Sonyサーバーは古いバージョンのApacheで実行されます

本日、 PSNの議会公聴会で、パデュー大学の独立したセキュリティ専門家Dr. Gene Spaffordが証言しました。 彼は 、Sonyのサーバーは、既知の脆弱性と「ファイアウォールなし」のApacheのパッチが適用されていないバージョンで実行されていると述べました。



ソニーは、事件の2〜3か月前にこのことを認識しており、1億人以上のユーザーの個人データが漏洩しました。 Spaffordによると、この問題は「ソニーの従業員が司会する公開フォーラムで議論された」という。



したがって、ソニー上の雲が集まっています。 Spaffordの情報が確認された場合、企業は刑事過失の罪で重大な訴訟に直面し、これは刑事事件です。 もちろん、ソニーの行為における犯罪の存在について議論することはできますが、数百万のクレジットカードをサーバーに故意に残さない場合、刑事過失ではない場合はどうでしょうか？



たとえば、ロシアの法律では、「犯罪は、その行為または不作為の危険な結果の可能性を予見したが、その予防に軽薄に数えられた場合に過失によって犯されたと認められます（犯罪慢）」 アメリカの刑法はほぼ同じ解釈をしています。



もちろん、Apacheの更新のために刑事事件が提起されることは普通の管理者やソニーの技術スタッフにとっては恥ずべきことかもしれませんが、ここではかなり可能です。



一方、「フォーラムでの議論」を法廷での証拠として受け入れ、議会での聴聞会の議論として引用することは可能ですか？ フォーラムのウェブページの公証コピーを作成したり、フォーラムでこのメッセージを見た目撃者を聞いたりするという意味で、誰がこの情報の正確性を検証しますか？ 何かが信じられていません。



Spafford博士は、PSNサーバーで実行されているApacheのバージョンと、ファイアウォールが存在しないことの意味を説明しませんでした。 どうやら、私はModSecurityのようなモジュールを意味します。 ソニーにそのようなものがなかったことは奇妙です。