昨日の今日で、ちょっと時差ぼけ気味の今日。一応、朝は早めに起きて散歩はしたものの、午前中はなんとなくだるくてごろごろしていた。
天気はいまいちで、気温は15℃くらい。散歩もとりあえず、裏山越えしてショートカットで戻ってきた次第。
裏山の木立は、次第に隙間が目立ち始めた。桜の木はもうかなり葉が落ちている。もう11月に入って、一気に晩秋感が漂ってきた。
アムステルダムが最低気温10℃前後だったので、それほど寒くなった感じはしないのだが、これも時間の問題だろう。そろそろ本格的に冬支度を始めた方がよさそうである。
お昼過ぎにちょっと日が差してきたので、たまった洗濯物を洗濯したのだけど、結局日暮れまでに乾かず部屋干しになってしまった。
そういえば、今朝、注文してあったブツが届いた。こいつである。
先日発売になったギガビットのリピーターハブである。さすがに店頭にはなくて注文してあったのだが、これで家のネットの各セグメントをモニタできる。とりあえず、メインのスイッチから防火壁の間のトランク接続部分に突っ込んだので、ここを通過する全VLANをモニタできる。で、早速こういうことをしてみたわけで・・・。(一応、素人さんにはわからないようにマスクしといたけど・・・・・まぁ、読める人には読めるわけで・・・(笑))
この前フリーズ騒ぎを起こしてから気になっていたうちのテレビの起動時の通信をちょっとのぞいてみた次第。しかし、大量のxmlファイルとJavaScriptファイルをネット上のサーバから平文で読み込んでいる。だいたい、スクリプトのコメントにconfidentialと書いておいて平文はないだろうと思うのだが・・・。一応ハッシュチェックはしてはいるようだが、そのハッシュ値も通信で取り込んでいる。当然keyed hashだよな、と思いつつ、あからさまにsha1-hashとかかかれたxmlの項目を見ていた次第で・・・。実際、これらのファイルはキャッシュされているようで、変更通知がないと更新されないようだが、たぶんこのまえのトラブルは、この中のどれかが壊れていたのだろうと思う。だから、電源を抜いてCPUをリセットしてメモリ上のキャッシュをクリアしたら治ったのだろう。ということは、少なくともDoSの脆弱性はどこかに潜んでいそうだ。その後、ファームウエアがアップデートされた様子はないから、メーカーはそのへんをきちんと認識していないのかもしれない。もう少し時間があったら、徹底的に調べてみたいのだが、残念ながらちょっと時間が足りないのが現実である。このメーカーに限らず、最近のスマートTVは多かれ少なかれ似たような状況にありそうだから、大事になる前に手を打ってほしいものだと思う。DLNA関連の通信も気になる。このあたりは、UPnPを多用しているので、古いライブラリの脆弱性も気になるところだ。(実際、今年のDEFCONでは、米国スマート家電のUPnP関連の脆弱性が指摘されていた。)家電系はいまひとつメーカーの危機感が希薄な気がするのだが、業界できちんと安全基準は考えてほしいところだ。安全やプライバシーに関わる部分は特にである。先日のRSAではアジア某メーカーのスマートTVで、カメラの画像とマイクの音声を外部から取得できる可能性が紹介されていたので、このあたりが確認できるまでは、ユーザ側でも、ある程度防御が必要だろう。会社の会議室においてあるテレビなんかはもっと深刻だ。通信を見ていると、マルチキャストやブロードキャストによる送信が頻発するので、こうした家電がネットワーク上に存在することは、同じセグメント内にいれば、簡単に発見できるだろうから、これを狙ったマルウエアが作られる可能性も大きいと思う。そろそろ本気で注意喚起した方が良さそうだ。とりあえず、ネット家電は使わないときはコンセントを抜いておくというのが最大の防御法+エコでもあるのだけどね。
さて、今夜はそろそろ寝て、明日はちょっと仕事をしよう。
コメントする