ラノベ日記

ラノベの感想用

カテゴリ: 安心・安全

セキュリティ界隈で話題のBadUSB
これ、思ったよりも被害甚大じゃないかな

BadUSB
→USBメモリや、USBキーボードのファームウェア(本体に内蔵されたソフトウェア)を改変するタイプの攻撃

USBメモリや、USBキーボードのファームウェアが変更可能というのが驚きなのですが
まぁ、弊社の製品もたいていはファームウェア変更可能なので、そういうものなのでしょう
(PC周辺機器は開発した事ないので、分かりませんが…)

1.BadUSBウイルスに感染

2.USBメモリを挿入

3.USBメモリのファームウェアを書き換えて、攻撃コードを混入

USBメモリを、USB複合デバイスに変更し、従来の機能を維持したまま、キーボードやLANアダプターの機能を追加するようです。


4.攻撃コードの混入されたUSBメモリを、他のPCに挿入

5.攻撃開始
USBメモリを挿したつもりが、実はUSBキーボードとしても認識されます。
USBメモリから、キーボード入力として攻撃コマンドが実行されます。

何が怖いの?
・PC(OSやウイルス対策ソフト)からは「普通のUSBキーボード」として認識されている
・キーボード、USBメモリ、LANアダプター等、注意対象が分からない

ソーシャル手段を利用
・BadUSB化されたUSBメモリを、廊下や受け付け近くにわざと落とす
→総務部等で中身を確認しようとしてPCに接続した時点で感染する

これ、現行のウイルス対策ソフトでは打つ手なしだそうです
※ファイアウォールの出口対策は有効です

面白い(危険な)事を考える人たちが居ますね。
驚きです

献血回数が100回を超えましたw
まぁ、休日する事がない時の暇つぶしに最適なんですよね。献血

20回、50回だと小さなコップなのですが、80回、100回は大きめのコップが貰えます。
銀色の時は銀箔が、今回の金色では金箔を使ったちょっとオシャレなコップです。

バレンタインデーなので、普段思ってても言えない事書いておく。

この国は独身者によって滅ぼされます。

現状の未婚率は22%、10年後には30%を超えると予想されています。
(人口予測は、経済や科学技術に関する予測と異なり、高確率に的中します)

独身だからといって寿命が短いわけではありませんから、職、娯楽、サービス、独身者が充実した生涯を送るのに必要なあらゆる産業が提供されるでしょう。

これらのサービスが充実すれば
「寂しい」
「むなしい」
という理由での結婚は無くなるかもしれません。

また、人口の3割強が生涯独身となれば
「周りの目が厳しい」
という理由での結婚はなくなるでしょうね。

つまり、独身者の増加が、未婚率の上昇を加速させるのです。

まもなく、この国は終わります。


「面倒くさい」「自由な時間が無くなる」
という理由で結婚を避ける人も居るようですが…
100%が自由時間である必要があるでしょうか?

学校でも会社でも、100%が自由時間だったことなんてありませんよね?

学校に行き、会社に行き、今まで生きてこられたのですから
「面倒」「自由な時間が欲しい」
が結婚を避ける理由にはならないはずです。


社会人であれば、面倒な書類作りや根回しも、毎日やっていますよね。
家に帰ってから面倒に思う事があってはいけませんか?
話しを聞いてくれない上司相手の根回しはできても、妻や子供の為には一生懸命になれませんか?


偉そうな事を書きましたが……
私は独身で童貞なので、統計数字以上の事は分かりません。
寂しいという気持ちだけは分かっているつもりです。

ソフトウェア開発の本で「サステナブル開発」という言葉を見かけた。
以前は毎日使っていた言葉だけに、懐かしいやら、感慨深いやら、昔を思い出したので。

ソフトウェア開発におけるサステナブルは、
破綻なく継続保守を続けながら開発・改修を続ける手法の事のようですが、もともとIT用語ではありません。
本来の意味は、「Sustain(維持する) + ability(能力) 」で、持続可能性を表す言葉です。

今の職に就く前にISO14001の証支援を行っていた関係で個人的には馴染み深い言葉なのですが、一般の方々への周知を考えると、担当者の胃が痛くなるばかりという、大変な言葉です。

サステナビリティの問題点

◯死んだ後の事まで責任を取れない
温暖化
少子高齢化
資源枯渇
殆どが100年程度のスパンで進行する問題であり、問題が顕在化する頃には、大半の人が死んでいる。
てか、今権力を持ってる50代〜は確実に死んでいる。

でもって、高齢者はサステナビリティを理解できない。
自信が死んだ後の社会のために、現在の自由を我慢しましょう。
などと説明しようものなら、キレる人まで居る

現役でISO14001の認証支援やってた頃にも悩みはしたのですが、どうすればよいのでしょうね……

Squareが同人誌即売会の会場でも利用されていました。

仕事柄、WEBや決済システムのセキュリティは気を付けて見るようにしているのですが、このSquareは色々と問題があるように思います。
◯磁気カードをスキミングされる(フィッシング用アプリ使う)
◯手描きサインをキャプチャされる(フィッシング用アプリ使う)
とか。

まぁ、顔見知りのサークル様なら安心ということで、早速使ってみました。

◯磁気カードリーダー
iPad(iPhone)のイヤホンジャックに挿しこんで使うようです。
イヤホンジャックの回転が固定されておらず、とても不安定です。
数回スワイプして、ようやく完了。
(勤務先の基準なら、不良品で返品されるレベルです)


◯決済アプリ
iPadアプリに商品名や価格が表示されます。
見た目上のコピー対策がなく、フィッシングが心配されます。
(店舗所有端末&アプリでは、SSLマークも偽装可能。
実際問題としてフィッシング対策はできないと思います。
今までフィッシングといえばWEB上の脅威でしたが、リアル店舗にも広がるのでしょうね。)

これを回避する為には
1.店舗所有の端末にカードをスワイプしない
2.店舗所有の端末ではアプリには、カード番号の入力や、サインをしない
 →店舗に居ながら、決済は自分の端末で行うしかありませんね。



サイン
iPadの画面上に手描き(指でなぞって)サインをして、決済完了。
(iPad上への手描きは、慣れていないと難しいですね)

〜感想〜
不安定なリーダーを宥めすかすのに店舗主と一緒になってアタフタしてしまいました。
今回は馴染みの店舗でしたが、一見の店で利用するなら、カード裏面のセキュリティコードを隠すべきでしょう。
(セキュリティコードさえ知られなければ、不正アプリでカード番号をスキミングされたとしても、オンラインでの不正利用を防止できます)

※Squareサイトの説明によれば、リスクベース監視(不審な行動を検知して、不正を見ぬく技術)による、不正利用検知を行なっているようです。
(北海道在住の人が沖縄で決済したり、普段日曜品しか買わない人が突然ゲームソフトを買ったりした場合に、異常を検知されるようです?本当かな?)

出始めなので問題はあるかもしれませんが……
個人間の決済を電子化できる時代が来たのだと思うと、感慨深いものがあります。
(カウボーイビバップというアニメに、タブレット端末同士をかざして電子マネーを交換するシーンがあるのですが、15年経ってようやく追いつきましたね)

職場近くのガードレールが壊れていた。
車が突っ込んだという噂も聞かないので、どうやら経年劣化で固定用のボルトが外れたらしい。

近くには小学校もあり、壊れたまま放置しておくのは危険。
どこに連絡すれば良いのか分からなかったので、市役所のホームページの総合窓口に連絡してみた。


メールアドレスは公開されておらず、連絡フォームから入力するらしい。

問い合わせ
「ガードレールが外れていて危険〜〜」

自動応答
「受け付けました」

当日中にメール返信があり
「担当部署に連絡しておきました」

1週間後
通報しておいたガードレールが取り外され、工事中の標識で囲まれる。
メール「現場の状況を確認しました。修理の完了後改めて連絡します」

たらい回しにせず、代表窓口からの連絡だけで対応して貰えるのはとても良いですね。
川崎市GJ!

以前に住んでいた三重県の某市でもメールで質問をしたことが会ったのですが……
一ヶ月経っても返信がなく、仕方なく電話で問い合わせると
「メールでの連絡は殆ど無いのでメールボックス確認をしていませんでした。」
と返されてしまいました。

食事。
改めて言うまでもなく、すごく重要。

社員寮の管理人氏が、70歳で定年退職。
で、コスト削減の一貫として、管理人不在に。

⇒晩飯の提供修了。

で、問題発生。
社員寮は火が使えない、水が出るのはトイレと風呂だけ。

仕方ないので、惣菜生活開始。
朝昼晩パンばかり買って食ってたところ……
(昼飯で使えるのもコンビニ1店舗のみ、選択肢無し
 :工業地帯は陸の孤島だな)


ヘモグロビンHbが標準範囲外に低下
7月:13.2(g/dL)

8月:12(g/d+)以下に
(献血断られて初めて気づく:男性は12g/dL以上必要)
てか、Hbが異常値って指摘された以外も
色々減少(総蛋白、アルブミン、血小板も標準下限に)

てか、ちゃんと食えとか言われても……
火を使わず食べられるちゃんとした物って以外と難しいんですが?
(肉、魚、生で食えないこともないがなぁ・・・)
(レバーや魚の干物が良いと言われても、生では食えないぞ?
 スーパーに売ってる肝でもレバ刺しとして食えるのか?)


仕方ないので納豆を毎日食べることにしました。
(肉に比べると単位量あたりの含有量は1桁低いらしい)

結果
9月:ヘモグロビンHb13.3(g/dL)、総蛋白TPも以前の値に回復
食事から肉が消えたのでコレステロールが低下
おぉ、なんか健康的かも?


炊事環境がない社員寮で晩飯が無いのは
体調不良者続出のフラグでしょうかね。

開発はともかく、研究まで他社に委託するようになったら、もう終わりですね。

マンパワー不足を補う為のオフショアは仕方ないと思うけど……

てか、「携帯電話や、PDA内蔵のIrDAポート使ってシリアル通信する方法」
なんて事を、研究委託して、しかも結果レポートが「不可能と思われる」

で、なんで「コンパクトフラッシュ型赤外線通信アダプター」設計試作のご提案
に繋がってんだよ……
(入社前の話だから詳しい事は分からんのだが、数年前。
更なる研究の為には、追加予算数百万円って話になって中断したらしい。


IrDA対応の弊社の製品が使ってるのは……再送制御も無いからOSI1だけですね
http://monoist.atmarkit.co.jp/fembedded/articles/infrared/01/infrared01c.html
で、携帯電話が使ってるのはIrOBEXで、PCが使ってるのはIrCOMMだと
だから通信不可能だと。
これが数百万円注ぎ込んだ、結果レポート

いやできないって?
私の携帯には「TVリモコン」アプリ入ってますが?
テレビのリモコンが、トランスポートレイヤーもってるんですか…

てか、また「赤外線通信機能搭載」新型ハードのご提案が来ましたよ?
(そろそディスコンしないといけないって?)

調査対象になったハードはiPAQ(Win Mobile5.0)だったの?
これはナニ?
http://msdn.microsoft.com/en-us/library/ms900135.aspx
>Accessing an IR Port Through Raw IR
>Raw IR access is only available on devices that expose the
>IR hardware as a serial port.
結果レポートはこの1行コピペしてくれればお終わりですね…
(IRポートがシリアルポートとして認識されてない場合は不可能だと)

上記のサンプルコードで普通に通信できますねえ
汎用機ではできないってのが根拠になって、12文字*2行表示の専用
ハードウエア開発に数千万円が掛かったんですね。それは仕方ないですね。

てか、IrDAプロトコルスタックのどのレベルを制御する必用があるのか分かってれば
実証実験さえ要らなかったのでは。
謎のハード(12文字*2行LCDで量産価格5万円)買う前に、社内で調べましょうよ…

.NET Compact Frameworkの使い方にも慣れてきたのですが……
弊社製品の通信仕様、もうちょっとどうにかならなかったのかと(ry

てか、ほとんど仕様書無いからって、リバースエンジニアリング的手法で分かっちゃうのは駄目だろう……

てか、住設機器のセキュリティへの無頓着さは、業界全体でヤヴァイ。

もう何も考え無くてよいから、RSAでも、AESでも、好きなの持って来てくれ。
てか、せめて暗号化くらいしてくれよ…

#ASCIIは世界の共通語だよね…

同期の一人が左遷されることになった…


ゼネコン様キれさせて「担当者変えろ!!」ってのを、2社から言われたのが原因らしい。

人事担当者から聞いた話では、昨年3月の時点で営業→倉庫って話出てたらしいのですが…

その時は「新入社員を放出したとあっては会長に顔向けできん、俺の顔に泥を塗るつもりか!」
とかって上長の意向が反映されて部署内で、営業→受注業務となったらしい。
でも…今年も代理店キれさせたとかで、異動が再浮上。

ゼネコン様怒らせると怖いですね…