CanSecWest 2008参加レポート - Part 2

2008/07/10

CanSecWest 2008のレポート Part 2です。

大変遅くなってしまい、申し訳ございません。

セッションレポート (つづき)

Part 1では、仮想化セキュリティとファジング関連のセッションについてレポートしました。今回は残りのセッションについてレポートします。このレポートには、一緒にカンファレンスに参加した野渡さんにご協力頂きました。野渡さん、ありがとうございます。

ウェブアプリケーションセキュリティ

ウェブアプリケーションセキュリティついては、新たな攻撃手法・技術の公開はなく、FlashコンテンツのXSSやiframe関連、古典的な手法を用いたウェブアプリスキャナの紹介にとどまりましたが、

・攻撃の対象がサーバからクライアントへ
・既出の脆弱性を用いた攻撃が増えている

という傾向がセッションの内容から見られ、営利目的の攻撃者は、脆弱性が少なくなってきているサーバではなくクライアントに対し、高機能な攻撃ツールを使用して攻撃を行う傾向が見られました。

セッション：
Cross-Site Scripting Vulnerabilities in Flash Authoring Tools – Rich Cannings / Google
Web Wreck-utation – Dan Hubbard and Stephan Chenette / Websense
w3af: A framework to own the web - Andres Riancho / Cybsec

IDS

IDSについては、2009年リリース予定のSnort 3.0の紹介と簡易的なSIMの紹介の2セッションがありました。Snort 3.0では、新しいアーキテクチャが採用され、Engineが調査不要なトラフィックを識別し、Dispatcherへの転送を中止してそのまま通過させるようにしパフォーマンスが向上される予定とのことです。6月30日にベータ版がリリースされたようです。http://www.snort.org/dl/snortsp/

セッション：
Snort 3.0 - Marty Roesch / Sourcefire
Intrusion Detection Systems Correlation: a Weapon of Mass Investigation – Sebastien Tricaud and Pierre Chifflier / INL

クライアントサイドのセキュリティ

標的型攻撃の手法が非常に巧妙になってきていること、従来のクライアントセキュリティ製品(アンチウィルスなど)での検出がかなり困難であるとになってきているといった内容でした。マイクロソフト社のRobert Hensing氏のセッションが興味深く、実際に同氏に対して行われたExcelのゼロデイを使った攻撃の実例、その際にどういう手法で解析をしたか、どのような対策が有効か紹介されました。MOICE、ファイルブロック機能の利用などを同氏は推奨していました。
http://www.microsoft.com/japan/technet/security/advisory/937696.mspx

セッション：
Targeted Attacks and Microsoft Office Malware – Rob Hensing / Microsoft
ExeFilter: a new open-source framework for active content filtering - Philippe Lagadec / NATO/NC3A
The Death of AV Defense in Depth? Revisiting Anti-Virus Software –　Thierry Zoller and Sergio Alvarez / n.runs
Cold Memory Forensics Workshop - Tom Liston and Sherri Davidoff / Intelguardians

その他

その他には、心理学を応用したIT犯罪捜査についてのセッションやRFIDについてのセッション、gcc/glibcのバッファオーバーフロー、フォーマットストリング脆弱性防止機能、Mobitex <http://itpro.nikkeibp.co.jp/word/page/10008786/> プロトコルのセキュリティ問題などが紹介された。心理学を応用したIT犯罪捜査テクニックのセッションが興味深いと思いました。匿名の脅迫、嫌がらせ、批判などを、文面から人物を特定する心理学に基づいたテクニックが紹介されました。

セッション：
Unique Behavioral Science Approach to Threats, Extortion and Internal Computer Investigations – Scott K. Larson and Eric Shaw / Stroz Friedberg Consulting & Clinical Psychology
Proprietary RFID Systems – Jan “starbug” Krissler and Karsten Nohl / CCC
Secure programming with gcc and glibc – Marcel Holtmann / Intel
Mobitex network security – olleB / toolcrypt.org
Malicious Cryptography – Frederic Raynal / Sogeti/Cap-Gemini

セッション以外のアクティビティ

CanSecでは、セッション以外にもいろいろとアクティビティが開催されます。

Party at Vancouver Aquarium

Photo by Ryo Hirosawa
Vancouver Aquariumという水族館を貸し切ってのパーティが開催されました。(私はこの日熱を出してしまい参加できませんでした。) 音楽も程よい感じで、雰囲気もよく、いいパーティだったそうです。

カンファレンスのパーティというと音楽が大音量でガンガン流れていて (そういうパーティも楽しいですが) 、とても会話できる雰囲気ではないイメージがありますが、主催者のDragosはスピーカーと参加者が話をしやすい雰囲気づくりをこだわりを持っていて、そのおかげで今までいろいろなプロジェクトがCanSecでの会話をきっかけに始まったそうです。

"When we get a bunch of smart people and put them in the same room, something really cool happens. Actually, that's how Honeynet Project started." - Dragos Ruiu

「ひとつの部屋に頭の良い人たちを集めて、会話をさせるとクールなことが起こる。Honeynet Projectもそうやって(CanSecで)始まった。」 - Dragos Ruiu氏

Whistler Tour

Photo by Ryo Hirosawa
カンファレンス終了後は、毎年Whistlerというスキー場にスピーカーと参加者が併せてのツアーがあります。最終日終了後にそのまま車でWhistlerに移動し、キャビンに泊まって、スキー・スノボ三昧の週末を過ごすそうです。さすがアウトドア大国カナダでのカンファレンスならではのイベントです。いつか参加してみたいです、、、。