9/30/2015

フィオリーナ氏、私がNSAのための監視サーバを提供した

フィオリーナ氏、HPのCEO時代にNSAが必要とした監視用サーバをすぐに提供するよう命じたそうだ(Slashdot)。

Motherboardの記事によると、911後まもなく、NSAのマイケル・ヘイデン長官が当時HPのCEOだったカーリー・フィオリーナにコンピュータ能力の強化を要求し、即座にサーバーを振り向けて応えたとの事。フィオリーナは、マイケル・イシコフとのNSAにサーバを提供したこと認めたインタビューの中で、令状なしの監視(水責めに加え)の擁護、愛国的な観点でNSAに協力することにしたことも発言。HPサーバを目的としたヘイデンの要求にフィオリーナが応じたことは、共和党大統領候補と米の諜報機関の間での長きに渡る緊密な関係を表す一つのエピソードである。

9/27/2015

Google、10年近く内在していたLinuxのTCPバグを修正

Googleが10年近くLinuxカーネルに内在していたTCPバグを修正した。パッチは多くのLinuxディストロ上のデフォルトアルゴリズムであるCUBICというTCP輻輳制御が持つ問題を解決する。このバグの修正はインターネットへのアクセスのパフォーマンスや効率に大きな改善があるとのこと。

9/26/2015

ARIN、IPv4アドレスが枯渇

RIRのうち、北米のインターネットレジストリARINは自身が持つIPv4アドレスが/10相当となったなため、在庫が枯渇したことを発表した。在庫の枯渇以降は、IPv4アドレスを希望する組織に、IPv6への移行用に/28〜/24の範囲で、残る在庫(23.128/10)から分配が行われる。これ以上のサイズのアドレスを希望する組織は待機リストに掲載されている。返却されたアドレスがあれば、分配が行われる。

気になるのは以前にも書いた通り、23.128/10のブロックは/24より長いプレフィックスで広報される可能性があり、しかも集約される可能性が低いとすると、192-193と同じように経路的にはSwampになるのかな。

Hacker News

9/22/2015

ポケットサイズのBitcoinコンピュータ

21社は、Bitcoinプロトコルのソフトウェアが入ったポケットサイズのコンピュータを販売する(ベースはRaspberry Pi 2)。現在、Amazon.comで予約受け付け中だ(価格は399ドルで、11月16日発売予定)。このBitcoinコンピュータには21 Bitcoinチップ(アクセラレータ)が搭載でき、すぐにBitcoinのマイニングができるようになっている。また、21のマイクロペイメントサーバが入っており、Bitcoinによる支払いシステムやサービスを簡単に構築できる。

21 Bitcoinコンピュータセットは、強力なコマンドラインインタフェース、ブロックチェーンの完全コピーが入った128GBのSDカード、事前に設定済みのBitcoin関連のソフトウェアセット、WiFiアダプタ、コンピュータとの接続ケーブル、Raspberry Pi 2、電源アダプタから構成されている。

91aUgUqFTIL SL1500

TechCrunchHackerNews

9/21/2015

AppleはXcodeGhostで開発されたアプリを検知できるか?

中国でXcodeの2次配布サイト経由で不正に改ざんされたXcode(XcodeGhost)が広まり、App Store上にマウルェアが多数見付かっている(Engadget)。深刻なのは、Angry Birds 2(中国語版)やWeChatのような世界的に利用されているアプリにまで広がっている点だ(リスト)。Appleは審査の段階で、それらを検知できなかったのだろうか? pEp(Pretty Easy Privacy)のブログより。

いいえ、彼らにはできません。

事実、オブジェクトコードの中のマルウェアやバックドアを検知することはこの問題と同じくらい欠陥があります。しかし、Appleは自身のコードであることを検知できないのでしょうか? それはバイナリの中にリンクされていて、あとで開発者らによって署名されています。

それなら、自身のオブジェクトファイルの改造版を検知できないのでしょうか? いいえ、これもできません。LLVMリンカーはAtomベースのリンクです。それで、バイナリの中にそのようなオブジェクトファイルが残されていません。

バックドアを検知するにはソースコードレビューを実施するしかありません。これがpEpがそれに基づいている理由です。その場合でも、SektionEinsのようなエキスパートでも100パーセントのヒット率で全てを見つけられないでしょう。

しかし、これが我々が持つ最善の方法です。だから、pEpはそうするのです。

Slashdot

更新1

XCodeが標的になっているのは、既に指摘されている。

更新2 (XcodeGhostのアクティビティを検知する方法)

XcodeGhostをクイック分析した結果、作成されたマルウェアはアプリ名、バージョン、OSバージョン、言語、国、開発者情報、アプリのインストールタイプ、デバイス名、デバイスタイプを "init.icloud-analysis.com" というサーバにHTTP POSTで送信している。

"init.icloud-analysis.com" のIPアドレスはDNSで解決できないが、次のIPアドレスが判明している。

Date IP AS
2015-07-17 52.2.85.22 AMAZON-AES - Amazon.com, Inc.,US
2015-05-14 52.4.74.88 AMAZON-AES - Amazon.com, Inc.,US
2015-05-13 52.6.167.64 AMAZON-AES - Amazon.com, Inc.,US
2015-04-29 52.68.131.221 AMAZON-02 - Amazon.com, Inc.,US
2015-04-15 104.238.125.92 AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC,US

iPhoneユーザなら、

  • "http://init.icloud-analysis.com" へのHTTPトラフィックをファイアウォールやプロキシのログでチェックする
  • 上記IPアドレスへのトラフィックをチェックする
  • マルウェアアプリを削除する
  • マルウェアが使っているウェブサイト上のパスワードを変更する

開発者なら、

  • "/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/" の中に "Library/Frameworks/CoreServices.framework/CoreService" が存在するかチェックする
  • 常に公式サイトからリソースはダウンロードし、ハッシュ(MD5/SHA1)を確認する

更新3 (Xcodeの検証方法)

Xcodeが改ざんされていないかを検証するには、"spctl --assess --verbose /Applications/Xcode.app" を実行する。結果が"accepted"になり、sourceが"Apple"、"Apple System"、もしくは"Mac App Store"になればOK。

$ spctl --assess --verbose /Applications/Xcode.app
/Applications/Xcode.app: accepted
source=Mac App Store

9/20/2015

VIRLでBGPを調べる (7) - Flowspec

以前からJuniperではサポートされていたFlowspec(RFC 5575)が、Ciscoでもサポートされるようになったので(IOS-XR 5.2、IOX 15.5S、IOS-XE 3.14以降)、ExaBGPをFlowspecサーバに、XRvをクライアントにして試してみた(下図)。但し、IOS-XRvにはFlowspecのデータプレーン機能は無いので、ここで確かめられるのはコントロールプレーンの機能のみで、実質的にはFlowspecを送受できるかだけだが...。

Virl bgp flowspec

ExaBGPのサーバ側の設定は次の通り。

neighbor 172.16.1.75 {
   router-id 172.16.1.1;
   local-address 172.16.1.1;
   local-as 65000;
   peer-as 65000;
   flow {
      route {
         match {
            destination 10.0.128.2/32;
            protocol tcp;
         }
         then {
            discard;
         }
      }
   }
}

IOS-XRv (RR)の設定は次の通り。

router bgp 65000
 bgp router-id 192.168.0.2
 address-family ipv4 unicast
 !
 address-family ipv4 flowspec
 !
 neighbor 172.16.1.1
  remote-as 65000
  address-family ipv4 flowspec
   route-reflector-client
  !
 !
 neighbor 192.168.0.3
  remote-as 65000
  description RR client iosxrv-2
  update-source Loopback0
  address-family ipv4 unicast
   route-reflector-client
  !
  address-family ipv4 flowspec
   route-reflector-client

IOS-XR(iosxrv-2)から見ると次のようになる。

RP/0/0/CPU0:iosxrv-2#show bgp ipv4 flowspec summary 
(snip)
Neighbor        Spk    AS MsgRcvd MsgSent   TblVer  InQ OutQ  Up/Down  St/PfxRcd
192.168.0.2       0 65000       2       2        0    0    0 00:00:53          0

RP/0/0/CPU0:iosxrv-2#show bgp ipv4 flowspec         
(snip)
Status codes: s suppressed, d damped, h history, * valid, > best
              i - internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i - IGP, e - EGP, ? - incomplete
   Network            Next Hop            Metric LocPrf Weight Path
*>iDest:10.0.128.2/32,Proto:=6/72
                      0.0.0.0                       100      0 i

Processed 1 prefixes, 1 paths
RP/0/0/CPU0:iosxrv-2#show bgp ipv4 flowspec Dest:10.0.128.2/32,Proto:=6/72 detail
Tue Sep  1 08:31:50.425 UTC
BGP routing table entry for Dest:10.0.128.2/32,Proto:=6/72
NLRI in Hex: 01200a008002038106/72
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker                  2           2
    Flags: 0x04000001+0x00000000; 
Last Modified: Sep  1 08:28:00.770 for 00:03:49
Paths: (1 available, best #1)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Flags: 0x4000000001060005, import: 0x20
  Not advertised to any peer
  Local
    0.0.0.0 from 192.168.0.2 (172.16.1.1)
      Origin IGP, localpref 100, valid, internal, best, group-best
      Received Path ID 0, Local Path ID 1, version 2
      Extended community: FLOWSPEC Traffic-rate:0,0 
      Originator: 172.16.1.1, Cluster list: 192.168.0.2

早速、パケットダンプ。Flowspecのフィルタ情報はMP_REACH_NLRI/MP_UNREACH_NLRIの新しいNLRI(AFI=1, SAFI=133)で運ばれている。トラフィックのアクションは、拡張コミュニティ(RFC 4360)が使われている。タイプが0x8006、レートが"0"とちゃんと遮断になっている。

Iosxrv flowspec

tvOS上にWebKitが無いことについて

新しいApple TVはOSがtvOSに変更され、アプリの開発が開放された。ただ、tvOSにはWebKitが提供されない。このことについてどうかというJohn Gruber氏の投稿

Apple TVが成功しても私の意見は変わりません。注文していたApple TV開発キットが金曜日に届きました。私はさっそくアプリをビルドし、Appleの最新のプラットフォームが始まるのを見るのが待ち遠しいです。Apple TVにウェブが必要だとい書いた時、ウェブ無しでは不自由で成功しないという意味で言ったのではありません。私はたとえ制限付きでもウェブが何らかの形でそこにあるべきだと言いたかったのです。

(Safariである必要はありません。オープンなウェブの可能性の一部でも作る十分なウェブ技術が必要なのです。再度書きますが、それはウェブサービス、HTML、そしてリンクのことです。)

理論的にはそうで、私は同意します。しかし、実際にはどのように良いユーザ体験がそこから作られるのかが分かりません。私はとにかく酷いという以外の何物でもないセットトップボックスのウェブブラウザ体験は二度とごめんです。SDKで、Apple TVアプリにWebKitを触れさせないというAppleの決断に何某かの政略があると全く思いません。良いユーザ体験を生み出すことがすべてだと思います。Apple TVでの良いウェブブラウジング体験は素晴らしいと思いますが、くだらないものになるより、無い方がましです。確かにそれはすべてがマントン氏の主張ではありませんが、上記の彼の引用部分は明確です。しかし、私は「オープンウェブの一部」がブラウザ無しであることかは分かりません。

その上、私はAirPlayがいつか「テレビでのオープンウェブ」と同じくらい良いものになると考えています。大型画面で体験を共有することについていえば、それが動きます。そして、UIコントロールはiOSデバイスあるいはMacに残ります。すなわち、リモコンを使ってウェブページをナビゲートするよりずっと素晴らしいものです。

(Apple TVやApple Watch上のウェブブラウザの欠如をオリジナルMac上のコマンドラインの欠如と比較した、という昨日の私の例えには問題があります。違いは、コマンドラインが無いMacはコマンドラインをベースとするコンピュータを置き換えることを意図されていることです。GUIはコマンドラインインタフェースを永遠にニッチへと追いやりました。Apple TVとApple Watchはまったくそうではありません。オープンウェブにアクセスするために常に使われるデバイスを何かに置き換える意図は持っていません。)

9/19/2015

倫理的な広告ブロッキング

iOS 9でコンテンツブロッカーが導入されると、アドブロッカーアプリが大量に登場した。無料でコンテンツを提供するメディア企業にとって、広告は大きな収入源であり、これらをブロックすることが果たして正しい行為なのだろうか...。倫理的な広告ブロックとは何だろうという話。難しい話だ。

Appleは昨日iOS 9をリリースしたばかり、App Storeでアドブロッカーが許可されるようになった。モバイルウェブは次第に大騒ぎとなり、このことがウェブにとって大転換となる。

アドブロックについての記事は数週間前に出回った。ここに抜粋する。

ブロッキングが広がれば、広告業界はよりシンプルに、侵襲性を少なくし、我々のデータを管理する方法についてもっと透明性を高めるような広告を作ろうと推し進めるだろう。そうしないと永遠に広告がブロックされるリスクを背負うことになる。

それが燃料投下になった。

問題の大きな割合を占めるのが、広告業界自身が適応するのがいかに遅いかである。今日のほとんどの広告はまだ正方形(300x250)あるいは摩天楼型(120x600)である。高DPIではなく、反応は遅い、そして一般に見苦しい点滅GIFである。技術がありながら、今日でも我々に対して利用可能である。今ならより良い広告に見ることができるはずだ。

広告は気分を害さない。いくつかの特定の広告はそうだが、ウェブ上でニュースを読む無料サービスには、私の関心と交換という考えは、気分を害する。でも、私は大人なので、サービスが広告を通じて無料か、全てが有料かどうかに関わらず、私のデータを残しておくようなサービスに関しては詳細な説明を受けた上で判断できる。

問題は我々にとってゆっくりと徐々に増えている。それはあなたが売る関心、あなたが得るお金である。広告は大きくなり、有り余るほどになった。最初はポップアップだったが、それらはブロックされた。今は、全面広告、侵入型広告、ライトボックス広告に対応している。あえてモバイルウェブを閲覧するなら、トップでソーシャル共有リンクの形のごまかしを見抜こうとするだろう。そして、却下ボタンで実際には働かせないようにする。それはかなり良くないし、ウェブサイトの閲覧をより遅くしてしまう。

最後には、汚いひどい広告を受け取るだけで、結局はアドブロックが必然になる。それはテレビのようだ。そして、GhosteryはウェブのTivoである。アドブロックは、iOS 9のコンテンツブロッカーで素早く主流になり、これが上記の抜粋で、アドネットワークが好転しなければ破綻する。おそらく逆のことが起こる。

今日、もっぱら広告収入によって、購読が無料になるサイトを運営し生計を立てることがことが可能である。一部の人はよりよい暮らしをしている。アドブロックがより広がると、広告はこれを避けるためより押し付けるように、よりゲリラ的に、ときにはより大きくなるだろう。広告がまだブロックしていない減少するサイトから同じような収入を作るまで戦うことだろう。それは、これらのサイトを運営する善人にも関係するだろう。好意的にも関わらず、供給のためにファミリーを持ち、少し大きめの広告を使ってすきま広告を加えれば、しばらく現状維持となり、誰も首になる必要がなくなる。

それらを非難することは不公正だろう。それは人間性: 何百万ものサイトがすぐに同時に納得することはないし、一斉に方法を変更することもない。たとえ、それらがそうであっても、こんなわけで誰もがアドブロッカーを使うのを突然やめる可能性は少ない。一度アドブロッカーがインストールされると、一度ウェブ広告が長年の悪い習慣に汚染されると、広告は戻ってこない。それは猿広告だ。覚えているか? 協力して、私たちは戦う。

ジョン・グラバーがツイートした。

Safari Content Blockerがデフォルトで「The Deck」(*)をブロックするなら、それはおかしいと思う。弁護してみてほしい。
(*) 良心的なアドネットワークらしい

ジョン、私はあなたの痛みを感じる。それは今年廃止になったGigaOmが感じたのと同じ痛みだ。それは好ましいとはいえない。そして、私はDeckの広告が好きだ。それらは素晴らしい。私はそれらがブロックすべきではないことに同意する。しかし、それでも所詮は広告だ。アドブロッカーは広告をブロックする。あなたのせいではない。愛は戦場だ。

悪い広告だけをブロックして、良い広告を残す道徳的なアドブロッカーは存在しない。Marco Armentsの$2.99の"Peace"アドブロッカーをインストールすると、純粋にコンテンツのために戦う活動家のように気分を感じたいと思う。私は広告をブロックすることによって、広告をする会社(そして、それらに依存する生活)に好ましい変化を強制し、適応することを強制することを助けると信じたい。

しかし、それは美しい幻想だ。その上おそらく、ウェブ広告はより一層悪くなるだろう。アドブロッキングは乗り越えようとする。そしてこの激しい競争のある時点、メディア企業の多くが死んだ後、最終的にはいくつかが本当に適応するだろう。大きな問題はあなたが代替手段を望んでいるかどうかである。それはアプリかも知れない。AppleのNewsstand(ブロックできない広告が特徴)の中にあるかも知れない。FacebookのInstant Articlesの中にあるかも知れない。今までの広告は破壊されるかも知れない。有料制度かも知れない。アプリ内課金を考えるべきかも知れない「この記事に1ドル払うか、ビデオをご覧下さい」。

自然に方法が見つかるだろう。しかし、私たちはすぐには虹やユニコーンに気づくとは限らない。たとえそれがどんなにクールであっても。

Hacker News 1Hacker News 2TechCrunch

更新 (20150925)

Adblock Plusを提供するEyeoは広告をフィルタせずに通過させるために企業(Google、Microsoftなど)からお金を受け取っている。Crystalの作者はEyeoからそのホワイトリストの提供を受けるかもしれないとのこと(WSJ)。

Hacker News

9/18/2015

ウィキメディアが新しいマップのタイルレンダリングを開発中

ウィキメディアがOSMのデータをベースに自身のマップ (Wikimedia maps beta )を作成しているとのこと。ウィキメディアのドキュメントによると、OpenStreetMapとウィキメディアのDiscovery Departmentが新しい実験的マップタイルレンダリングへの着手のために協力しているとのこと。今のところ、面白いのはその国の地図はその国の言語で地名が表示されているところかな。

9/17/2015

AMS-IX、4Tbpsを超える

オランダのアムステルダムにあるAMS-IXで交換されるトラフィックが4Tbpsを超えたそうだ(iOS 9の影響? :-)。AMS-IXには700以上のネットワークが接続されている。

Ams ix 16all

Ams ix 16all 1

参考までに、ドイツのフランクフルトにあるDE-CIXは5Tbps近くになっているとのこと。また、日本だと、JPIXが450Gbps、JPNAPが550Gbps、両方を足しても1Tbps程度のようだ。他のIXにNSPIXP、BBIX、Equinix IXなどもあるが、全部足しても2Tbpsを超えることはないだろう。

Cisco VIRL Augustのアップデート

Cisco VIRLのAugustリリースにアップデートがあった。今になって、Salt Masterがus-virl-salt.virl.info (eu-virl-salt.virl.info)に変わっていて、前のホスト名ではアクセスできなくなっていることに気付いた。慌てず、UWMでReset salt settingsを使って変更すること。

Package/VM image Old New
VIRL-CORE 0.10.17.7 0.10.17.8
AutoNetkit-Cisco 0.18.9 0.18.10
IOS XRv 5.3.1 5.3.2

「Let's Encrypt」がルート証明書を公開

無料で証明書を発行する「Let's Encrypt」プロジェクト、準備が進んでいるようでルート証明書(ISRG)が公開された。Mozilla、Google、Microsoft、Appleのルートプログラムに提出されており、ブラウザにも導入されるようだ。数ヶ月後には、ベータプログラムに参加しているドメインへの証明書の交付が始まるそうだ。

前にも書いたが、ドメインだけじゃなくS/MIME用の証明書も発行してくれないかなぁ。

無料でS/MIME証明書を発行できそうなものをググってみたところ下記があった。

Ciscoルータのマルウェア (SYNful Knock)

Mandiant/FireEyeによれば、少なくとも4カ国(ウクライナ、フィリピン、メキシコ、インド)でCiscoルータが「SYNful Knock」と呼ばれるマルウェアに感染していることが明らかになったとのことだ。感染されたルータはCisco 1841、2811、3825で、以前Ciscoが8月にセキュリティアドバイザリで警告していたようにROMMONファームウェアが置き換わっているとのことだ。

  • マルウェアは改変されたCisco IOSイメージで構成される
  • インターネットから様々なモジュールのロード機能を攻撃者に与えている
  • バックドア用のパスワードを使って無制限のアクセスを提供
  • 各モジュールは細工されたTCP SYNパケット(ノッキングパケット)をルータのインタフェースに送ることで、HTTP経由で利用可能になる
  • パケットのやり取りは標準とは異なるTCPのシーケンス・ACK番号を使う
  • モジュールは独立した実行コードか、バックドアパスワードのようなものでiOSの中でフックされて現れる
  • バックドアパスワードはコンソールやTelnetを通じてルータへのアクセスを提供する

その後、米国を含む19の国で79デバイスに感染していることが分かったそうだ。Cisco/Snortがこのマルウェアがやり取りするパケットの検知ルール(GID 1, SID 36054)を公表している(ただし、Subscribeしないと手に入らないようだ)。

Slashdotars technica 1ars technica 2

更新

シュナイアー氏はこの件に関し

私が当時書いたのは、これこそあなたが政府の盗聴機関を思い浮かべるような類の攻撃です。私達が知っているのは例えば、NSAはルータを攻撃するのが好きです。推測しろと言われれば、これはNSAのエクスプロイトだと推測するでしょう。(標的リストにファイブアイズの国が無いことに注目して下さい)

iOS 9で利用できるコンテンツブロッカー

iOS 9からSafariでコンテンツブロッカー(アドブロッカー)が利用できる。コンテンツブロッカーはアプリとして提供されるため(Appleが審査・コントロールするため)、App Storeからダウンロード・購入し、設定アプリのSafariの「コンテンツブロッカー」で該当機能を有効にすれば利用できる。Loop InsightにiOS 9で利用できるコンテンツブロッカーがリストアップされている。日本で使えるのは、今のところCrystalとPurify Blockerだけ。

TechCrunch

更新1

Marco Armentがコンテンツブロッカーをリリースした。

更新2

Marco Arment氏、広告で収入を得ている人たち(メディア企業など)の影響を考え、PeaceをApp Storeから引き上げてしまった。

9/14/2015

トランプ氏 vs. フィオリーナ氏「ヒューレット・パッカードは大災難だった」

共和党大統領候補のドナルド・トランプ氏、同じ党内候補であり元HPのCEOだったカーリー・フィオリーナ氏に向け爆弾発言(re/code)。

トランプ氏は日曜日のCBSのフェイス・ザ・ネイションのジョン・ディッカーソン氏に次のように語った。「彼女はとてつもなかった。あんたはそれを不運と呼ぶだろう。でも、彼女はまずい仕事をしたんだ。ヒューレット・パッカードは大災難だった。彼女がヒューレット・パッカードの前にいたルーセントだって大災難だった。悲惨な時代だった」。トランプ氏、先週のローリングストーン誌のインタビューでもフィオリーナ氏に対して「あの顔を見てみろ。誰が投票すると思う?」と挑発していた。

16日に開催される共和党第2回テレビ討論会での両者の対決が注目。

更新

第2回共和党討論会は、トランプ氏、ブッシュ氏、フィオリーナ氏が中心だったようだ。注目していたトランプ氏とフィオリーナ氏、ビジネスの経歴に関連したやり取りもあったようだ(Politico)。人気が高いトランプ氏に攻撃が集中し、フィオリーナ氏は株を上げた模様。

トランプ氏が「会社は大災難で、今も災難が続いている」と、フィオリーナ氏が取締役会によって解雇されるまで不安定な6年率いていたヒューレット・パッカード(HP)について発言した。

フィオリーナ氏は解雇が会社内の騒動の結果だったと応えた。「体制に挑んで、敵にされた」と発言した。HPは他の競合先は失敗したのにドットコム不況を生き抜き、30万の人々を雇用するまで成長したと加えた。更にスティーブ・ジョブズを持ち出し、CEOを失脚させられた際、シンパシーを示す電話をくれたと語った。

トランプ氏はフィオリーナ氏の在職期間のイエールの研究者の評価を挙げ、「これまでのCEOの中で最悪の在職期間だった」と彼女の説明を一蹴した。

しかし、フィオリーナ氏はトランプ氏がいくつかのカジノを破綻させたことでやり返した。「あなたがこの事について話せるほど裕福だと思うわ」と、彼の財務管理と桁外れに急増する政府の負債を比較して発言した。

「他人のお金で。まさにそれがあなたがカジノを経営する方法ね」

そのやり取りにニュージャージー州知事のクリス・クリスティ氏が割り込んだ。「私はこの個人的な議論と同じくらい誰をも楽しませてきたつもりですよ。55歳の建設労働者にとって...彼らはあなたのキャリアについて関心はない。その人そのものに関心があるのです」と発言した。

9/13/2015

「.onion」が特殊用途ドメイン名になる

Tor用のTLD「.onion」がRFC 6761で定められている特殊用途ドメイン名で予約されることがIESGの標準提案(draft-ietf-dnsop-onion-tld)として承認された。.onionが特殊用途ドメインとなることで、gTLDの名前衝突を回避、利用者が検索した秘匿サービス名が漏れるのを防ぐ、無駄な問い合わせを防ぐ、などの効果が期待できる。

更新 (2015.10.29)

RFC7686が発行。

9/10/2015

ヒラリー氏のメールを調べるツール

ヒラリー・クリントン氏が国務長官在任中、私用のメールアドレスを公務で使っていた問題。ヒラリー氏は約3万通のメールを国務省に提出し、国務省はその公開を6月から段階的に始めている(2016年1月29日まで毎月末にfoia.state.govに公開される)。最初の2年間(09〜10年)だけでも7000ページと膨大で、しかも1通1通がPDF文書で公開されている。そこで、PDF書類をダウンロードして、テキストに変換してSQLデータベース化するツールがいくつか作られ、Githubに公開されている。

  1. ウォールストリートジャーナルのデータチーム: 国務省サイトから自動でPDFをダウンロードしてSQLに変換してくれる
  2. hillary-clinton-emails: こちらはWSJがまとめてくれたZIPをダウンロードしている

Hacker News

9/09/2015

Apple ISA

AppleがアプリにLLVM IRを採用すると発表してから、独自CPUを作るという考えの一つ

Appleの組織的なパーソナリティは説明が簡単である。徹底した秘密主義、モノリシックな不透明さ、嗜好(taste)。しかし、何よりも増して、Appleは仕掛け全体を自分の持ち物にすることを欲している。

Appleがプラットフォームスタックすべての技術をコントロールすることに驚きはない。Appleは自身のプログラミング言語を作り、App Storeでルールを設定し、そして2012年からは民生用CPUビジネスでも少ないプレイヤー一つになっている。Appleは常に他の業界の商品化後に垂直統合で支配し、最近は技術スタックを一層固めてきているだけである。

Apple stack

最後のギャップが、システム独占のスタックの中間に残っている。AppleはARMからモバイルデバイス向けの命令セット(ISA)をライセンス供与されているのだ。

現行のISAをランセンス供与されることは避けられないように見えるが、最後に新しいISAがいつ成功したのだろうか? ARMは、1978年に誕生したx86の次の1985年に生まれた。IBMはまだ1964年モデルと互換の新しいマシンバイナリを作っていた。Appleは、簡単にはISAの設計に踏み込めなかった。

しかし、最近になって、AppleはWatchアプリがマシンコードではないLLVM IRで配信されると発表した。ISAは完全にサードパーティ開発者から隠されている。Appleの評論家はビットコードの開発がARM Macを予感させ、x86 iPhoneの可能性は低くなったと推察している。しかし、Appleは古いISAから移行したいと考えている方があり得る話である。

システムの心臓部に必要不可欠な要素のアウトソーシングは広大なARMエコシステムとの相互運用の必要性が消えてしまうため、ますます釣り合わなくなっているように見える。Appleスタックの中で、ARMは今日ではAppleのマイクロアーキテクチャに情報を運ぶLLVMのためのシリアライゼーションフォーマットとしての役割を果たしているにすぎない。そして、ARMのようなフォン・ノイマン型ISAはセマンティックギャップを招き、コンパイラが既に知っていても再発見することで、アーキテクチャは時間やエネルギーを無駄に消費するため、ベストなシリアライゼーションフォーマットではなくなっている。

コンピュータ・アーキテクチャ・コミュニティは保守的な拡張から完全に再考することで、レガシーなISAに代わるより良い代替を生み出している。Apple自身が、効率良い命令レベルでの並列性を持つ型にはまらないISAデザイン、マイクロスカラーを研究している。そして、NvidiaDenverコアはARMのふりができるカスタムアーキテクチャで既に完全にトランスメタを超えている。ハードウェア/ソフトウェア・コデザインの必要性は、2015年にかつてないほど緊急となっていて、業界がコデザインの努力を阻むつまらない考え方を取り払うまで、もう時間の問題である。Appleはハードウェアの抽象化を抜本改革するために全てを集めている。

それが明日来ることはないだろうが、Apple ISAはいずれ来るだろう。

Hacker News

政府とテック企業が抱える暗号化された個人データ

Appleが裁判所命令でiMessageのデータを提供するよう求められたが、暗号化されているため提供できないと断っていた話(Slashdot)。Microsoftもメールを公表しなかったそうだ。一度でも政府にアクセスを渡してしまうと、ズブズブになることは間違いないだろう。

iMessageのアカウント間のテキストのやり取りをFBIに引き渡すよう指示する裁判所命令にも関わらず、Appleは暗号システムがあるためそうできないと言っている。司法省は、銃とドラッグへの関与の調査で容疑者の間で交わされたテキストメッセージにリアルタイムでのアクセスを提供するようAppleに要求する裁判所命令を手に入れた。

Appleは事実iMessageは暗号化されていて、単純に命令に従うことができないと答えた。双方とも譲歩する気はあるが、あるいは可能かもしれないが、米政府とApple間のスタンドオフは暫く続くかも知れない。

イギリスと同様に、米政府は暗号システムへの反対を表明しており、一定のデータへのアクセスを難しくすると主張している。Appleの状況は暗号化に関する注目を浴びる事件で、捜査と関連しているが、その種で初めてのことではない。Microsoftはすでに裁判所がアクセスを要求しても電子メールを公表しなかった。より多くの事件が続くことになりそうである。

セキュリティ専門家は暗号化による制限がセキュリティリスクをもたらすことを指摘しているが、Apple、GoogleやMicrosoftなど多くのテック企業は政府向けバックドアの提供か暗号化を取り除く考えに強く反対するだろう。

Appleユーザは、Appleが政府が望むことよりもプライバシーや暗号化に重きを置き、対抗しているように見えるのを聞いて気を良くするだろう。バックドアが製品の中に組み込まれるかもしれない、あるいは政府に通信へのアクセスを許可するシステムの構造は他の関係者によって容易に侵入されると主張するだろう。そのため、Appleは エンドツーエンドの暗号を実装するその決断を頼りにするが、要求されたリアルタイムアクセスを提供するよりも、FBIにメッセージの内容を引き渡すことを結局は認めることになるかもしれない。

9/08/2015

cURLを使ってボトルネックを知る方法

cURLは奥が深い。下記のフォーマット(curlformat.txt)を使うことで、HTTP/HTTPSのレスポンスのボトルネックがどこにあるかが分かる。

\n
Size:     %{size_download}\n
DNS:      %{time_namelookup}\n
Connect:  %{time_connect}\n
SSL:      %{time_appconnect}\n
Transfer: %{time_starttransfer}\n
Total:    %{time_total}\n

試してみる。2回繰り返すと、DNSがキャッシュされ0.5秒ほど短縮されている。

$ curl -o /dev/null -w @curlformat.txt https://www.apple.com
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 28579  100 28579    0     0  42327      0 --:--:-- --:--:-- --:--:-- 42276

Size:     28579
DNS:      0.527
Connect:  0.538
SSL:      0.649
Transfer: 0.665
Total:    0.675
$ curl -o /dev/null -w @curlformat.txt https://www.apple.com
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 28579  100 28579    0     0   189k      0 --:--:-- --:--:-- --:--:--  188k

Size:     28579
DNS:      0.005
Connect:  0.017
SSL:      0.123
Transfer: 0.137
Total:    0.147

更新: httpbin

HTTPクライアントをテストするサービス「httpbin」というサービスがあるようだ。ローカルに動かすこともできる。

Hacker News

更新

cURLのチートシートが公開されていた。

詳細表示
-v
--trace-ascii <file>
進捗情報を非表示
-s
出力のカスタマイズ
-w "format"
出力ファイルの指定
-O
-o <file>
タイムアウト
-m <seconds>
POST送信
-d "string"
-d @file
POSTでファイル送信
-F name=value
-F name=@file
PUT
-T <file>
HEAD
-I
メソッドの指定
-X "METHOD"
ベーシック認証
-u user:password
Cookieを送信
-b <file>
Cookieを保存
-c <file>
Cookieを送信
-b "c=1; d=2"
User-Agentの指定
-A "string"
プロシキーの指定
-x <host:port>
HTTPヘッダの追加・削除
-H "name: value"
-H "name:"
リダイレクト処理
-L
コンテンツ圧縮
--compressed
SSLの警告を無視
-k

NTTのBGPビジュアライザ

NTTコミュニケーションズが自AS(AS2914)からの観測したBGP/AS隣接関係のデータをコード・ギャラクシーを用いて視覚化した。まるで宇宙の銀河団(galaxy cluster)のように見える。そして、IPv6の方が明らかにTier-1が中心となったネットワークになっているのが分かる。

Tier-1だからできる技。

Bgp galaxy cluster

9/07/2015

XProtect/Gatekeeperの手動更新

メモ。OS XにはGatekeeperというマルウェア防御機能とXProtectというウィルス定義ファイルがあり、定期的に裏でアップデートが行われている(システム環境設定で「システムデータファイルとセキュリティアップデートをインストール」をチェック)。手動で確認および更新を行うには次のコマンドを使う。

$ defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShor \
tVersionString
78
$ defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources \
/XProtect.meta Version
2066
$ sudo softwareupdate --background-critical
Password:
softwareupdate[23025]: Triggering background check with normal scan (critical an \
d config-data updates only) ...
$ defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources \
/XProtect.meta Version
2067

iOS 9とEl CapitanのVPNはIKEv2がデフォルト

古い話だが、iOS 9とEl Capitanのセキュリティ強化はHTTPの方ばかりに目が向いていたが、VPNでもIKEv2がデフォルトのVPNタイプになっているとのことだ。iOS 8でも構成プロファイルを作成すれば、IKEv2を利用できたが、iOS 9/El CapitanはGUIでも設定できるようだ。強化されている点は次の通り

  • EAP-MSCHAPv2(非トンネル)、EAP-TLS(トンネル)、証明書認証、事前共有鍵のいずれかを設定でき、構成プロファイルだと更に細く設定できる
  • MOBILE(RFC 4555)がデフォルト有効
  • IKEv2メッセージ・フラグメント(RFC 7383)をサポート
  • サーバリダイレクト(RFC 5685)をサポート
  • Suite-B 暗号アルゴリズムをサポート

Hacker News

9/01/2015

12月1日、HルートサーバのIPアドレス変更

米陸軍研究所が管理する「H.ROOT-SERVERS.NET」のIPアドレスが2015年12月1日に変更になるとのこと。既に新しいIPアドレスで運用が行われており、ルートゾーン(named.root)が変わるのが12月1日になる。古いIPアドレス(128.63.2.53、2001:500:1::803f:23)は6ヶ月間運用され、2016年6月1日に停止される。

  • 新しいIPv4アドレス: 198.97.190.53
  • 新しいIPv6アドレス: 2001:500:1::53