極楽せきゅあブログ

ときどきセキュリティ

OffensiveCon

ベルリンで開催されたOffensive Security Conference(https://www.offensivecon.org/)に参加してきました。このカンファレンスは2018年から始まり、スポンサーも派手に募らず小規模にテッキーなことを追求するカンファレンスです(参加者450人程度とのことで、確かにそれほど大きく無いメイン会場とサテライトしかありません)。その名の通り攻撃をテーマとし、さまざまな手法やアイディアを披露し合う場になっています。

https://www.offensivecon.org/speakers/

講演タイトルを並べてみましたが、これを眺めるだけでもその「攻撃性」が垣間見えるのではないでしょうか。

  • OSX XPC Revisited - 3rd Party Application Flaws
  • Glitch in the Matrix: Exploiting Bitcoin Hardware Wallets
  • Reverse Engineering of Error-Correcting Codes
  • Attacking Edge through the JavaScript Just-In-Time compiler
  • Bypass Windows Exploit Guard ASR
  • Growing Hypervisor 0day with Hyperseed
  • Coverage-guided USB fuzzing with syzkaller
  • 3D Accelerated Exploitation
  • Attacking Hardware Root of Trust from UEFI Firmware
  • macOS: How to gain root with CVE-2018-4193 in < 10s
  • Updated analysis of PatchGuard on Windows RS4: Is the mouse finally caught?
  • Attack surface of a connected vehicle
  • Bugs so nice they patched them twice! A (continuing?) story about failed patches
  • iOS dual booting demystified
  • IPC you outside the sandbox: One bug to rule the Chrome broker
  • Modern Source Fuzzing
  • FuzzIL: Guided Fuzzing for JavaScript Engines
  • Reversing without Reversing

このラインナップは楽しいとしか言い様がありません(笑)。香港VXのアンソニーは「ブラックハットよりおもしろい」って言ってましたが、その意見には完全に同意です(もっとも、わたし自身はブラックハットは通してちゃんと見たこと無いんですが(笑))。どこかテッキーすぎないようにコマーシャルに寄ってる印象がある近年のBlackHatより、突き抜けていておもしろい。さらに言うとDEF CONよりクオリティが揃っていて高い。各講演の前提知識もかなりハードコアで、知らないと楽しめないという側面はあるものの、だからこそ楽しいわけです。さすがにトレーニングまでは受講し得なかったんですがそちらも含めて魅力的なプログラムです。
以前ファジングの本を監訳したこともあり注目していたのですが、ファジングの活用が拡がっているのが興味深いところでした。ファジングの効率化、というアンビバレントなテーマの研究が最近目立っていますが(実はSecHack365でも二年続けてAmelican Fuzzy Lopの改良テーマが出ています(成果ポスターはこちらで見ることができます>https://sechack365.nict.go.jp/))、このカンファレンスでは研究的なアプローチというよりも実装面での応用、活用のアイディアが提示されていました。研究の成果によってドラスティックに効率化が図れたらそれはそれでとても良いことなんですが、コンピューターの性能向上っぷりにベットしつつ、ミニマムな活用で効果を上げるというのも併せ、両面の改良アプローチが必要だと感じさせられました。この分野は引き続き注目していきたいと思っています。

二つの取材の違い


NHKの衝撃的な「無差別侵入」「プライバシーの侵害」というスーパーネガティブパワーワードな報道からの高橋睦美さんの記事。なんでこんなに差がついてしまうのかなぁ。

政府のIoT機器調査、無差別の「力業」に踏み切った背景は (1/4) - ITmedia NEWS


前例が無いことを国が大胆にやろうとすると、それこそあらゆる批判が巻き起こるのは仕方がないと思うんだけどねー。東洋経済の良い政策を褒めるって記事が好きだったんだけど、短期ですぐ終わっちゃった感。他媒体とかに同じようなの出て来るかというと全然無いし。

地味だけどいい政策を探しにいこう | 東洋経済オンライン | 経済ニュースの新基準


いや、褒めろって強制するとかじゃなくてですね(笑)、なぜそういう差になったのかってことですね。
やっぱあれだな、危機意識が共有できていなかったことが大きいのかなー。つまり、高橋さんの記事にある「なぜそんな力業に踏み切ることになったのか」って部分ですね。IDはよくあるものだけどパスワードがかかっている、という状態で出荷されるIoTなブツは、そのパスワードは一台一台別なものが設定されるのではなく、何百台何千台も同じパスワードが設定される、ということ。さらにそのパスワードは、紙に印刷されたマニュアル、メーカーのWebサイトに行けばPDF形式でダウンロードできる電子データのマニュアルにそのまんまの文字列が記載されていたりする。なので、あまりに公知すぎて不正アクセス禁止法が定義する「識別符号」ですらない(笑)「パスワード」なんだけど、そういう状態のものをあぶり出して「ヤバいですよーあっという間にやられちゃいますよー」というのをプロバイダー(ISP)さんたちにご報告。プロバイダーさんたちはその機器の持ち主に連絡して、パスワード変更等を働きかける、というのがこのNOTICEって事業なんだよね。んで、IDとパスワードを入力し、ログインできてしまうかどうかしか試さない。マニュアルに記載されているIDとパスワードをそのままにしているかどうか、この調査はそこにしか関心が無いし、ログインできたからといって中身を見るコマンドとかは一切叩かず、そのまま静かにログアウトするだけ。前段でポートスキャンはするけど、ザッツオールってヤツですね。
それで警告できてしまうような状態のIoTが世の中とても多いってことなんですよね。これが背景の危機意識。
この辺の理解がねー、NHKさんには足りなかったってことなんでしょうかねえ。
高橋さんの記事ではここまでを咀嚼していただいた上で、「今後NICTが公開する調査結果等の情報を注視し、その結果の対策にも注目しよう」とか「この名前を利用したさまざまな詐欺が出て来る可能性もあるので、それへの対策もお願いしたい」と書いてくれています。いやー建設的ですね。煽るだけ煽ってその姿勢を未だにあんまり変えていないNHKさんとは大きく違うよねー(笑)。「深掘り」って土曜日にやってた番組のために何度も取材に応じていろいろ助言して概念をディスプレイする模型とかの案までチェックしたのに当日出演無しとなった挙げ句クレジットすら皆無だったことなんて別に根に持って無いけど(爆笑)、もうちょっと頑張って欲しいなぁ>NHKさん

NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト

国際線で見る映画

国際線に乗ると映画を見る。見るのは割と決まっていて、ハリウッド系列のを気に入ったら何度も見る。最近は「ミッション・インポシブル~フォールアウト」(レベッカ・ファーガソンがアクション凄くて可愛い。トム・クルーズってクレイジーすぎる(褒め言葉))や「15時17分、パリ行き」(実際の事件を題材としていて、なんと事件の当事者が出演(主演)してるんだそうで)、「コーヒーが冷める前に」「マイル22」(最新テクノロジーを使った戦闘のイメージがすごい)「泣き虫しょったんの奇跡」を見た。時々出現する「マッドマックス~怒りのロード」などもお気に入り。「シン・ゴジラ」好きなのでかかっていた短い期間は何度も見た。そして「レディプレイヤー1」もちょいちょい見る。
キューブリックの「シャイニング」が大好きでこれも何回となく見てるので、「シャイニング」の細かなフォロー、パロティが次々と繰り出される部分が楽しい。音楽がまんまだし、写真に現れるハリデーとキーラが「シャイニング」のラストシーンを彷彿とさせる。でもあれもともと原作では「ブレードランナー」だったんだよなー。「ブレードランナー2049」の制作と時期がかぶってて断念ってあるけど、そちらも大好きなので残念。
他にも日本物としてAKIRAの金田バイクやガンダムメカゴジラにマッハ号アメリカバージョン(笑)も出て来るし、ゼメキスキューブとかデロリアンとか、「バック・トゥ・ザ・フューチャー」好きとしてもたまらん。ウルトラマンはこちらも残念だったけどもね。鉄の巨人ロボットがサムアップして溶鉱炉に沈むのはT2だよな。あとチャッキーが何気に強いのが愉快。
そして「ローズバッド」。日本では今やそれほど知られていないが、アメリカなどではオールタイムベストに必ず入るらしい鬼才オーソン・ウェルズの「市民ケーン」。あの映画も最高なんだけども、その映画の重要なキイワードがこの「ローズバッド(バラのつぼみ)」なのだ。そんなところまで映画好きの興趣をそそってくれる。音楽も70年代から80年代のヒットソングが使われていたりする。いちいちいろんなココロをくすぐる(詳しいネタ元は

レディ・プレイヤー1 - Wikipedia

にある)。
実はこの「レディプレイヤー1」、2018年3月のSXSWでプレミアム上映が行われていた(監督のスピルバーグの講演もあった)。長蛇の列だったのであきらめてしまったが、こういう映画だと知っていたらぜひともアメリカ人と一緒に見て、その反応を体感したかったところだ。スピルバーグとある意味趣味が似てる(笑)あっしとしては、散りばめられた小ネタはけっこう拾えていると思うんだけど、アメリカ人と見ると発見できていないネタを発見できそうな気がする。いつか一緒に見てみたいものだ。

インターネット安全教室の思い出

JNSAのインターネット安全教室がもう最後だと聞いて思い出を語りたくなった(笑)。ま、じじいなんで許して。
初期からシナリオやプレゼンテーション資料作りに関わったり、ドラマ仕立て啓発ビデオの撮影にお邪魔してちょこっと出演したり(笑)、このイベントが無ければ行かないようなところに出張って行って旨い酒食事にありついたり、お客さんが少ないところやオープンなところ、いろんなところで開催したり。そのすべてが今の自分に凄く生きてると思いますね。
カメラを向けられても平気になったし、喋りの尺合わせみたいなのもすごくコントロールできるようになった。旅を楽しめるようにもなった。日本各地で啓発などに頑張る人たちにリーチできて、のちのセキュリティミニキャンプやらセキュリティキャンプキャラバンでもそのコネを活用させていただけたし。SECCONとかSecHack365にもいろいろ生きてる。
ぶっちゃけ商売を考えるなら関わってはいけない方のプロジェクトだと思うんだけど(笑)、それは表層的過ぎる見方で、学んだことは本当に多い。各地の現実とか、普通の方々のセキュリティへの関心とか、理解とか、そういう肌感覚も見に着けることができたと思う。
関わったみなさん、お疲れ様でした。(BGM:卒業写真(笑))

※一応追記しておくけど、JNSAが事務局をやめるだけで、インターネット安全教室事業そのものは続くそうです。

大阪で旨いモノ食いながら

SecCap(enPiT Security) ProでCTFやってきました - 極楽せきゅあブログの続き(笑)。

じっくり飲みながら議論する機会ってのは実はそうそう無いものなんだけど、出張中とかはそういう機会を作りやすい。というようなことを脳内で言い訳して大阪で旨いモノ食べながらいろんな議論をしてきました。お付き合いいただいたみなさまありがとうございます(笑)。
最近仕事でいろいろと行き詰まりを感じているorやりたい仕事で得意な仕事がはっきり見えているのにそれができない感の議論とか、仕事上のミスマッチってのはどういう組織でも起きうるんだけど、逆に得意なものに逃げて自分を拡げないという事例を最近目にしたこともあって、そういうミスマッチの可能性を低減させるにはどういう組織が良いのかなーと考えたりもしました。
あるいはまた、ネットの殺伐さやノイジーさに辟易していて、情報を得る手段としてのネットはすでに限定的に使うしかないとか、今更だけど読書熱いぜ話からの本やコンテンツのお勧め合戦とか、知的な刺激ってやっぱ書籍とかああいう完成度の高いコンテンツから得るものが大きいなーとか、話題は飛びまくりましたが、ネット云々もそうですがこういう議論の必要性こそ再認識しましたね。
この1、2年、本を読んだり文章書いたりというのを自分割合的に復活させつつあるんだけど、そうするといろいろ捗るなあって改めて思いますね。
それにしても飯(たこ焼き、おでん、お魚)は旨かったなぁ。大阪はお安いのに旨いところもとても多くて食い倒れ過ぎる。

SecCap(enPiT Security) ProでCTFやってきました

SecCap(enPiT Security) Proというプログラムの一環で、CTFの講義と演習、そして本番CTFを開催してきました。enPiTというのは「高度IT人材を育成する産学協働の実践教育ネットワーク」ということで、名乗りを上げた大学がそれぞれコンテンツを企画・調達して持ち寄って実践的な教育を行うプログラムです。

この中のSecurity分野はIT-Keysというプログラムが前身で、関西圏を中心に良い感じの人材を輩出していました。当初は大学院生が対象だったんですが、最近は学部生や、社会人も対象としていて、社会人向けをProと称しています。大阪大学の宮地先生がトレンドマイクロの新井さんに声をかけたことがきっかけで、九州大学の小出先生、株式会社セキュアサイクルの服部社長、社内でCTFを何年も開催されている日本総研さんとわたしが集ってCTFコンテンツを作り上げました。まぁわたしはほぼ見てるだけでしたが(笑)。

今回は大阪大学中之島センターと九州大学を遠隔で結びながら開催しましたが、スライド表示映像がうまく送受信できなかったりしてなかなか大変でした。スライドのデータファイル自体を共有して人力で(笑)対応したので事なきを得ましたが。近年遠隔会議システムを使って会議するのは当たり前になってきていますが、繋がらないとか見えないとかいうトラブルは割と良く起こります。最終的には人力で何とかできるように各場所でサポートできる体制を作りつつ、複数の通信ルートや通信手段を準備しておかないとハマることを実感しました。

当初企画案ではひたすら過去問を題材に解説していけば良いのでは?という構想でしたが、やはりベーシックなレクチャーは必要だろうということで、CTFに出る暗号の話と、Pwn(ポーンと読みます)という脆弱性攻撃の話、そしてWebアプリケーション攻撃の話などの講義と演習を行った後に3.5時間のCTFを実施するという構成になりました。講義時間の配分や中身のバランスなど、まだ見直すべき点はあると思いますが、このプログラムの参加者のセキュリティを専門にしている方々の割合などを見るとレクチャーを入れたことは良かったように感じます。レベル感はどうしても個々にバラつきが出るので難しいのですが、ある程度経験がある人たちもベースを押さえることは無駄ではないと思います。

CTF本番は比較的解きやすいレベルの問題を用意したからか、参加者の方々が活発に問題を解いていって盛り上がる展開になりました。初体験の方も居ましたが、すごく楽しいとおっしゃっていたので狙いは当たったのではないでしょうか。ゲーム要素を学習に活かすことをゲーミフィケーションと言いますが、CTFはゲームの「要素」ではなくゲームそのものですし、自学習促進剤としてとても良いツールだと思います。もし機会があれば、今後もこのenPiT Proにおいて良い感じにCTFを展開していきたいと考えています。

大阪大学 enPiT-Pro セキュリティ分野(enPiT-Pro Security) 情報セキュリティプロ人材育成短期集中プログラム(ProSec)のご案内

イラン戦@アジアカップ2019

大迫が入って何もかもうまくいくようになった試合だったかなぁ。それに尽きるかw。あと守備が整備されてきた感。前からのプレスとコース切りがとてもうまく機能していたよね。でもこういう試合すると次の試合が怖いねw。イランみたいにワンパターンな攻撃では来ないだろうし、整備されてきた守備がハマる場面ばかりとも限らない。権田の1試合1やらかしも気になる(笑)。ここで選手起用などで次の手を出せると監督凄い感がいや増してくるんだけどなぁ(笑)。ここまでの経緯が大河ドラマとして描けていたとするならそれだけで凄いことなんだけどね。

いずれにしても決勝なので、知略も根性もアドレナリンも出し切る感じでやりきって欲しいすね。どんな分析をして(されて)くるのか、そのあたりも楽しみ。相手の分析を跳ね返す勝負強さみたいなのには期待したいなぁ。