パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

多くのIoT機器はセキュリティ対策が不十分」記事へのコメント

  • たとえば、PS3のOSなんかは、暗号化・電子署名が施されており、
    たとえセキュリティホールがあっても自由にコードを動かせず、
    解析も非常に難しかった(ブートローダーやLinuxのバグでやられちゃいましたが)

    いまの兵器なんかも、たとえ敵に鹵獲されても、プログラムの解析が非常に難しくなるように、
    ファームウェアも暗号化してあるだけじゃなく、ブートローダーからOS・アプリに至るまで暗号化・電子署名してあり、
    DRAM上のコード・データも暗号化されている

    暗号化して解析されず、かつ電子署名されたコードしか動かせないようにしてあれば、
    たとえセキュリティホールがあっても解析・利用するのが難しいのでは?

    • by Anonymous Coward on 2019年02月07日 12時08分 (#3561144)

      つい最近だと面倒くさいのでセキュリティ機能全部無効化されてたのがバレた例があったな
      筐体破壊しないと攻撃が成立しないという話だったから脅威度は高くなかったと思うが

      セキュリティの最後の防壁は常に物理的な強制力なんで、暗号強度とか機構的な話は本質じゃないんだよね
      DRMなんか「攻撃者の手に解読器を渡さない」という原則を守らないからいくら策を弄しても何も効果ないでしょ

      親コメント
      • by Anonymous Coward on 2019年02月07日 12時27分 (#3561153)

        そういう意味でいうと、IoT機器のリスクは「利用者がそういう情報があると認識しない」ことかなぁ。

        PCにはいろんな情報が入っていると認識してるから、データを消さずに捨てたりはしない。
        でも、スマート電球はただの電球のつもりだからそのまま捨ててしまう。
        が、実際にはいろんな情報が入っていてそこからWiFiがハックされたりしてしまう。

        啓蒙が必要な部分もあるけど、商品の性質的に情報が入っていると意識し辛いものなので、ちょっと危険かも。

        親コメント
        • by Anonymous Coward

          多くの一般人はIoTに限らず情報消す必要性を認識してないよ。

          PCやスマホ、USBメモリ、メモリカード・・・個人売買で買ってみ。ほとんどのがデータ残ってるよ。
          そりゃ分かってる奴はちゃんと消すだろうけどさ。それはIoTでも同じ。

        • by Anonymous Coward

          IoT機器はあくまでも子機に徹してもらい、与える権限を最小にするってーのも手。
          上位側でデバイスを識別してデバイスの機能に必要最小な権限を付与する。

          まぁそれってBluetoothだよねって話になりそうだが……
          調光可能電球プロファイルとか定義して入れてルータ役機器とペアリング。
          漏れても電球に与えた指示が見られたり専用リモコン/壁面スイッチ状態を偽れるだけ。

      • by Anonymous Coward

        で、開発側が頑張ってセキュリティ強度上げても
        軍事現場の設定パスワードは「00000000」だったりしたのって
        最近ニュースになってませんでしたっけ
        えてしてそんなもんです。

        • by Anonymous Coward

          逆張りかな。
          さすがにないだろうというところを突いている

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...