アカウント名:
パスワード:
充電用のDCコネクターをデータ転送用ポートにしないファームで上書きでOKじゃね?以降の書き換えはできなくなるけどさ
なぜ書き換え出来るようになっているかというと、キーの紛失・盗難等に備えてのことなので、それでは困るホテルも多いはず
組込系でセキュリティというかリバースエンジニアというか、そのあたりのことにいろいろ気をつかってるところはマイコン等の書き換え用のISPやJTAGポートのコネクタのピンアサインを意図的に入れ替えたり、信号の極性を反転させたりとかしてるんですけどねうちはデバッグ用の通信ポートに非同期シリアルではなく同期シリアルを使うことを検討したことがあるけど(今時は同期シリアルにも対応したRS-232Cポートを持っている機器は少ない)
> ピンアサインを意図的に入れ替えたり、信号の極性を反転
この程度の対策しかされてなかったからホテルのカードキーシステムもArduinoで解錠可能になったんじゃないかな?
ピンアサインなんか基板見ればすぐ判るし,同期シリアルでも PICとかArduinoのようなデバイスは簡単に対応できますよ.全然対策になっていません.
ピンアサインとか極性反転程度では,一旦そのカラクリがバレてしまえば,それでおしまいです.全世界のホテル400万室分のデバイスが無意味になる.
ちゃんと公開鍵暗号などで認証を行うようにしてホテル毎に鍵を個別に設定しておけばカラクリがバレても被害は最小限で済んだ筈です.組み込み系の人もちゃんとセキュリティホールに気を使って欲しいものです.
> ちゃんと公開鍵暗号などで認証を行うようにして> ホテル毎に鍵を個別に設定しておけばカラクリがバレても被害は最小限で済んだ筈です.
(錠前みたいなものに一体いくらのコストが許されると思っているかは置いといて)簡単に言うけど、商流や物流のこと考えてないでしょ。物理的な「商品」が流れていくんだから、そんなに簡単な話じゃない。錠前がどういう商流・物流になってるか知らないけど、ホテルごとに設定なんてやったら1)ホテルごとの受注生産になっちゃう2)施工業者に鍵ペア生成と1つずつの書き込み(と管理)をやらせるのどちらかになる。(他にも方法はあるかもしれないけど)
まあ、それを受け入れてくれる工事業者の業界ならいいんだけど、実際には管理の手間がかからない簡単な(=安価な、時にはセキュリティの甘い)システムが売れてしまうのでは??
#これは情報システムの世界でも同じで時々事故が起きてるよね。 セキュリティの甘いシステムを売り込みにいくのに「セキュリティホールが あるから安いんです」なんて言う奴、いないでしょ。
> 組み込み系の人もちゃんとセキュリティホールに気を使って欲しいものです.
十把一絡げにしないでいただきたいものです。確かに、知識のない阿呆も少なくないのは事実ですが、それはどこの業界も五十歩百歩。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
これって (スコア:0)
充電用のDCコネクターをデータ転送用ポートにしないファームで上書きでOKじゃね?
以降の書き換えはできなくなるけどさ
Re: (スコア:2, 興味深い)
なぜ書き換え出来るようになっているかというと、キーの紛失・盗難等に備えてのことなので、それでは困るホテルも多いはず
組込系でセキュリティというかリバースエンジニアというか、そのあたりのことにいろいろ気をつかってるところはマイコン等の書き換え用のISPやJTAGポートのコネクタのピンアサインを意図的に入れ替えたり、信号の極性を反転させたりとかしてるんですけどね
うちはデバッグ用の通信ポートに非同期シリアルではなく同期シリアルを使うことを検討したことがあるけど(今時は同期シリアルにも対応したRS-232Cポートを持っている機器は少ない)
Re: (スコア:2)
> ピンアサインを意図的に入れ替えたり、信号の極性を反転
この程度の対策しかされてなかったから
ホテルのカードキーシステムもArduinoで解錠可能になったんじゃないかな?
ピンアサインなんか基板見ればすぐ判るし,
同期シリアルでも PICとかArduinoのようなデバイスは簡単に対応できますよ.全然対策になっていません.
ピンアサインとか極性反転程度では,一旦そのカラクリがバレてしまえば,それでおしまいです.
全世界のホテル400万室分のデバイスが無意味になる.
ちゃんと公開鍵暗号などで認証を行うようにして
ホテル毎に鍵を個別に設定しておけばカラクリがバレても被害は最小限で済んだ筈です.
組み込み系の人もちゃんとセキュリティホールに気を使って欲しいものです.
Re:これって (スコア:0)
> ちゃんと公開鍵暗号などで認証を行うようにして
> ホテル毎に鍵を個別に設定しておけばカラクリがバレても被害は最小限で済んだ筈です.
(錠前みたいなものに一体いくらのコストが許されると思っているかは置いといて)
簡単に言うけど、商流や物流のこと考えてないでしょ。
物理的な「商品」が流れていくんだから、そんなに簡単な話じゃない。
錠前がどういう商流・物流になってるか知らないけど、
ホテルごとに設定なんてやったら
1)ホテルごとの受注生産になっちゃう
2)施工業者に鍵ペア生成と1つずつの書き込み(と管理)をやらせる
のどちらかになる。(他にも方法はあるかもしれないけど)
まあ、それを受け入れてくれる工事業者の業界ならいいんだけど、
実際には管理の手間がかからない簡単な(=安価な、時にはセキュリティの
甘い)システムが売れてしまうのでは??
#これは情報システムの世界でも同じで時々事故が起きてるよね。
セキュリティの甘いシステムを売り込みにいくのに「セキュリティホールが
あるから安いんです」なんて言う奴、いないでしょ。
> 組み込み系の人もちゃんとセキュリティホールに気を使って欲しいものです.
十把一絡げにしないでいただきたいものです。
確かに、知識のない阿呆も少なくないのは事実ですが、それは
どこの業界も五十歩百歩。