トップ 追記
RSS feed

ただのにっき


2019-02-21(木) [長年日記]

OSSライセンスMeetup Vol.2「実録:GPL違反とその対応を振り返る」へ行ってきた

講演者の宮田さん

つい最近、仕事でGNUライセンスがらみのインシデントがあって疲弊していたところ、タイムリー(?)にこんなイベントが目に入ったので参加。初回はぜんぜん気づかなかったなー。

ライセンス話だとよく見かける人たちも多数参加していて、ライセンスみたいな汎用的な話題でもコミュニティに偏りが発生しているのは興味深いです(良くはない)。場所は以前OSS Gateでもお世話になったサイオス。さほど駅近じゃないので移動がけっこう大変だけど、開始時間を遅くされると早めに帰らなきゃいけなくなるから難しいところだ。

イベント説明に「2002年のGPL違反」と書いてあったので予習しようと思ってググったら、Sigma Designの件エプソンコーワの件*1が出てきたけど、講演者の経歴からいって後者かな(←あたり)。かくして当時エプソンコーワの現場にいた人の口から、17年の歳月をこえて数々の証言が語られたのだった(めっちゃ面白いオフレコ話もけっこうあり)。

問題のドライバ/ユーティリティのブロック図

騒動の概略は上のスライドのとおり、ソースコードを公開したくないライブラリとGPLのモジュールをリンクして公開してしまったところにあるのだが、GPLだったgettextをLGPL版に差し替えて、全体に独自ライセンスを設定して再リリースすることで回避した……というのが技術的な話。gettextがGPLのままだったら確実に死亡していた案件なんだけど、初期のGPL版を入手したユーザからソースコードの要求はなかった、というのがこの件の本質じゃないかと思う。

当時のLinux(とりわけデスクトップ)界隈の雰囲気としては、盛り上げてくれる企業の参入は基本的に歓迎していて、OSSとの付き合い方におっかなびっくりの企業を温かく見守ってる感じがあった。なかでもエプソンはOSSへのコントリビューションも少なくない「優良企業」で、そういう会社がプロダクトレベルの製品をなんとかLinuxデスクトップに送り込んでくれた感謝みたいな気持ちと、すばやく対処してライセンス問題を解消してくれた行動力への賛辞が、彼らを窮地に追い込まずにおいたのではないかと思う。技術的な話ではなく「OSSコミュニティに真摯に向き合い、誠意を持って付き合え」という非常に情緒的な話であるし、これってけっこう今でも通用する話だと思う(とくに最近批判が高まっているクラウドベンダーのフリーライドっぷりをみるにつけ)。


後半は講演への質問タイムと、OSS(ライセンス)との付き合い方に関するディスカッション。けっこう参加者が多くてディスカッションをまとめられる感じではなかったのが残念。こういうのをやろうと思ったらMax 10人だよねぇ。それでもいろんな知見が語られて、刺激は多かった。

中でも盛り上がったのが、Contributor License Agreement (CLA)をどうするかという話。とくに企業が公開するOSSでは避けて通れないCLAだが、FSFみたいに厳密な契約書を交わすタイプから、READMEにチョロっと書くレベルのものまで、さまざまなものがある。「途中でライセンスは変更しない前提」なんてプロダクトもあった。法的拘束力を重視するとコントリビューションの敷居が際限なく上がってしまうし、落とし所が難しい。法務部門と協議してバランスとるしかないねぇ……という感じだ。


このイベントは少なくとも次のVol.3まではやりたいという関係者の話を聞いたので、次回もできるだけ参加したい所存。

あと宮田さんはいまCloudGarageの中の人ってことなので、こないだ作ったgemの話などをしつつ、DAP制度へのお礼なども直接できたので良かった。

*1 どっちも/.Jのページが出てきてさすがという感じである。当時の他のニュースサイトはほぼ死んでる。


2019-02-19(火) [長年日記]

Becks Japan #1へ参加してきた

会場風景(LINE Cafe)

新しいITセキュリティコミュニティや勉強会が立ち上がったと聞くと、様子を見にほいほい参加してみる人です。今夜はBecks Japan #1。「Becks」はJRの駅に入ってるカフェじゃなくてBeer & Hacksの略。LINEとGrayLabが共同で立ち上げた勉強会で*1、場所も新宿のLINE社にある広々としたカフェスペース。ビールを始めとしたドリンクと軽食がフリーで提供されている。

トークは3つ:

Hacking Jenkins! by Orange

CIツールとして圧倒的シェアを誇るJenkinsの脆弱性を探す話。しかもRCEなのでかなりヤバいやつ。ルーティングのホワイトリストの穴を使って認証なしで一部サービスを使えるようにする脆弱性と、PipelineのDSLであるGroovyのメタプログラミングを応用してRCEを可能にする脆弱性を組み合わせた技を紹介。Shodanによると、この穴が残ったまま公開運用されているJenkins、まだ万のオーダーであるらしい。こえぇ。

Orange氏の手法で良いと思ったのは、ちゃんとソースと仕様書を読み込んで脆弱性を探しているところ。せっかくOSSにしてソースを公開してる以上、ちゃんと活用してもらえて安全性向上に役立ってるんだから、Jenkinsサイドとしても願ったりだと思う。

Dissecting professional APT team's spear tip by jz (Heungsoo Kang from GrayLab)

LINEの検知システムを通り抜けて侵入してしまったメールの添付ファイルを解析した話。Excelマクロ(VBA)、BATファイル、PowerShellスクリプト、インメモリDLLなどを、難読化しつつ多段階にかまして最終的にC2サーバ接続までするマルウェアだった。それぞれ手法はオーソドックスだけど、こんだけ複雑化されたら検知できなくてもしょうがない。マクロ付きのExcelは問答無用で弾くというストロングスタイルが正解なんだろうな。

The Evolution of Alert & Notification System by mala

技術的に高度なことを面白おかしく語るいつものmala節とはちょっと違って、けっこう肩の力の抜けたトークでしたな。電気ショックを流せる腕時計型のデバイスをハックして、重要な通知を電撃で受け取るようにした話。件のデバイスはこれ:

B07CXKLN6W

ネタとして買うには高い(笑)。でも今回のように真面目に使う*2のならありかも知れない……(と思わせる妙な説得力はあった)。でもまー、若いうちなら自分で実験したかも知れんけど、年をとると心臓麻痺とか心配しちゃうよ。


このBecks、面白いのが韓国と台湾でも同時にコミュニティを立ち上げていて、イベントも各地で開催するようだ。今日も3ヶ国から1人ずつ講演者が呼ばれている。しかも日英同時通訳付き(!)。通訳があるんなら、そりゃありがたく利用させてもらうけど、韓国・台湾からの講演者は母語じゃなくて英語で講演してるんだし、英語で統一しちゃってもいいような……?

冒頭あいさつでゆくゆくはコミュニティ主導で運営したいみたいな話があったけど、しょっぱなからこれだけの物量を提供されてたら、LINEの紐を切ることはできないだろうし(というかLINEの本気度の現れでもあるからそれはそれで良い)、今後どうなるのか楽しみではある。

Tags: security

*1 といってもGrayLabはLINEの関係会社なので実質LINE。

*2 実際に運用しているそうで、LINEのバグバウンティプログラムにレポートするとmalaさんに電気を流せるらしい。


2019-02-16(土) [長年日記]

【FUJI XEROX SUPER CUP】川崎 1-0 浦和@埼玉スタジアム2002

CHAMPIONS

よっしゃ! まずは一冠!!


甲府名物鶏もつ

J1連覇したので、昨年に引き続き他チームより一足先に開幕である。ここのところ朝晩はかなり寒いので完全防寒装備で浦和まで来たものの*1、日中はかなり暖かくて、上着は脱いでシャツ一枚で歩くほど。

それにしてもカップ戦の決勝を、なにも浦和のホームでやることないじゃんねぇ。真ん中をとって味スタあたりでやればいいのに。ほんと遠いよ、浦和美園……。

昨年同様、昼食は新潟にしようかと思ったら今年はタレカツ丼がないそうで、甲府に浮気して「鶏もつカレー」を狙う。が、列管理がぜんぜんできてなくて、直前で売り切れ。代わりに牛カツカレーにしたけど、これのどこが甲府なの……? まぁ単品で鶏もつ買えたからいいけどさ。

会場パノラマ

昨年はだいぶダメな感じの試合だったが、今年は新加入で先発のダミアン、マギーニョがかなりチームに馴染んでいて、ちゃんと反省が生かされている感じ。初出場で初得点のダミアンはとにかく献身的に走り回る、途中でバテて動けなくなるほどの「大物外人」ってすごいのでは? あと、マギーニョもとても良い。よく走るだけでなく、それほどいい体格じゃないのにタックルされてもびくともしない体幹の強さが伺える(しかも転ぶべきところではきちんと転ぶクレバーさもある)。これはいい右SBを得たなぁという感じだ。

恒例(?)いちごメロンパン

昨年は負けてやけ食いしたとちおとめの乗ったメロンパン、今年は祝杯(?)代わりにいただいた。つーわけで、幸先の良いスタートが切れたので、目標の四冠、あり得るのでは? という気分になっている。

Tags: frontale

*1 新駅取り放題なので駅メモもブルーライセンスを購入。


トップ 追記
RSS feed