オルタナティブ・ブログ > 高橋晶子のセキュリティ漂流記 >

セキュリティエンジニアの日常をつづります。

Black Hat USA 2007 Day 1

»

今週は、Black Hat USA参加の為、ラスベガスに来ています。セキュリティ関係の方ではご存知の方も多いかと思いますが、BlacKHatは、毎年ラスベガス、アムステルダム、東京、DCなどで開催されているセキュリティカンファレンスです。

USのBlackHatに参加するのは2年ぶりになりますが、セッションの数や参加者の数が非常に多くなっていることに驚きました。前回は全部で7トラックぐらいだっと思いますが、今年は16トラックもあり、どのセッションに参加するかずいぶん迷いました。

Rimg0015参加者の数もかなり増えており、会場はラッシュ時の新宿駅のように人でごった返しており、カンファレンスルーム間の移動も一苦労です。今回は、主にネットワーク系の攻撃の分析や手法に関連したセッションに参加しました。

最初に参加したセッションは、「Traffic Analysis—The Most Powerful and Least Understood Attack Methods」というタイトルで、スピーカーはPGP CorporationのJon Callas氏他3名のセキュリティリサーチエンジニアでした。このセッションでは、トラフィックのパターンから、その通信内容を推測する手法が紹介されました。昔ならではのトラフィックアノマリーからの攻撃検出ではなく、トラフィックのパターンから誰と誰がどのような内容の通信をしているか推測する手法です。具体的には、データが送出されるタイミングからSSHのキーストロークを予測したり、VOIP通信内容(発せられた言葉)まで予測できるという事で、単語毎のトラフィックパターンなどの実例を挙げて紹介されました。利用している情報は、送信元、送信先、パケットの送出タイミングなどの基本的な情報で、レスポンスのタイミングからbotクライアントを検出した例なども取り上げられました。

次に参加したのは、「Remote and Local Exploitation of Network Drivers」というセッションで、スピーカーはIntelのYuriy Bulygin氏でした。無線LANドライバのリモートexploitやローカルexploitをリモートから実行させる手法などが紹介さました。

Rimg0012次は、「Tactical Exploitation」というセッションで、Metasploitで有名なHD Moore氏とValsmith氏が、ペネトレーションテストの実践テクニックを紹介した。Part 1, Part 2の2時間構成となっており、前半は主にターゲットの 情報収集、後半ではExploit手法が紹介されました。満席で、立ち見や床に座る人たちで部屋が埋め尽くされるほど人気があり、私も2時間床に座って聞きました。まずはターゲットの情報収集で、ホストのアドレス、個人の情報収集、ネットワークスキャン、アプリケーション検出などの手法が紹介されました。国内ではこのような完全なBlackboxテスティングはレアであると思われますが、完全なブラックボックス検査を想定しており、Whois、Google他各種Website検索にて、会社名や個人の情報などを収集方法について重点的に説明がありました。その後、HTTP、FTP、DNSなど各種プロトコル別のexploitテクニックが紹介されました。プリンタやNAS装置などの機器には、未だに古いバージョンのネットワークプロトコルが実装されているケースが多いとの事で、古典的な手法でのexploitがが現在でも成立する為、ペネトレーションテスト実施時にはこれらの機器を踏み台にするケースも多いとのことです。後半ではMetasploit 3を活用して、実演デモが行われました。

本日最後のセッションは、「Observing the Tidal Waves of Malware」というセッションで、イタリアのSecure NetworkのStefano Zanero氏が講演しました。国内でも言われているように、従来のネットワークワームと比較して、最近のボットネットなどのマルウェアは亜種の出現が非常に早くなってきており、アンチウィルスベンダーも対策が追いつかない状況にあります。それに対応するために、Zanero氏は「WOMBAT」というマルウェアの自動収集・分析システムを開発したという。WOMBATは2008年後半頃に公開されるとの事です。

明日は、ゼロデイ対策やハードウェアについてのセッションなどに参加する予定です。

Comment(9)