ルータに穴を開けずに外出先からWoLができた!

はじめに断っておきます。タイトル詐欺です。

タイトルに書いたことは間違いではありませんが、かなり限定された方法です。
とはいえ、機材を持っていれば最も確実な方法でしょう。

こまけー話は要らねーという方は
実際に私がやった手順(該当行まで飛びます)に進んでください。

というわけで、本題に進みます。

WoLとは

WoL(Walke on LAN)というのは、ネットワーク越しにパソコンの電源を入れる技術ですが、
LAN(Local Area Network)の文字通り、自宅などの建物内からしか使えません。

世の中には、WAN(Wide Area Network)、
つまり、インターネットから自宅のPCの電源を入れたいというニーズがあります。

PCの電源さえ入れば、リモートデスクトップツールで、外出先から自宅のPCを操作できるので便利です。

ですが、WANからWoLを実行するには最大の壁として、
ブロードバンドルーターを超えてWoLの通信をLAN側に送れない問題があります。

それを解決する手法の一つをここでは提案します。

なお、この記事の対象読者は「LANからのWoLは成功するけど、WANからのWoLができない」と悩んでいる方に向けて書いています。
LANからのWoLができてない人はまずはそこをクリアしてから次に進みましょう。
また、WoLで必要な用語は知っている前提で次からは話を進めます。
【続きを読む】

防犯カメラ導入記

たまに、家の敷地の中に空き缶とかを投げ込む輩が居るらしい。
そういえば、家の敷地の中の果実をとって(盗って/採って/摂って)いく輩もいるっぽいし。

なにより、家の前は警察やさんが一時不停止を狙って待機している場所だったりして、
カメラを仕掛けたら面白そうな立地でもあるので、
防犯カメラを導入してみようと思い立ったけど、防犯カメラって高いね?

全天候型だとだいたい2~3万。

カメラ本体だけならば7000円ぐらいであるけど、コンポジット出力だったりで、
周辺機器を揃えると、1万を超えそうなのでWebカメラで防犯カメラを自作してみた。

カメラは毎度お馴染み
UCAM-DLA200HWH

このWebカメラ。
星形ドライバーで簡単に分解できて、構造もシンプルでこういった工作に便利。

サクッとレンズを投影距離に合わせてピントを合わせたらテープで固定。
その他、隙間をビニテープでペタペタと目張りしていきます。

で、こうなる:

ケーブルが出てくる部分は、水回りの修理に使える接着剤を盛ります:

んで、Webカメラを制御するのは、退役したPICO-ITXのPC、EPIA-PX10000G

これに、CentOS6.4と、motionを入れて完成。

さすがに、EPIA-PX10000Gで高画質/高フレームレートにするとCPUが100%張り付きになるので、色々調整。

で、完成したのはいいけど、搭載しているSSDだと、3日ぐらいしか保存できないから、
余っている1TBのHDDを外付けして、1~2ヶ月は保存できるようにしたいところ。

また、PCは防水加工は難しいので、エアコンのダクト経由でUSBケーブルを室内に引き込んで設置する予定。

そうそう、レンズ部分だけど、ここにはアクリル板かなにかで防水にしたいなぁ。
と言うことに気がついたので、カメラの工作は次週に持ち越し。

ちなみに、ここまでにかかっている費用は、1500円ほど。
・・・と書くと嘘になりますかね?

一応、接着剤とテープの値段もいれれば2000円は超えるし、
退役したPCとかの値段を考えると5万ぐらいなのですが、余り物の再利用と言うことで。

暗号化の重要性は薄れてきている?

./から:
RSA暗号の生みの親曰く「暗号化の重要性は薄れてきている」
http://security.slashdot.jp/story/13/02/28/0722256/

との記事が。

要するに、暗号化で全てが守れていた時代は終わっているので、
暗号化に代わる別の手法もどんどん考えないとね。とのこと。

RSAといえば、暗号化の世界では最後の扉とも言える、
公開鍵暗号方式の扉を開けた方式で、
非常に解読が困難な暗号化方式。

でも、個別攻撃などによって暗号化する前に攻撃されたりと言った部分や、
ソーシャルハッキングなどをすれば、暗号化は関係なく、情報は盗めるので、
暗号化がセキュリティーの全てでは無いわけだ。

とはいえ、他にどんな防御策があるのかと言われると、それはそれで画期的な方法は思いつかない。

でも、シーザーから始まった暗号の世界も、
次のステージに進む必要がそろそろあるのかも知れない。

遠隔操作の容疑者曰く「C#は使えない」

また、遠隔操作事件ネタ。

高木ひろみちゅ先生によれば、容疑者は

②「自分はウイルス作成に使われた言語を使うことができない」

http://togetter.com/li/456852
と主張しているそうな。

Ω ΩΩΩ<ナ・ナンダッテー 確か、件の事件はC#で書かれていたワケだけど、 C#を容疑者が使えるという事の立証責任が警察に生じたわけだ。 なかなか面白い展開になってきた。 もっとも、C#を使えないことを証明するのは難しい(悪魔の証明)けど、 C#を使える証明は意外と簡単。 C/C++/Javaなど、C言語の流れを持った言語を知っていればC#は使える。 ただ、今回の騒動のプログラムがC#のDelegate機能とかを使っていたりすると、 CやC++の関数ポインター的な知識が必要で、 C#を専門に学習したり、CやC++をかなり熟知した人間じゃないといけないなど、 問題のプログラムの内容に応じて、合理的疑いを越えるための、証明をするハードルが変わる。 なんにせよ、どんどん面白くなってきた。 ここで、真犯人を名乗る人間が、 「マテ、それは誤認逮捕だ」 と、メールでも送ってきたらさらに面白いことになるけど、 さすがにそれは無いかなぁ・・・

自作PC保有者はITに精通しているらしい

遠隔操作事件の件で面白いニュースが:
http://www.fnn-news.com/news/headlines/articles/CONN00240346.html

以下、本記事の作成に当たっての引用:

パソコンの遠隔操作事件で、逮捕された男の自宅から押収されたパソコンに自作のものが含まれていたことがわかり、
警視庁などは、IT技術に精通した男が、遠隔操作ウイルスも作成したとみて調べている。
<略>4台のパソコンを押収したが、このうちの2台は、自分で作ったものだったという。

引用終わり。

自作パソコンを使っている人は、IT技術に精通して、ウイルス作成とか出来るらしい。

じゃあ何か?自作PCを5台保有していて、
しかも、4台が現役稼働中の自分はスーパーハッカーなのだろうか?
そんなことは無いよね?

ぶっちゃけ、自作パソコンなんて、店の人に任せて部品を買えば、
プラモデルよりもずっと簡単だし。

基本的には
・電源(ギークじゃなければ普通は筐体とセットで買う)
・マザーボード
・CPU
・メモリー
・キーボード
・マウス
・HDD
・光学ドライブ
を繋がる端子に繋がるケーブルをホイホイ指していけば組み立ては終わる。
OSのインストールなんて、DISCを光学ドライブに入れて、シリアルキーを入れる部分以外は、
次へと進んでいくだけで終わる。

むしろ、真のギークは、自作パソコンなんかに時間をかけるぐらいならば、
DELLとかあたりのBTOで注文して、ソフトと戯れることに注力するはずだ。

これが、オライリーの本をほとんど揃えていて
読み終わった木琴代わりにしてPCから制御して遊んでいた(↓)とか言われれば、
ITに精通していると言われても納得するけど、
自作PCがあるだけでITに精通していると言われても・・・ねぇ。


※お台場の日本科学未来館で一時期展示されていたオライリー木琴

冤罪事件の教訓はどこ?

時間が無いなぁ・・・
でも、日記と化しているBlogは更新。

ここまで続けて、突然止めたりしたら、
生死を疑ってくれる友人は1人ぐらいは居るだろうし。

閑話休題で、昨今の遠隔操作ウイルス事件。
というか、遠隔操作というか、CSRFなわけだから、遠隔操作って言うのも違うな・・・
まぁ、冤罪誤認逮捕事件とでもいいますか。

で、前回、散々、誤認逮捕を実名報道していたマスコミは、
今回も盗撮をしたり、実名報道をしたりの、やりたい放題。

怖い世の中です・・・

遠隔操作ウイルスの容疑者逮捕らしい。

遠隔操作ウイルスの容疑者が捕まったらしい。
http://sankei.jp.msn.com/affairs/news/130210/crm13021010370007-n1.htm

これから犯人となるかどうかは裁判の行方次第ですが、

犯人「山頂に埋めた」

警察発表「見つからなかった。嘘に違いない」

犯人「そんなわけは無い、嘘つき呼ばわり良くない!もう一度今度は手近なところに置いた」

逮捕

この流れは、どう見ても、深追いのしすぎです。

Flight Simulator Xのサービスパックのハッシュ値

息抜きに久しぶりにフライトシミュレーターで遊んでみようとしたら、
修正モジュールが公開終了していたorz

正確には、サービスパック2は公開されているけど、
サービスパック1が非公開という状況で、
サービスパック1が入ってないと2が適用できないという・・・OMG

と思っていたら、ネット上の至る所で転載されているのを発見。

こういうときに、プログラムの電子署名という物があって良かったと思う。

と言うのも、第三者が公開しているファイルにウイルスなどが付いていると怖いので、
普通は実行できないけど、
マイクロソフトの証明書で電子署名されていれば安心。

さらに、ノートンなどのウイルス対策ソフトだとウイルス検索だけで無く、
ファイルの内容から、そのファイルの公開日や、利用人数などの情報も、
出てくるのでさらに安心。

というわけで、安心してアップデート終了。

また、この手のファイルの整合性のチェックは、ハッシュ値のチェックという方法もある。
※ハッシュ値=ファイルの指紋とも言える値。ファイル内容が同じファイルは同じ値となる。
※とあるハッシュ値と同じハッシュ値を持つファイルは世の中に存在はするけど、
 それを狙って作る事は困難なため、ファイルが目的のファイルかどうかの確認によく使われる。

本来は、開発元が公開するべきで、自分が公開しても信頼はできないけど、
まぁ、参考にはなるだろうから、ハッシュ値を貼っておきますね:

fsx_sp1_jpn.exe
(MD5)0458079F6152C0115713AA00377D47D8
(SHA-1)508DBF42563A80A07CCF3F78A4EAD60BA241C9E3
(SHA-256)4513F63A04ACAD983D7FE169836B538DA40F1EA15CC13DD28A1E472753E23CD2

fsx_sp2_jpn_msi
(MD5)BEDC37866E86CF48D0D5511E1548A975
(SHA-1)0012F48AB4E0BD79A3776A7B4F0482F06CF0AC61
(SHA-256)04237693CE004548235476A5C7293D4A530B6F2939A80ED2776C25D19D66189A

本を盗まれたorz

といっても、自炊後のゴミ捨て場に捨てた本。

自炊をした後の本は、資源ゴミとして出して良いというお墨付きを、
以前、清掃工場で確認している。
前回の記事:https://kerokero.org/wp/archives/366

で、今回、自炊後の本、つまり、裁断済みの本を、
資源ゴミの日にゴミ集積所に置いておいたのですが、
回収に来る前に盗まれましたorz

何が腹立たしいって、作者や出版社に、
その本の情報量が還元されないというのが腹立たしいし、
本という情報の宝庫が、ただで盗んだ人に渡った事が腹立たしい。

ちなみに、ゴミとして捨てられている物は、
自治体によっては、明確に犯罪とされているケースがあります。
例)横浜市や世田谷区など。

個人的には、自治体のゴミ集積所に置かれたゴミは無主物では無く、
住民が、自治体に譲渡するために、
一時保管場所に置いた占有離脱物だと思うんだけど、
その辺は、色々と論争があるっぽい。

それはそうと、自分は今度から、面倒でも、ゴミ処理場に持ち込もうと思うのでした。
※ゴミとは言え、個人の物だったのを勝手に持ってかれるのは気持ちが悪いし。

DropBoxのメールアドレス流出疑惑の件

以前書いた、DropBoxのデータ流出事件の件
前回記事:https://kerokero.org/wp/archives/1292

原因が判明したそうな。
ITMediaの記事:http://www.itmedia.co.jp/news/articles/1208/01/news088.html

原因は

  1. 全然無関係のサイトのID,パスワードが流出
  2. 流出した中に、DropBox社員のがあった
  3. その社員は、一部の顧客情報をDropBoxに保存していた
  4. その社員は流出したサイトと同一のパスワードを使っていた

という物。

今回の件の直接的な問題点としては
個人情報をID/PASSだけでアクセスできるクラウドに置き、
そのID/PASSを使い回していたという問題だ。

つまり、ID/PASSだけの認証のクラウドに対して
重要な社外秘のデータは置くべきではないということと、その危険性を、
DropBoxが身を以て危険性を見せてくれたということである。

ありがたい事である。

ちなみに、この手のクラウドでの顧客情報管理のシステムを運用している
Salesforce等はどうなっているかというと、
確かにID/PASSでの認証だけれども、
登録されていないIPアドレスからのログインは原則として出来なくなっている。

登録外IPからのアクセスがどうしても必要であれば、
まずは、ID/PASSログインしようとすると、そのユーザーに仮パスワードがメールされる。
そして、その仮パスワードを入力できた場合に限り、ログインが許可される。
という認証システムがデフォルトの設定。
※ちょっと違うけど、原理はこんな感じ。

まぁSalesforce自体が「顧客情報を管理するためのシステム」なので、
このあたりが厳格に作られているというのはあるけれど、
逆に、ここまで厳格なシステムじゃない限り、クラウドに個人情報を置くべきではないということかもしれない。

ちなみに、それはそれとして、その流出したサイトとやらの、
セキュリティーもちょっと気になる。
なんで、平文のパスワードが漏れているんだよ。
ふつう、そこはハッシュ化するだろ!

そっちの方が最大級の驚きだったりして。
※まぁ、その辺の対策はされてなかったほどだから、流出したんだろうけど。