Tor検索エンジン登場。その名は「いちだん」

「Shodanっぽいダークウェブ検索エンジン、Ichidan」

www.bleepingcomputer.com

IoT機器検索サイトとして有名なShodanと似た感じの、Torネットワーク内(.onion領域)の検索サイト「Ichidan」ができました。

ドメインに対して空きポートやサービスを調べることができるため、色々と活用ができてしまいます。

ちなみに、昨年までにTorのWebサイトが大幅に減ったといわれているのですが、このIchidanで任意のサイトを検索("* “)すると、結果は5635件だったようです。別の調査でも6109件と見積もっているので、どうやら現在のTor上のサイトは6000件程度と推定できそうです(去年の調査時点では4400まで減っていたので、3割以上は増えた可能性があります)。

なお、「Ichidan」はウズベグ語で「内側から」という意味だそうです。「Shodan」もゲーム「System Shock」シリーズの敵AIの名前ですが、日本語感覚でみると「初段」と「一段」に見えて、なんともいえないおかしさがあります。

Bluetoothの実装脆弱性「BlueBorne」の情報が公開

「数十億のデバイス、クリック不要のBluetooth攻撃の危機に晒される」

arstechnica.com

https://www.jpcert.or.jp/at/2017/at170037.htmlwww.jpcert.or.jp

Bluetoothの実装面の脆弱性をつく攻撃「BlueBorne」の情報が公開されました。

  • 攻撃可能な条件は脆弱な実装のBluetoothが有効であることのみ(操作不要、他のデバイスと接続中でも攻撃可能)。
  • 多くの場合、Bluetoothスタックは管理者権限で動くため、攻撃により管理者権限の乗っ取りが可能な場合が多い。
  • Bluetoothを使った感染拡大も技術的には可能とみられる。
  • ほぼ全てのOSの実装に脆弱性があった。
    • Windowsは2017年7月の定例パッチで修正済み。
    • iOSはiOS10で修正済み。
    • Androidは2017年9月の定例パッチで修正。
    • Linuxは(ディストリビューション次第ながら)パッチが公開された。
    • macOSはこれまで見た範囲では情報なし(脆弱ではない?)。

というわけで、ちゃんと更新している人なら、WindowsiOSは問題ないはずです。もっとも、Windowsは9月のパッチが一部不具合あり状態とのことですが。

https://freesoft.tvbok.com/cat97/2017/wu_memo_2017_09.htmlfreesoft.tvbok.com

ただ問題は、更新がない機種も多いAndroidでしょう。

脆弱性の残った機材を使う場合、人が集まる場所(カンファレンスや一部の交通機関)や機密性の高い情報を扱う場所では、Bluetoothをオフにすることも検討した方がいいかもしれません。

EU、全てのアップロードファイルに対する検査義務付けを検討

欧州連合、侵襲的なアップロード・フィルタを『リンク税』の代替として検討」

www.bleepingcomputer.com

EUでは、エストニアが中心となって、アップロードファイルに対する著作権検査フィルタの義務付けが検討されています。

EUでは、大手メディア企業の要求にあわせて著作物へのリンクごとに少額の支払いを求める「リンク税」が検討されたことがあります(多くの批判を受けて2015年7月に棄却)。ちなみに、この時にあわせて「CC(Creative Commons)を無効化する案」や「屋外設置物についての著作権の制限(freedom of panorama)を破棄する案」も棄却されました。

今回のフィルタについては、記事ではこのリンク税に類するものと見ています。

アップロードの全てにこのようなフィルタを適用することは、プライバシーや企業秘密の侵害につながる可能性がありますし、無駄にコストばかり高くなりがちであり、様々なグループやいくつかの国(ベルギー、チェコフィンランドハンガリーアイルランド、オランダ)が懸念を表明しています。

DataContractJsonSerializerの詳細動作

以前、.NET標準のDataContractJsonSerializerの利用について少し書きました。

mokake.hatenablog.com

このクラス、アプリケーション設定の保存や、ある種のデータの保存にも便利ですが、本格的に使おうとすると、詳細な動作が気になります。

  • データを格納するクラスにDataContract属性、プロパティにDataMember属性をつけるとあるが、つけないとどうなるのか
  • プロパティのsetterがprivateである場合、明示的なprivateフィールドと結びついている場合はどうなのか
  • Json化したくない項目にIgnoreDataMember属性をつけるが、これはDataContract属性の影響を受けるのか
  • プロパティの順序は意味があるのか
  • プロパティが違うデータを読み込んだ場合はどうなるのか(データクラスの更新によって項目の増減があった場合を想定しています)
  • POCOなどシンプルな形式のクラスは処理できるか、また派生クラスはどうなのか
  • デフォルトコンストラクタとJSONからのデシリアライズ結果の関係はどうなるのか。またprivateフィールド初期値との関係はどうか。

こういったところを、実際の動作から確認してみたいと思います。

続きを読む

米Best Buy、カスペルスキー製品の扱いを停止

「Best Buy、ロシア企業製のセキュリティソフトの販売を停止」

www.startribune.com

カスペルスキーアンチウイルス製品、スパイ行為への懸念によりBest Buyでの扱いを停止」

news.softpedia.com

Best Buy側はこれについて「あまりに多くの回答されていない疑問点がある」と言うのみです。なお、Best Buyで購入し、現在も有効なライセンスがある場合、45日間は他のセキュリティ製品を無償で提供し、既存製品のアンインストールをGeek Squadサービスで行う場合も無料としています。

ちなみにFBIが米国企業に対して「なるべくカスペルスキー製品を使わないように」と圧力をかけているのですが、そのためかも不明です。

「FBI、米国企業にカスペルスキーアンチウイルス製品の利用をやめるよう圧力」

news.softpedia.com

ネット上のバランスの変化

最近、Googleなどのネット上の巨人たちへの向かい風な記事が増えてきた感じがします。

Ars Technica:「Googleは政治領域での味方を失いつつある」

arstechnica.com

The Verge:「Googleに対する独占禁止について」

www.theverge.com

Bleeping Computer:「OperaおよびVivaldiの創設者、Googleは規制されるべきと確信」

www.bleepingcomputer.com

Ars Technica:「テック企業、ヘイトスピーチに宣戦布告。保守派はこれを恐れる」

arstechnica.com

特に最初と最後の記事は、いずれも読み応えがあります。

最初の記事ではGoogleオバマ政権時代にかなり政権に食い込み、色々と有利に物事を進めてきたことや、それが現政権下で変わりつつあるとしています。

最後の記事は、Googleに限らずWebホスティング企業やドメイン業者を含めたネット上の多くの企業がシャーロッツビルの事件後にDaily Stormerを追い出した件を挙げて、かつて声高に言われたネット上の言論の自由が無制限ではいられなくなりつつあること、しかしそれがサイトの党派性と見られかねない危険性を帯びていることを述べています。

以前から欧州ではヘイトスピーチナチス賛美は犯罪扱いであり、強い規制をFacebookなどに求めていたわけですが、米国は、より戦闘的な形でこの問題が出てきているように感じられます。

ベラルーシ、ヴェイシュノリアと「戦争」か?(※架空の国家です)

ベラルーシ、架空の国家Veyshnoriaと『戦争中』」

www.bbc.com

ベラルーシ、架空の国家と『戦争』へ」

foreignpolicy.com

ベラルーシはロシアと共同で9月中旬に軍事演習を行いますが、その際のシナリオは架空の3つの国家の軍事的脅威に対抗する、というものです。

3つの国は次のものです。

  • ベラルーシ北西部を占める「Veyshnoria(ヴェイシュノリア?)」
  • 現在のリトアニアに設定された「Vesbaria(ヴェスバリア?)」
  • 現在のポーランドに設定された「Lubenia(ルベニア?)」

ちなみにLubeniaはポーランド南東部に実在する村と同名ですが、そんな名前を使うんですね……。

このうちVeyshnoriaについては、ネット上でちょっとしたミームと化しました。国旗や地図、紋章も定められ、Wikipediaページにも掲載されています。

また、「外務省」のTwitterアカウントもできており、「国境外での軍事力の集中」への懸念を表明しています。あわせて、このアカウントは「ベラルーシの兵士が投降した場合、シチュー、蜂蜜、パンとラードでもてなします」ともアピール。別のサイトではVeyshnoriaへの「移住」申請を受け付けており、数百人が申し込んだようです。

Foreign Policyの記事では、この件や、そもそもの例年を超える大規模な演習の背景として、ベラルーシとロシアの間で緊張が高まりつつある可能性を紹介しています。ベラルーシ側は、これ以上ロシア軍が多く駐留することには後ろ向きとのこと。現在ロシアはNATOとの間でかなりの緊張状態にありますが、それゆえにVeyshnoriaをめぐるジョークがただのジョークに留まらない部分といえるでしょう。