MozillaのFirefox Monitorが今後のアカウントハックのアラートサービスを開始

今年の早い時期にMozillaは、ユーザーのオンラインアカウントが最近のデータ漏洩事件でハックされたことを検出するサービスFirefox Monitorを発表した。それは、ユーザーのメールアドレスを入力するとHave I Been Pwnedのデータベースを調べて、どのサイトでいつ、何が漏洩したか〔例: パスワード〕を教えてくれる。そして今日(米国時間9/25)Mozillaはさらに一歩進んで、ユーザーがMonitorの登録ユーザーになっておくと将来の漏洩をアラートしてくれることになった。

Firefox Monitorは最初、実験的サービスとみなされていたが、今では正式のサービスになっている。

どこのサイトのアカウントもハックされていなければ、それはとてもラッキーだが、それでもFirefox Monitorのアラートサービスに登録しておいて損はない。そのうち、あなたのメールアドレスの流出が報告されるかもしれない。そもそも最初にMozillaが、人びとに要望する機能について尋ねたとき、いちばん多かったのが、今後のデータ流出の通知だった。

Mozillaによると、Firefox Monitorは、今後数か月の同団体のロードマップに載っているいろんなプライバシー/データセキュリティ機能のひとつにすぎない。Mozillaは自分を中立的な機関と位置づけているから、立場としては良い。たとえばChromeは、Googleが大量のユーザーデータを集めていることが最近ますますユーザーにとって、プライバシーをめぐる懸念になり、批判にさらされているのだから。

〔訳注: Firefox Monitorの利用は、過去のハッキングスキャンも今後のアラートも無料。リリースノート(英文)。〕

[Firefoxが近くデフォルトでトラッカー(ユーザー情報の収集)をすべてブロックする]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

アイダホ州の囚人たちが刑務所支給のタブレットで20万ドルあまりのクレジットを偽造

アイダホ州の囚人たちが、刑務所が支給したタブレットのソフトウェアを使い、外界との唯一のつながりである同機の上で25万ドル近いクレジットを偽造した。そのタブレットは刑務所向けに各種サービスや物品を提供している大手事業者JPayが作ったもので、囚人たちはそれを使って、メール、音楽を聴く、送金するなどのタスクができる。一部のサービスは、有料だ。

Associated Pressの記事によると、364名の囚人がソフトウェアの脆弱性を利用して、JPay上の自分の口座の残高を増加させたことに、アイダホ州の刑務所の職員が気づいた。アイダホ州では、JPayはCenturyLinkとパートナーしている。後者はソフトウェアの脆弱性を認めたが、詳細は何も語らず、その後問題は解決した、とだけ述べた。

JPayを悪用した364名のうち、50名の囚人は自分自身に1000ドル以上のクレジットを発行することができた。1万ドル近い者もいる。合計22万5000ドルの被害額の約1/4はJPayが回収できたが、盗まれたクレジットの全額が返済されるまで一部のサービスは中断される。

アイダホ州の矯正局は次のように声明している: “この行為は不慮の事故ではなく意図的である。それはJPayのシステムに関する知識を必要とし、システムの脆弱性を悪用した囚人たちは、各人が複数回のアクションにより自分の口座に不正に与信した”。

JPayのシステムを悪用した者たちは、アイダホ州の複数の刑務所に分散して収監されている。それらは、Idaho State Correctional Institution, Idaho State Correctional Center, South Idaho Correctional Institution, Idaho Correctional Institution-Orofino, そして民営のCorrectional Alternative Placement Planの建物だ。

JPayは同社のWebサイトでこう述べている: “弊社は矯正行政において信頼性の高い名前として知られている。なぜならば弊社は、高速で安全な送金方法を提供しているからである”。…今度の事件で、この‘安全’の部分にクェスチョンマークが付くだろう。同社は、35の州の刑務所にサービスを提供している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

アメリカ空軍のドローンのドキュメンテーションがダークウェブで200ドルで売られていた

ダークウェブ(dark web, 闇ウェブ)の上には、あなたが想像すらしなかったものがある。6月にはセキュリティ調査企業Recorded Futureの危機情報(threat intelligence)チームInsikt Groupが、ダークウェブのマーケットプレース上の犯罪行為をモニタしているときに、アメリカの機密軍事情報が売られていることを発見した。

Insiktの説明によると、一人の英語を話すハッカーが、無人航空機MQ-9 Reaperのドキュメンテーションがある、とほのめかした。そして驚いたことにそのハッカーは、それを150ドルか200ドルで売る、と言うのだ。

Insikt Groupによると、そのドキュメントは極秘扱いではなかったが、いくつかの機密資料を含んでいた:

  • M1 Abramsメンテナンス・マニュアル
  • 戦車小隊訓練教程
  • 搭乗員生存教程(サバイバルコース)
  • 簡易爆発物対抗戦術

Insiktは、そのほかのドキュメントもアメリカ陸軍の職員やペンタゴンから盗まれたようだ、と言っているが、しかしその情報のソースは確認されていない。

そのハッカーは、フォーラムに参加してこれらのドキュメントをあからさまに売るつもりだったようで、米軍の不注意な職員からそのほかの軍事文書を入手したこともある、と認めた。Insikt Groupが調べていくと、ハッカーはドキュメントを、不正な構成のFTPログイン認証情報を使い、Netgearのルーターにアクセスして入手したことが分かった。ハックしたドローンのドキュメントのソースについて尋ねると、その犯人はMQ-1 Predatorドローンからの撮影記録にもアクセスした、と認めた。

彼の手口はこうだ(出典–Insikt Group):

犯人は、Webサイトだけでなくコンピューター本体を検索できる検索エンジンShodanを使ってインターネットを広範囲にスキャンし、著名なサイトで標準的なポート21(FTP)を使っている構成不良なルーターを見つけ、そこから侵入したマシンから貴重なドキュメントをハイジャックした。

上記の方法でハッカーはまず、ネバダ州クリーチの空軍基地にある第432航空機メンテナンス中隊Reaperドローンメンテナンス担当部隊の大尉のコンピューターに侵入し、機密ドキュメントのキャッシュを盗んだ。その中には、Reaperのメンテナンス教本やReaperメンテナンス部隊に配属された航空兵の名簿もあった。教本のたぐいは極秘文書ではないが、敵対勢力の手に渡ると、そのもっとも技術的に高度な航空機〔Reaperドローン〕の技術的能力や弱点を探る手がかりになりえる。

Insikt Groupによると、ハッカーが軍事機密をオープンなマーケットプレースで売ることは“きわめて稀”である。“平凡な技術的能力しか持たないハッカーが単独でいくつかの脆弱な軍部ターゲットを見つけ、わずか1週間で高度に機密的な情報を気づかれずに取り出せたことは、もっと高度な技術と豊富な財政力を持つ確信犯組織だったら何ができるだろうか、という怖ろしい想定にわれわれを導く”、と同グループは警告している。

画像クレジット: Andrew Lee/アメリカ合衆国空軍

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

仮想通貨マイニングのマルウェア、英・米政府のパソコンをこき使う

先週末、ちょっとしたマルウェアが政府のパソコンで仮想通貨のマイニングに精を出していた。最初に気づいたセキュリティー研究者のScott Helmeによると、このマルウェアは英国のプライバシー監視機関(ico.org.uk)と米国裁判所システムのウェブサイト(uscourts.gov)を含め4000台以上のパソコン上で実行された。

マルウェアは侵入先のデバイスを利用して、「マイニング」(採掘)と呼ばれるCPUに高い負荷のかかる複雑な計算処理を実行した。マイニングは一部の仮想通貨(暗号通貨)に利用されている。

[BrowserAloudの@texthelpというソフトウェアに注入された悪意のコードは、小さいが非常に強力だ。画面の白いテキストが元のコードで、紫色のテキストが犯人に注入されたコードだ]

疑うことを知らないパソコンに暗号解読ソフトウェアを潜入させるために、犯人らはBrowsealoudという失語症や読解力の低い人向けのアクセシビリティープラグインを標的にした。Browsealoudに侵入したマルウェアは、プラグインのコードを書き換えて悪意のあるJavaScriptコードを注入し、Coinhiveという名前で知られるマイニングソフトウェアを無防備なパソコン上で密かに実行させた。

日曜日(米国時間2/11)、英国の国立サイバーセキュリティーセンターは、現在「違法な仮想通貨マイニング に使用されたマルウェアに関係するデータを分析している」とする声明を発表した。

サイバーセキュリティー会社のCrowdStrikeは先月、新しいタイプの脅威として、仮想通貨マイニングマルウェアの台頭を指摘していた

「ここ数カ月間、他人のCPUサイクルを無許可で利用して利益を上げる、暗号通貨マイニングに焦点を絞ったサイバー攻撃が増加している」と同社は指摘し、2018年にはこの種の事件がいっそう増えると予想している。

しかしHelmeが言うように事態はもっと深刻なものになりえた。類似の侵入方法を使って、Moneroをマイニングする代わりに政府の認証情報や個人情報が盗まれていたかもしれなかったからだ。

[考えれば考えるほど、もっと悪いことを想像してしまう。攻撃した犯人は英国の数多くの情報局ウェブサイトを含む何千ものサイトに任意のスクリプトを注入している。その技術を使ってほかに何ができるか考えてみてほしい… 」

[原文へ]

(翻訳:Nob Takahashi / facebook

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Nintendo Switchのメモリを覗く/書き込むハッカーツールPegaSwitchが一般公開

Nintendo Switchが本当にハックされたのか、と世間が騒いだ翌日(米国時間3/14)、プログラマーたちのグループがPegaSwitchをリリースした。この“ツールキット”を使えば、無署名のコードをSwitchの上で…一定の制約はあるが…実行できる。完全なジェイルブレークではなくて、ジェイルブレークのきっかけになりそうな概念実証だ。

LiveOverflowと名乗るそのハッカー集団の一人は、“これで個々のファンクションを呼び出せる。まだ本格的なプログラミングはできない”、と言っている。“でもシステムを調べていくための入り口としては十分だ。恒久性はないし、任意のコードを実行できるわけではない”。

このエクスプロイトを試すには、自分のマシンの上でこのプログラムを動かし、Switch用のDNSサーバーをそのマシンのIPアドレスにセットする。SwitchがWi-Fiに接続しようとすると、それはそのマシンに捕(つか)まり、とてもシンプルなシェルからメモリに自由に何でも読み書きされるようになる。これまでのジェイルブレークならコードは本物の署名されたプログラムのように動くが、これはSwitchの脳を勝手に覗き込んでいるだけだ。

この方法で海賊版のゲームをプレイしたりはできない。このエクスプロイトは、いつシャットダウンしてもおかしくない。でも、Switchの内部に関心のある人にとっては、とてもおもしろいツールだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

たった一つの誤字が選挙をひっくり返したかもしれない

shutterstock_139834159-compressor

2016年の選挙に対するロシアの妨害説をめぐるThe New York Timesの長い記事に書かれている、多くのひどい失態の中で、とりわけ目立つものがひとつある…それがとくに印象的なのは、ごく些細で平凡なものと、それがもたらした結果の重大さの対比だ。Hillary Clintonの選挙参謀John Podestaのメールのハックは、彼にリスクを警告しようとする一通のメールにあった、たった一つの誤字だったかもしれないのだ。

どういうことか? Clintonの選挙戦スタッフの一人がTimesに、彼は、あるフィッシングメールにについて書くときに、形容詞“illegitimate”(違法な)を間違って“legitimate”(合法な)と書いてしまった。そしてその“合法な”メールがクリックされると、次の瞬間、ハッカーがドアの中にいた。

それは小さなミスから起きた悲喜劇的なエラーだが、もしそれが真実なら、サイバーセキュリティにおける最小の失態、ひとつの誤字やひとつのクリックが、一人の人間の全キャリアや、ニュースのサイクル、そしてときには選挙の結果さえ、ぶっ壊してしまうのだ。

そのThe NYTの記事は長いが、読む価値はある。読み終えたあと、どっと疲れて、世間嫌いになるかもしれないけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Waiterは、あなたに代ってカスタマーサポートの電話を待ってくれるサービス

disrupt_sf16-2184

サポート電話で待たされるが好きな人などいないが、担当者が空いた時に電話をかけてくる会社はほとんどない。

その結果私たちは延々と待たされ、挙句の果てに電話をかけていることを忘れてしまい、相手に切られたり時間切れになったりする。いずれの場合も待った時間は無駄になる。

今日のDisrupt SFハッカソンで、 Ang LiJiang Chenは、あなたに代わって電話を待つAI ロボット、Waiterを作った。

しくみはこうだ。

まず、Waiterの専用番号にかけると、カスタマーサービスの番号をダイヤルするよう促される。するとWaiterは、企業とあなたとWaiterの3者通話を設定する。

img_1369ユーザーは、カスタマーサービスに必要な所定の操作(アカウント番号の入力等)を終えたら電話を切ってよい。あとはロボットが相手の出るのを待ち続ける。

その後Waiterは、“hello can you hear me” と何度も呼びかけを続け、担当者の声(hello、how are you 等)を検出したら、少し待ってくれるよう伝えてあなたにダイヤルする。

開発チームはこの “hello can you hear me” プロンプトを、チューリングテストになぞらえている。実際に担当者が出てきた時にだけユーザーを呼び出すために重要な手順だ。単に音を聞いているだけだと、保留音楽や広告に反応してユーザーを呼び出してしまうおそれがある。

システムは主にTwilioの電話会議と音声認識APIを使用して作られている。WaiterはGitHubにある(Pythonで書かれている)ので、誰でも専用バージョンを作れるが、有料版を作って独自にサービスを提供する計画もあるそうだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Dropboxの2012年の事件では社員のパスワード再利用により6000万あまりのユーザー認証情報が盗まれていた

adobe_dropbox_ipad-3

【抄訳】
Dropboxが今週初めに開示したところによると、同社の大量のユーザーの、2012年に取得された〔==盗まれた〕認証情報が、闇のWebを放浪している。しかしその実際の数は、最初に考えられたものよりも、はるかに大きかったかもしれない。

最初にMotherboardが報じ本誌TechCrunchの情報筋が確認したところによると、6000万あまりのアカウントの認証情報が盗まれた。今回Dropboxがパスワードの侵害を開示したことは、2012年の事件のときの同社の態度に比べると、進化している。そのとき同社は、ユーザーのメールが唯一の盗まれたデータだ、と言った。

2012年のときのブログ記事は、こんなだ:

盗まれたパスワードは、プロジェクトのドキュメントやユーザーのメールアドレスのあるDropboxの社員のアカウントにアクセスするためにも使われた。この不正なアクセスが、スパムに導いたものと思われる。これに関しお詫び申し上げるとともに、新たなコントロール要素を加えることによって確実な再発防止を図ったことを、ご報告申し上げたい。

このブログ記事によると、Dropboxは2012年に、社員のパスワードが取得されてメールアドレスのあるドキュメントへのアクセスに使われた、と開示した。しかしその窃盗行為によって複数のパスワードが取得されたことは、開示しなかった。Dropboxはユーザーのパスワードを暗号化しソルトして保存しており、そのことは技術的にも正確であり、したがってハッカーは暗号化されているファイルを取得できただけであり、その上のパスワードを解読することはできない、と思われる。しかし、最初に開示したものよりも多くの情報が盗まれていたにもかかわらず、その侵害の開示にこんなに長い時間〔ほぼ4年〕がかかったことは、奇異である。

Dropboxの筋によると、最初に2012年に開示したユーザーのメールに加えて、それらのメールに結びついている一群の暗号化されたパスワードも盗まれた。その侵害の時点ではDropboxは、当時の標準アルゴリズムである暗号化アルゴリズムSHA-1の使用をやめて、より堅牢なbcryptに代えようとしていた。盗まれたパスワードの一部はSHA-1で暗号化され、3200万はbcryptで暗号化されていた、とMotherboardは報じている。パスワードはまた、暗号化を強化するためのランダムなデータ列、いわゆるソルト(salt, 塩)で守られていた。これらのパスワードは今、ネット上に投げ捨てられているが、それらを保護している暗号がこじ開けられた形跡はない。

2012年11月のForbes誌のインタビューでDropboxのCEO Drew Houstonは、ユーザー数は1億、前年同期より倍増、と述べた。いちばん最近の発表では、登録ユーザー数は5億であるが、各月のアクティブユーザー数は公表されていない。ハックが起きたときのユーザー数もほぼ1億なら、その3/5が侵害の被害者だから、ものすごい数だ。

社員のパスワードを使ったハッカーは、それをLinkedInの侵害から再利用して、Dropboxの社内ネットワークにアクセスし、ユーザーの認証情報を盗んだ、と情報筋は言っている。だから責任の100%がDropboxにあるわけではないが、企業内のセキュリティが破られたことは事実であり、パスワード再利用の危険性と、その被害が企業環境の内部にも及びうることを示している。

Dropboxは、社員が自分の企業アカウントのパスワードを再利用しないために、すべての社員に対してパスワード管理サービス1Passwordをライセンスし、ユニークで強力なパスワードを使うよう奨励している。同社セキュリティ担当のPatrick Heimによれば、これらに加えて、すべての社内システムで二要素認証を必須にしている。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

本職のセキュリティ技術者が旅先のウィーンでATM盗視機を発見

これはすごい。旅行でオーストリアのウィーンへ行ったサイバーセキュリティのエキスパートBenjamin Tedescoは、そこでATMを使おうとした。しかし何でもまず疑う彼は、カードリーダーをちょっと調べてみて、それが本物のカードスロット(挿入口)とそっくりのスキマー(skimmer,盗視機)であることを発見した。

“被害妄想はお金を守る”、まったく、彼の言うとおりだ。

Tedescoはスキマーを取り外して写真を何枚か撮り、家に帰ってから詳しく調べようと思った(カードのデータがまだ載ってるかもしれない)。何人かのRedditユーザーが、ピンホールカメラがあることに気づいた。たぶん、暗証番号を読むためだろう。そうなると、彼らは盗難カードを何枚でも作れる。

ATMを使うときは、必ずチェックしよう。ふつうは、こんなツールのインストールを防ぐためのチェッカーが何重にも設けられているが、ときにはそれらが故障していてハッカーにやられる。おかしいなと思ったら、ATMやカードスロットを、押したり引いたり、こすったりしてみよう。

AAEAAQAAAAAAAAiDAAAAJDQ4ODQxZjM5LTU0ZDktNDE2ZC1iM2QwLWM5ZTcyZmM1ODI2Mw

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

警告:恐怖のハサミロボットを塔載したドローンに散髪させてはいけない

good-idea-guys

お気楽ハッカー、Simone GiertzとSamy Kamkarのふたりがヒマな午後を共にすると何が生まれるか?ドローンと自動式ハサミで散髪するばかげた計画だ。

それがスタートから失敗する運命にある計画であることは、SimoneとSamyをたじろがせなかった。当然だ。ビデオを見ての通り、この計画はスタイリストの仕事を奪うのではなく、奇抜で新しい何かをやって楽もうというものだ。

ドローンの下降気流だけでも、まともなヘアカットはおそらく不可能であり、そしてもちろんそこには、ハサミロボットに耳を切られる深刻なリスクがある ― ほぼ間違いなくひとつの、しかし疑わしいメリットだ。

dronecutGiertzは、鋭利なものを自動化して恐怖を呼ぶことで知られているが、Kamkarのハックはしばしば(控え目に言って) 犯罪すれすれだ。例えば、番号錠を瞬時に開けるロボットや、他人のドローンを乗っ取るシステムを作ったのは彼だ。

YouTubeで、SimoneSamyをフォローすることを強くお薦めする。

[原文へ]

(翻訳:Nob Takahashi / facebook

誰かがあなたのiPhoneをこんなに簡単にハックしてるかもしれない

shutterstock_278913779

FBI vs. Appleの論戦はいよいよ盛り上がっているが、意外にも、iPhoneをハックするのは簡単なのだ。SkycureのCEO Adi Sharabaniが私のiPhoneを取り上げて、それに他人が簡単にアクセスできることを見せてくれた。ただし彼は、自分のスマートフォンのセキュリティを維持するためのコツも、教えてくれた。

 
 

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ATMカードのデータを盗む“Shimmer”は薄いので検出不可能

shimalone-580x591

悪賢いATMハッカーたちが、今度は”shimmer”と呼ばれるカードデータ読み取りシステムを使い始めた。非常に薄いので、カードスロットに挿入してもユーザは気づかず、外からも見えない。特殊な器具で調べないと、あることが分からない。

メキシコで見つかったが、それが何にデータを送っているのか、それがまだ分からない。この装置が特別なのは、カードのチップ上のデータを読み取ることだ。ハッカーは装置のチップから送信されてきたデータを保存し、偽(にせ)のカードを作ることができる。ただしATMカードのセキュリティはやや複雑だから、偽のカードは、カードを挿入したときのセキュリティチェックが緩いATMでないと使えないはずだ。

詳しい情報はBrian Krebsのサイトにあるが、ATMのカード読み取り機を手でたたいたぐらいでは、このデータ窃盗機を検出することはできない。ピンセットと懐中電灯を、持参すべきかな。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

この30ドルの装置で、車やガレージの鍵を開けられる

hackers

ハッカー、Samy Kamkarは、無線信号を記録・再生してガレージや車のドア開けることのできる巧妙なシステムを作った。価格は30ドルで、これは今われわれの熊手やランドローバーを守っている、笑えるほど安全でないシステムに引導を渡すかもしれない。

Rolljamと呼ばれるこのプロジェクトは、リモコンから送られてきた信号を一旦ブロックし、ユーザーが2度目にボタンを押した時に信号を記録する準備をする。なぜか?それはメーカーが「ローリングコード」と呼ばれるものをリモコンが押されるたびに生成しているからだ。

コードが正しい順番で送られてこないと鍵は開かないが、一度ブロックして次を捕獲することで必ず新鮮なコードを得られる。自動車メーカーはこの種の行為を防止するためのシステムを実装しているが、今出回っている多くの車は攻撃の対象になる。

1.jpg

DEF CONの講演概要より:

この講演では、無線で制御されているゲート、ガレージ、自動車などに関する最新の研究および実際の攻撃方法を紹介する。現在多くの車がモバイル端末からGSM経由で制御され、さらに多くの車がリモコンのRF信号経由で解錠やエンジンの始動が可能だ。それら全部が、低価格なツール(RTL-SDR、GNU Radio、HackRF、Arduino、さらにはMatel のおもちゃでも)による攻撃の対象になる。

これは、今すぐ新しい車を買いに行くべきだという意味だろうか?おそらくそうではない。テクノロジーが容易に入手可能になった今、メーカーは必死で回避方法や改善方法を市場に送り出し、必然的に起きる集団訴訟を防ごうと全力を尽くすに違いない。

しかし、あなたの古いガレージドアオープナーがソフトウェアアップデートを受けることは期待しないほうがいい。つまり、大切な自転車やスノーブロワーにはしっかり鍵をかけておいたほうがいい。

via Engadget

原文へ
 
(翻訳:Nob Takahashi / facebook

電子回路プリンタVolteraがKickstarterの初日で目標額の4倍を突破

本誌のHardware Battlefieldで絶賞され、今日Kickstarterに出たその製品は、やはり圧倒的にすごい。

CES 2015のステージでは初期の完動プロトタイプだったが、今度からは受注して販売できる正規の完成製品だ。このプリンタは要するにPCBメーカーで、ボードを置いて回路図をアップロードしてやると、導電性インクでその回路をプリントする。そのあと、必要な部品をハンダ付けする。

初期の出資支援者は1499ドルでこのシステムを買える(もっと安いのもあったがそれは売り切れ)。目標額5万ドルに対し初日ですでに20万ドルを超えている。CESの時点で完動品だったから製品に関して問題はないと思うが、大量の受注に対するサプライチェーンの問題はどうだろう? 使用目的は特殊だが、すばらしい製品だ。ぼくがPCBを自作できるほど優秀な人だったら、必ず買っていただろう。

本誌のHardware Alleyのときのプレゼンを、下のビデオで見られる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


では一体誰がやったのか?

Sony Picturesのハックに、何らかの戦意があったとは認めがたい。CloudFlareとDEF CONのMarc Rogersが言ってるように、このハックは、かなりぶさいくなやり方ではあっても、犯人の特定は難しい。ハッカーの心得のある者なら誰もが、プロキシを使い、ソフトなターゲット(非軍事的な標的)をねらう。しかし攻撃に成功してデータを盗んでしまったら、犯人の所在を突き止めることはほとんど不可能だ。それが平壌からか、アトランタからか、誰にもわからない。Rogersは次のように書いている:

デジタル犯罪の鑑識はテレビドラマではない。CSIなどでは、捜査官がキーボードをわずかに叩けば、まるでマジックのように、コンピュータがアンロックされ、証拠情報がスクリーンにどどっと流れだす。さらにキーを叩くと、“追跡”と呼ばれるグラフィカルなアプリケーションが犯人の家に侵入し、彼のWebカメラや寝室のドアを操作する。しかし現実は、そんなかっこよさとは程遠い。

[ツイート訳: ついにやったか。くそがきどもが、DPRKのふりをしてるぜ。]

つまり、FBIですら、犯人の特定はできない。

ぼくが想定するシナリオでは、LulzSecみたいなハッカーたちがSony Picturesに入り込む方法を見つけたのだ。長時間かけて大量のデータを盗んだ彼らは、Sony Picturesを困らせてやろうと思った。敵意も利益動機もなく、ただ自分を誇示したいために。盗んだデータをSnowdenみたいに調べてみたら、すごいデータであることが分かった。ニュースメディアは、本誌も含めて、このゴミに食いついた。そして盛大に騒ぎ立てた。Angelina Jolieのメールもある! お粗末なCandy Land映画のリメイクもある! ハリウッドがモーレツに腹を立てている! テレビのバラエティ番組が、映画のプロデューサーたちの単純なメールをネタに、これだけ視聴率を稼いだ月は、過去になかっただろう。

Snowden的なリークではあっても、これらのドキュメントそのものは、あまり重要ではない。むしろ、Sonyの社員の話によれば、Sonyは近く、侵入試験をするつもりだった。同社のインフラはあまりにも古くて、ITの連中が昼食のために外出している間にメールをすべて盗むことも可能なぐらいだった。FBIが今回の事件を外部の悪者のせいにしていることは、Sony Picturesの上級スタッフにとって、最高のクリスマスギフトだ。

リークが世の中に広まったあと突然、おまけが出現した。911スタイルのテロ予告、それに続くパニック状態、犯人特定の要求が嫌が上にも高まった。そのlulzのようなハッカーは北朝鮮である、とされた。しかしそのときからすでにセキュリティの専門家たちの多くは、北朝鮮説の虚偽を指摘していた。要するにこれは、“おい、みんな、Sonyをハックしてみようぜ”が、あまりにもうまく行き過ぎた例だ。ハッカーたちが望んだもののすべて…お楽しみ、自分たちに集まる注目、わくわくするような意地惡行為…が実現した。放火マニアが、落ち葉の山に火をつけただけで、一つの町内が全焼したように。愉快犯の愉快も、被害者の被害も、ともに、おそろしいほど完璧だ。

Sony Picturesの映画では、ハック行為が、実際にはありえないかっこよさで描かれている。実際にはワークステーションが何台もずらーっと並んではいないし、美女に尺八をしてもらいながら暗号を解読することもない。実際のハッカーはその多くが、平凡で地味で無名で目立たなくて人畜無害な姿をしている。彼らは裏世界に身を潜めて、実験や盗みを楽しんでいる。そんな物静かなハッカーたちが急にメディアの寵児になるなんて、ふつうはありえない。われわれの騙されやすさに本気でつけ込めば彼らは今ごろ、銀行に巨額を蓄えているだろう。しかしもしも、腐敗した映画プロデューサーたちが交わしたメールの重要性を理解できるほど北朝鮮のハッカーたちの文化性が本当に高いのなら、われわれは彼ら見くびっていたことになる。それは、ありえないだろう。

[ツイート訳: Kim Jong Unは今度作るロックオペラのネタが欲しかったんだろ?]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


工作マニアは「忘れ物防止箱」を自作してはいかかが? 〔ハウツービデオあり〕

私はちょっとした工作をいろいろ紹介してきたが、Sean Raganの「忘れ物防止箱」はその中でも傑作の部類に入ると思う。メガネ、サイフ、薬、お守り、その他忘れてはいけない物をなんであれ、この箱に入れておくと、 家を出るときにベルとランプの点滅で警告してくれるというものだ。

最近、われわれが持ち歩かねばならない物の数は増える一方だ。さらにさまざまなデバイスの発達でわれわれの注意は現実世界を離れてバーチャル世界にしばしば逸らされる。そんなわけで薬局のカウンターで処方箋を忘れてきたことに気づき、出張先のホテルで携帯の充電器を忘れてきたことに気づく。空港でパスポートを忘れたことに気づいたら悲惨だ。こうして途方もないエネルギーと時間が無駄になっている。

というわけでこの発明となったわけだが、自分で「忘れ物防止器」を作ってみたければ詳しい工作マニュアルはこちらににある。ただ上のビデオを見て楽しむだけでもよい。

via Adafruit

[原文へ]

(翻訳:滑川海彦@Facebook Google+


中国のプログラマーがWindows 95をiPhone 6 Plusに載せた


本日の「本来ではない場所に何かを載せる」コーナーでは、xyq058775というユーザーと、買ったばかりのiPhoneにWindows 95をインストールしたという彼のワクワクする告白を紹介したい。使ったのは iDosというツールで、これはiOSにインストールするオープンソースのDOSBoxライクなアプリだ。彼曰く、ほぼ完全に動作したが、Windows XPにアップグレードできなかったそうだ。そして彼はDoomもプレイできたと私たちは想像している。

ここで行われていることに新規性は殆どない ― 人々は初代VAXマシンの時代からエミュレーターを走らせてきた ― しかし、よみがえったソフトウェアがこんなに早く新しいハードウェアで動くところを見るのはクールだ。私には実用的使い道を思いつくことができないが(たぶんタイピング練習のMavis Beaconは走らせる必要があるだろう)、理論的実験としてはすばらしい。誰か、POSDTを動かすかもしれないし。

中国語FAQの拙い翻訳を以下に載せた:

1.Q: Can I install WINDOWS XP? A: The answer is yes you can, but certainly not by idos, because idos simply simulate the DOS environment is not the true sense of the virtual machine, so the system is more difficult to run the DOS and idos simulation environment and do not have XP running basic environmental needs, so later if transplanted XP system, then I will make use of their leisure time with friends ios platform to write a plug-in to run XP virtual machine system.

2.Q: Why are you doing this? Why not use Remote Desktop. A: First, to show that this kind of thing tall Remote Desktop is currently no support on win98 systems, not to use during system installation and tool methods have sent me here.

3.Q: Why is the process I installed the explorer process wrong? A: Because idos simulator only simulates the 16’s dos environment, although win98 16/32 hybrid system but Explorer and exe process large part needed is a 32-bit environment, so when they need 32 program calls some system environment variables and support libraries when an error occurs, LZ modify some of the resource is designed to allow him to run in idos environmental good, However, this modification will change the part of the machine, which has led some device errors when using LZ modify the good image. After LZ according to everyone’s feedback slowly improve!

全体手順の説明は、中国語が読めればここにある。読めなければ、インストールは読者の練習としておこう。

[原文へ]

(翻訳:Nob Takahashi / facebook


このスチームパンクなブレスレットで、テトリスをプレイしよう


Keven Batesは、Arduboyというプログラマブル名刺を作った男だが、次のプロジェクトは、最高にクールなブレスレットの中に詰め込まれている。この銅でできた回路基板むき出しの(当然水濡れ禁止)ウェアラブルは、小さな液晶画面でテトリスをプレイできる。ブレスレットの左右をタップして移動したブロックが、複数に分割された画面を上から下へ落ちてくる。スコアも残る。

このブレスレットは現在プロトタイプだが、Batesはこれに3Dプリント部品を加え、本物のウェアラブルらしくして、見た人がショックを受けないようにする予定だ。ブレスレットには小さなコンピュータが塔載されていて、完全にプログラマブルだ。誰か腕Angry Birdsを作らないかな?

via Giz

[原文へ]

(翻訳:Nob Takahashi / facebook


完全なサウンドラボ/スタジオの完全なWeb化をねらうWavepot、よちよち歩きだが将来性は大きい

ノブ回し屋さんたちはご注目を。Wavepotは、あなたの寝室やテクノ小屋などで一人っきりで、すごいホットなEDM(Electronic Dance Music)のビートをプログラムできるクールな新しい方法だ。ライブのプログラマブルなデジタルオーディオワークステーションとして設計された(現状はデジタルシグナルプロセッサに近いが)このWebサイトでは、Webページやシンプルなアプリをプログラムするような感覚で音楽とサウンドをプログラムできる。パラメータを設定し、いろんなファンクションを加える、するとそれがすぐに実行できる。JavaScriptを使っているから。

いまのところサウンドと波形をシーケンスできるだけだが、究極の目標は、すべての機能が揃ったマルチトラックのレコーディングシステムをブラウザ上に提供することだ。プログラムをサイドメニューからロードして、そのプログラムをリアルタイムで書き換えることもできる。たとえば”got some 303″の192行の”saw”(ノコギリ波)を”sin”(正弦波)に入れ替えるだけで、まったく新しいリフになる(下図)。


〔ここにスライドが表示されない場合は、原文を見てください。〕

今このサイトでは、会社などで遊ぶとほかの人の迷惑になるようなことしかできないが、チームは機能強化のために寄付を募っている。また、なかなかしっかりしたフォーラムもあり、そこではお互いのサウンドやプログラムの共有が行われている。今のあなたはBurning ManのためのEDMで忙しいかもしれないが、このWavepotも一見の価値はある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))