうかは、別の問題を引き起こすだろう。
Opera 社の社長にして技術部門の最高責任者クリステン・クログは次のような懸念を表明している*1。OperaWatch でも引用されているその箇所を訳しておく。
「ソフトウエアの脆弱性を発見する道具を一般に公開するのは、それがどんなものであっても、誤用される恐れを伴う。ある機関がそうした道具を公開する際には、無数の傍観者にとってそれがひどく害のあるものと成り得る点を考慮しなければならない。」
「公開性と透明性」をむねとする Mozilla の Bugzilla においても、こと脆弱性に関する情報には例外的に公開制限がかかっているのは広く知られている。いずれにしても詳細に関しては、数日待たなければならない。
(参考)上で言及した記事の和訳記事から引用。

Lemon を近い将来に利用できるようになると期待してはいけない。Google は、この取り組みについては社外に出さない可能性が高い。

(参考)OperaWatch にエイサの発言あり。ブラウザ製造所には十分対策を準備出来る時間をとって事前に配布してあるのだし、侵入を試みようとする連中は独自の道具を使って穴を見つけようとしているのだから、今回のようにして道具を共有することは Mozilla だけに限らず他の製造所にも求められるべきことなのだと、いつもながらやけに明確な見通しの下にコメントしている。
(参考)今年の Blackhat について概要を総ざらい的に紹介した日本語記事 - 年次セキュリティカンファレンスBlack Hat開催中--今年から規模も拡大

*1:CEO 制をとっている Opera では、社長の上に CEO や CSOCFO 等が置かれている。以前の呼称では技術部門担当副社長に当たるのだろうか。