大変遅くなってしまいましたが、3月に参加したCanSecWestというセキュリティカンファレンスについてレポートします。
Photo by Ryo Hirosawa
CanSecWestとは、Dragos Ruiu氏主催のセキュリティカンファレンスで、毎年カナダのバンクーバーで開催されます。日本ではPacSecという名前で開催されています。CanSecWest 2008は、トレーニング2日間、セッション3日間の構成でした。私はセッションのみに参加しました。
今回初めての参加でしたが、参加させてもらえて本当に良かったと思いました。主催者のDragosが以前、「自分がエンジニアとして参加したいと思うセキュリティカンファレンスがほしいと思ったから、CanSecWestを始めた」と言ってましたが、参加してみると確かにエンジニアにとって理想のセキュリティカンファレンスであるように感じました。セッションの内容もテクニカルでありながら趣味の世界ではなく、会場や参加者の雰囲気も良く、エンジニア同士がコミュニケーションを取るのにも最適な場だと思いました。カンファレンスが終わって日本に帰って来てからも、一緒に参加した野渡とカンファレンスの内容について延々と議論をしたぐらい充実した内容でした。
Photo by Ryo Hirosawa
セッションは1トラック制で全部で22セッションあり、ファジング、仮想化セキュリティ、ウェブアプリケーションセキュリティ、IDS、クライアントサイドのセキュリティなどがカバーされました。
主催者Dragosのポリシーとして、1トラック制に取っています。今まで単純に複数トラックがあった方が選択肢が多くて良いのにと思っていましたが、今回CanSecWestに参加してみて、もし複数トラックがあったら参加しなかったであろうセッションで、勉強になった事が多々あり、内容が充実していれば、1トラック制の方がバランス良く情報が収集できて良いと思いました。
分野別でレポートをまとめます。
ファジング(Fuzzing)
今回最もセッションが多かった分野です。ファジングとは、ブラックボックステストで利用される技術で、様々な入力データを自動生成して入力してテストを行う手法です。ファジングを行うツールはファザー(Fuzzer)と呼ばれ、大きく分けてファイルフォーマットファザー、プロトコルファザー(ネットワークファザー)、アプリケーションファザーの3種類に分かれます。数年前から、ファイルフォーマットファジングに関する話題は多かったようと思いますが、今回はプロトコルファザーに関する話がメインでした。個々のセッションの詳細についてはここでは割愛させて頂きますが、ここ数年でプロトコルファザーは大きく進化したように感じました。モニタリング、レポーティング機能なども充実しており、プロトコル別のテストパターンが充実した商用製品も複数出ているようです。
セッション:
Peach Fuzzing – Micheal Eddinton / Levianthan
Fuzz by Number – Charlie Miller / Independent Security Evaluators
Fuzzing WTF? What Fuzzing Was, Is And Never Will Be – Frank Marcus and Mikko
Varpiola / Wurldtech and Codenomicon
Vulnerabilities Die Hard – Kowsik Guruswamy / Mu Security
VetNetSec: Security testing for Extremists – Eric Hacker / BT INS
Media Frenzy: Finding Bugs in Windows Media Software – Mark Dowd and John McDonald / IBM ISS
仮想化セキュリティ
今回のCanSecWestでは、仮想化セキュリティに関する発表が2セッションありました。1年ぐら前までは、仮想化のテクノロジーを悪用した攻撃に関する発表が多かった印象がありますが、今回の発表は仮想化における脆弱性やセキュリティ対策に関するものでした。実際の運用で仮想化技術が使われるようになり、そのセキュリティ対策に関心が高まっているように感じました。2つともVMWareに関するセッションで、1つはSun Bing氏による発表で同氏が発見したVMWare Workstationの脆弱性に関するもの、もう1つはVMWareのHorovitz氏によるVMSafeのセキュリティAPIについての発表でした。
VMSafe APIを利用することで、従来ゲストOS上で動作させていたセキュリティエージェントを外出しして、セキュリティエージェント専用のゲストOSとして動作させることが可能となります。セキュリティエージェントはVMSafe APIを利用して、HyperVisor経由でゲストOSのメモリにアクセスし、マルウェアや攻撃の検出を行います。これにより、従来のエージェント型の対策であった問題が解決できるようになるとのことです。
- アンチウィルスが認識できないパッキング手法が使われた場合、マルウェアをアンパックできず、検出できない
- サービスをExploitされ、コードインジェクションが行われると、メモリがページアウトしない限り、検出不可
- OS上で動作するエージェントは、何らかの手段で停止されてしまう可能性がある
セッション:
VMWare Issues – Sun Bing / McAfee
Virtually Secure – Oded Horovitz / VMWare
次回、残りのセッションのレポートを掲載します。
Special
- PR -| 熊猫さくら | 2008/05/12 21:37 |
|
こんにちは。 PacSec 2007 の時点ではまだ搭載できていませんでしたが、 | |
| akiko | 2008/05/13 12:55 |
|
熊猫さくらさん これのことですね↓ (6) 許可されていないプログラムの実行要求が生じた場合の代替処理指定 強制モードにおいて許可されていないプログラムの実行が要求された場合、プログラムの実行要求を拒否する代わりに、ポリシーで指定された(要求されたプログラムとは異なる)別のプログラムを実行させことができるようになります。 例えば、 Samba の trans2open のように /bin/sh が要求された場合、/bin/true を実行させることにより、攻撃を受け流すことができます。/bin/true の代わりにハニーポットクライアント等を実行させても構いません。 例えば、シェルから許可されていないコマンドの実行が要求された場合、コマンドを実行する権限がないことの通知をカスタマイズするのに使うこともできます。 例えば、強制ログアウトさせるプログラムや、ファイアウォールの設定を変更するのに必要な情報を収集するためのプログラムを実行させても構いません。 (5) と似ている機能ですが、(5)の機能は キーワード: denied_execute_handler | |
| 熊猫さくら | 2008/05/13 20:25 |
|
>これのことですね↓ PacSec2007 の Global Distributed Honeynet の話を聞いて、 TOMOYO をハニーポットに使ってほしいなと思いました。
| |
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- アプリケーション(1件)
オルタナティブ・ブログは、専門スタッフにより、企画・構成されています。入力頂いた内容は、アイティメディアの他、オルタナティブ・ブログ、及び本記事執筆会社に提供されます。
富士通社長が語るICTベンダーとしての心得
求む、クックパッド男子
37歳の常識――我々は一生学び続ける
Lyncが実現する“どこでもドア”
“コステロ”じゃないよ“コストロ”だよ