米上院でIoTデバイスのセキュリティ対策を求める法案が提出される 64
ストーリー by hylom
基本中の基本 部門より
基本中の基本 部門より
米国で、「Internet of Things Cybersecurity Improvement Act」(IoTサイバーセキュリティ向上法)なる法案(法案PDF)が上院に提出されたという(ギズモード・ジャパン、CNET)。
この法案は、IoTデバイスを米政府に販売する企業に対し、一定のセキュリティ基準を求めるものとなる。内容としては、発売後にセキュリティパッチを適用できるようにすること、ハードコーディングされたパスワードを使用しないことなどが含まれているそうだ。
現状 (スコア:2)
なんでもありですからねぇ
http://hardshopper.hatenablog.com/entry/networkcamera [hatenablog.com]
敗北感あり (スコア:1)
偽善者アメリカ人 (スコア:0)
でもアメリカ政府による監視のためにバックドアを作らせるんだろ
Re: (スコア:0)
日本語読めないのかな。
「この法案は、IoTデバイスを米政府に販売する企業に対し、一定のセキュリティ基準を求めるものとなる。」
自分を監視するの?w
Re:偽善者アメリカ人 (スコア:1)
# FBIとCIAの仲が悪いのはわりと有名な気が
Re: (スコア:0)
なるほど。じゃあメーカにはFBIからも、CIAからも、NSAからも、それぞれがそれぞれを探るための
「バックドアを入れろ」という要請が届いて、裏口にドアが乱立している状態なんですねwww
Re:偽善者アメリカ人 (スコア:1)
# 数学屋はNSAに集中してるっぽいので
Re: (スコア:0)
それじゃ一枚岩じゃんw
Re: (スコア:0)
裏切り者がいるので。
こんなニュースも ApplePayで詐欺続発、当初から予見されていた被害が多数発生中 (スコア:0)
Appleが安全だと主張し国内でも多数の企業が導入したApplePayで、詐欺事件が相次いています
https://headlines.yahoo.co.jp/hl?a=20170810-00000012-mai-soci [yahoo.co.jp]
その内容は、当初から指摘されていた
「他人のクレジットカードや、不正なクレジットカードをApplePayに登録して使用される」という危険性そのもの
ApplePayの決済スキームというシステム全体で見て、最も弱いところが突かれています
Appleがセキュリティを売り物に多数の企業に売り込み導入させたApplePay
実際には詐欺事件が多数発生しているこの状況を、Appleはどのような「魔法」で消滅させるのでしょうか
Re:こんなニュースも ApplePayで詐欺続発、当初から予見されていた被害が多数発生中 (スコア:1)
Appleがセキュリティを売り物に多数の企業に売り込み導入させたApplePay
実際には詐欺事件が多数発生しているこの状況を、Appleはどのような「魔法」で消滅させるのでしょうか
ご丁寧に記事のリンクまで出してるのにコメントの内容のなさといったら酷いものだな。
以下の引用はリンク先記事の一部だ。
アップルペイの決済には指紋認証が必要で、登録されたカード情報はその都度暗号化される。スマホの画面にカード番号や有効期限が表示されないだけでなく、小売店にもアップルにもカード情報が一切残らない仕組みだ。このため小売店への不正アクセスなどによる情報流出の恐れは極めて低い。スマホを紛失してもデータは遠隔操作で消去できる。
しかし、カード情報を登録する際の本人確認は、各発行会社に任されている。企業などへのサイバー攻撃やフィッシングで流出したカード情報がいったんスマホに登録されれば、店舗での不正利用を防ぐことは難しくなるのが現状だ。
この記事を読む限りでは、ApplePay自身のセキュリティーは高いけど
カード会社の本人確認が甘いからそこを突かれて事件が発生している。
本人確認が甘いセキュリティが緩いカード会社が被害に合っているのなら、
道を作ったAppleじゃなく、カード会社の緩い玄関扉をまず直すべきじゃねーの?
Re: (スコア:0)
開発者がどっかでフィッシングに引っかかっただけの話を、あたかもChromeの脆弱性であるかのように大々的にタレコミしてるスラドですよ、ここは
#3259139 はそれも理解してない本気のバカですね
Re:こんなニュースも ApplePayで詐欺続発、当初から予見されていた被害が多数発生中 (スコア:1)
場の定義、スラドがこういう場所であるという定義が出来る立場の人が言うと
レッテル張りも正当性がでてくるってことでしょうか (何言ってるんだ
Re: (スコア:0)
あんさん、毎度なんも関係ない話題まで出しゃばってApple叩かんと死ぬ病気なんかw
ところで「他人のクレジットカードや、不正なクレジットカードをApplePayに登録して使用される」
というのはそもそもApple Payの危険性なのかという話はひとまず置くとして、
同じ問題はAndroid Payでは起きないもんなんかね?
Re: (スコア:0)
> そもそもApple Payの危険性なのかという話はひとまず置くとして、
> 同じ問題はAndroid Payでは起きないもんなんかね
どっかの開発者がフィッシングに引っかかってアカウント情報漏らしただけの話を
「Google Chrome拡張機能で開発者アカウントが乗っ取られ、マルウェアが配布された」
なんていう表題でタレコミにし、挙句にそんなのGoogle関係ないだろという意見を徹底的にマイナスモデで沈めているスラドで何を言ってるんですか?
今回の件は「Appleの問題、同じことがほかで起きるかどうかなんて一切関係ない」んですよ
なぜならスラドではGoogleChromeに対してそういうことをすでにやってしまった前例があるからです
Re: (スコア:0)
あんたモデスコアのために人生の全部賭けるのやめたほうがいいよ
Re: (スコア:0)
そのトピックでGoogleが悪いなんて話は誰もしていなかったけど。
Googleが責められていると思い込んで暴れていた被害妄想狂はいたが。
君は「Appleはどのような『魔法』で消滅させるのでしょうか」とAppleの責任であるかのように扱ってるよね。
まあ、一度お医者に診てもらいなさい。悪いことは言わないから。
Re: (スコア:0)
> Googleが2段階認証を強制していないのが悪いってことにするんだろうと書かれてたことも無視か
いや、だからそれ被害妄想側の発言やんwww
「悪いってことにするんだろう」と被害妄想で書いている奴だけで、
実際にはそれが「悪い」と言っている奴は居なかっただろうにw
> ほんとうにアタマおかしいんだねお前
鏡を見た方がいいよ、ホントwww
Re: (スコア:0)
> 実際にはそれが「悪い」と言っている奴は居なかっただろうにw
タレコミそのものがGoogleが悪いと受け取られて当然の内容だったわけですが?
そして無理やりGoogleの責任にするネタとして最後に2段階認証が強制されていないとわざわざ付け足すことまでやっていた
まさに悪意あるとしか言いようがない
挙句それを指摘したコメを軒並みマイナスモデで沈めてたくせに何言ってるんだ?としか言えないな
お前みたいな「Appleのためなら何をやってもいい、それが当然」と考えてるキチガイは一生理解しない、理解できないだろうけどな
> 鏡を見た方がいいよ、ホントwww
鏡を見た方がいいよ、ホントwww
Re: (スコア:0)
> タレコミそのものがGoogleが悪いと受け取られて当然の内容だったわけですが?
やーwww、だからあのストーリでも散々みんなから、そんな風に読むのは
あんただけだと言われていたのに、まだ納得してないんやね。
そんなだと日頃の社会生活でも周りと話が通じなくて大変でしょう?
まあ閉じこもり生活なのかもしれないけどw
Re: (スコア:0)
そんなだと日頃の社会生活でも周りと話が通じなくて大変でしょう?
スラドでの彼の振る舞いは社会生活の投影にすぎないんだよ。
彼の歪んだ性格ゆえに、周りから叩かれてるばかり。
そのため彼は他者とのコミュニケーションは罵倒する以外の経験がないんだね。
Re: (スコア:0)
#3259305 や #3259497 を見ると、ほんとAppleキチガイは思考が完全にぶっ壊れた廃人だってことがよくわかる
Re: (スコア:0)
涙ふけよw
Re: (スコア:0)
> 今回の件は「Appleの問題、同じことがほかで起きるかどうかなんて一切関係ない」んですよ
またそうやって、自分に都合の悪い話になると話をそらそうとするw
Re: (スコア:0)
> またそうやって、自分に都合の悪い話になると話をそらそうとするw
またそうやって、自分に都合の悪い話になると話をそらそうとするw
Re: (スコア:0)
またそうやって、自分に都合の悪い話になると話をそらそうとするw
Re: (スコア:0)
こういう展開観てると自演っぽいな。
sradしか居所が無いんだろうか。
Re: (スコア:0)
> こういう展開観てると自演っぽいな。
> sradしか居所が無いんだろうか。
こういう展開観てると自演っぽいな。
sradしか居所が無いんだろうか。
すべてのファームは読み書き可能に (スコア:0)
すべて、すべて、な。
セキュアブートパスが必要なら、ブートローダはOTP ROMにすればいい
全域を読んで監査するのは、AIになるだろう
「あ、このコードまわし、犬くさい…付箋はったろ。おーい人間」
Re: (スコア:0)
> セキュアブートパスが必要なら、ブートローダはOTP ROMにすればいい
すべて読み書き可能じゃなかったの?
Re: (スコア:0)
どのみち、blick からのリカバリや、後日発覚した悪意を上書きするため、すべて書き込めることが望ましいよ。指摘のとおり。
ただ、DRM業界が黙ってないだろうから。
Re: (スコア:0)
あんな、あんたのパスワードやその他個人情報なんかを暗号化して保存しておくのに、
その暗号鍵が簡単に知られんように、読めない領域は作っておかなきゃならんのやで。
Re: (スコア:0)
装置に全データが入っていなければいい、鍵のかけらは、貴方が持て。
解読できない領域があるなら、そこに悪意も隠そうぜ
ならたとえば、中韓製造のTPMチップにバックドアや、特定のブートローダをかく乱するコードがないと言えるのか
装置に全データが入っていれば、何したって解読される TPMチップですら、そのファームは読み出せるべきだ
なお別チップである意味はある、オフラインの操作によらなければ吸出し困難というのは意味がある
Re: (スコア:0)
句読点の使いかたがめちゃくちゃで、どこで文章が切れてるかわからないんだけど。
まあそれはさておき、
> 鍵のかけらは、貴方が持て
え~と、毎度エンコード/デコードする度に何百ビットもの鍵を入力するの?
ていうかTPMは普通のソフトウェアからアクセスできないから安全なのに、
UI入出力なんて普通のソフトウェアから丸見えなところ経由で暗号鍵渡す方がよほど危ないんだけどw
Re: (スコア:0)
ドングルにしたらどうかな
Re: (スコア:0)
それ、ドングルに入っている情報も読み出し放題なんだよね、すべて読み出せるべきだというなら。
ドングルとスマホセットで盗まれたら、もうおしまいじゃない?
FBIが犯罪者から押収したiPhone内の情報を取り出すのにえらくてこずったように、
TPMで守られている普通のスマホは、端末を取られたところで情報抜き放題にはならないけど。
Re: (スコア:0)
データは保護されるが、引き換えにブラックボックスがそこに生じる。
iPhoneはいわば同盟国製だからそんなに大きな問題になっていないが、
ならば、ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや、
いっせいにSecureEnclaveが秘密鍵を抱えてだんまりを始めたら、どうなるかな。
ていうか、デスクトップならともかく、モバイルに個人情報保存することはないと思う。
異論は認める、実際に、妥協の産物として、ブラックボックスだらけの端末で日々遊んでる。
ただ、ブラックボックスを減らしていってほしいと、切に願う。
ブラックボックスに依存した設計のデバイスは、もういくらでも手に入る。
Re: (スコア:0)
> ならば、ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや、
まあ、そんな起こる蓋然性が少ないことを考えるより「明日、交通事故にあって寝たきりになるかもしれない」と
心配する方が、ずっと建設的だと思うねw
> ていうか、デスクトップならともかく、モバイルに個人情報保存することはないと思う。
じゃあ電話帳もなく、アプリもインストールできないような携帯電話を使えば?
Re: (スコア:0)
ガラケーの電話帳を使うことはないですよ。自局番号を00に入れているくらい。Jホン上がりですので。
WSLにAndroidが移植されるのを、とても楽しみにしています。
Re: (スコア:0)
> iPhoneはいわば同盟国製だからそんなに大きな問題になっていないが、
問題になってますよ
なのでオバマ大統領ですらセキュリティ懸念を理由にiPhoneが使えないとボヤいています
https://www.j-cast.com/2014/01/13193792.html [j-cast.com]
懸念されることは多くありますが、たとえばApple自身が悪意のある行為をしないとしても、
SecureEnclaveその他TPMチップ自体がクラックされる危険もあります
例としてTPM 1.2は暗号関連の強度が今となっては弱いとみなされ、TPM2.0への移行を推奨されています
とくにAppleが大好き公式規格でもないオレオレTPMなんて、
本当の意味でセキュリティの世界で言えばオモチャです
Re: (スコア:0)
バラク・オバマ前大統領はセキュリティ上の理由によりiPhoneの使用を許可されていなかった。 [it.srad.jp]
一方、トランプ大統領の場合は既にアップデートの提供されなくなったGalaxy S3を使用しており、
古いAndroidデバイスよりも安全な選択肢としてiPhoneの使用が認められたとのこと。
Re: (スコア:0)
とくにAppleが大好き公式規格でもないオレオレTPMなんて、
本当の意味でセキュリティの世界で言えばオモチャです
iPhoneがオモチャレベルなら、マルチプラットフォームゆえにハードウェア支援を利用した一貫した
セキュリティシステムをOSとして提供できず、詳細実装は各々のメーカー任せなAndroidはもうゴミクズレベルだねw
Re: (スコア:0)
> ガラケーの電話帳を使うことはないですよ。自局番号を00に入れているくらい。Jホン上がりですので。
スマホからアプリストアにアクセスしてアプリインストールして遊んでるんだよね。
「妥協の産物として、ブラックボックスだらけの端末で日々遊んでる。」っていうんだから。
スマホが君のアカウント情報を持っていないと、ストアにアクセスできないはずだけど。
> WSLにAndroidが移植されるのを、とても楽しみにしています。
PCだって昨今はセキュリティのために不可視エリアがあるのをしらんのか?
「ある日突然米国と敵対し、Appleが毒電波(毒アップデート)を発するや」って心配するのに、
IntelやMicrosoftはそうならないと思う理由は?w
Re: (スコア:0)
> iPhoneがオモチャレベルなら、マルチプラットフォームゆえにハードウェア支援を利用した一貫した
> セキュリティシステムをOSとして提供できず、詳細実装は各々のメーカー任せなAndroidはもうゴミクズレベルだねw
お前がキチガイApple信者ということはわかった
公式に規格化された認証その他のハードウェア + ドライバ実装を持ち、
Linuxで動作する最終製品なんていくらでもあるし、
それをAndroid端末で使えるようにしているハイセキュリティ製品も政府や軍のレベルでは当然存在するんだけどね
そういうことも知らないでAndroid叩きで暴れなきゃいけないんだね
無知って怖いね
スラドはいつから「ぼくのたいせつなゲームき、AppleのiPhoneがせかいでさいきょう!!」しか叫べない小学生のたまり場になったんだ?
Re: (スコア:0)
> 古いAndroidデバイスよりも安全な選択肢としてiPhoneの使用が認められたとのこと。
そうだね、お前が主張の根拠にしてるリンク先を見るとiPhoneがいかに信用されていないかよくわかるね
> このiPhoneで使用できるアプリはTwitterだけなのだ
> iOSではMacアプリ「Apple Configurator 2」を使用することで、
>「電話」と「設定」を除くアプリの使用制限や、アプリをApp Storeからインストールできないように設定することが可能
もはやまったくスマートでも何でもない、
ガラケーで十分どころかガラケーのほうができることが多い、
そんなレベルまで機能を制限しないと使わせることができない安全性の低い製品、それがiPhoneってことがよくわかるね
Re: (スコア:0)
adb install は便利です。
TPMは、ブート時に読みにいけるキーストレージとして便利に使っていますが、信頼はしていません。
毒アップデートのごとき有事以前に、静電破壊はありえます。漏洩も、するときはするでしょう。
BDEのRKを増やすくらいの対応はしております。
Re: (スコア:0)
だからそういう風に実装がまちまちで、エンドユーザーから見て、どれが信頼できる端末で、
どれができない端末なのか全く分からんというのが、全体的にAndroidの信頼性の無さを作っているんだよ。
Re: (スコア:0)
Androidはそれにも劣るレベルだったから採用されなかったんじゃないかwww
「米軍、DJI製のドローンを「禁止」──セキュリティ上の懸念が理由」(おふとぴ) (スコア:0)
https://wired.jp/2017/08/08/army-dji-drone-ban/ [wired.jp]
「顧客の同意なしにDJIがどのデータにアクセスできるかは不明だが、陸軍のドローンからの位置情報や音声、動画などのデータは、米軍の運営に関する幅広い情報を流出させてしまう危険性がある。陸軍が特にDJI、あるいは中国政府がこのデータにアクセスする可能性について懸念をもっていなかったとしても、DJIとつながっている第三者が何らかのデータを途中で奪う可能性は捨てきれない。」
まあ疑問を持つのはしゃーないか。
万が一ハッキングされて位置情報が取得されたら、陸軍の配備状況が敵に筒抜けになるかもしれんのだもの。
やばいかも・・・ (スコア:0)
>ハードコーディングされたパスワードを使用しないこと
ハードコーディングはされてないものの、rootのパスワードが設定されてない機器を作ってた部署があったな。
アメリカには輸出しないものだとは思うけど。