Black Hat USA 2007 Day 2

更新が大変遅くなってしまい、申し訳ございません。

長らくお待たせしました。いまさらですが、Black Hat USA 2日目のレポートです。

前回のブログで、2日目はゼロデイとハードウェア関係のセッションに参加します書きつつ、当日になってから他に見たいセッションが出てきてしまい、ファジング、Vista、Web系など様々なセッションに参加しました。

2日目の最初は、「Vista Network Attack Surface Analysis and Teredo Security」というSymantec社のJim Hoagland氏によるセッションに参加しました。Vistaでは、IPv4ホストをIPv6ネットワークに繋ぐ為の機能がいくつか用意されています。Teredoはそうした機能のうちの一つで、IPv4 NAT環境のホストをIPv6ネットワークに接続できるようにする、IPv6 over IPv4 UDPのトネリングプロトコルです。このセッションでは、Teredoについて、ユーザが意図しないIPv6ネットワークからのアクセスの可能性(IPv6ネットワーク上のホストから、直接パケットが送信できてしまう)、アクセス制御バイパスの可能性などのセキュリティリスクについて解説されました。IPS、FWなどのセキュリティ製品の多くは現状Teredoプロトコルに対応していなく、アクセス制御をバイパスされてしまう可能性があるとの事でした。

次は「The Little Hybrid Web Worm that could」というSPI Dynamics社(現：HP Labs)のBilly Hoffmanによるセッションを聞きました。恥ずかしながら、スピーカーの英語が全然聞き取れず、途中であきらめて早々にランチ会場に行ってしまいました。幸いにもBlack Hat Japanで再度参加することができたので、詳細は後述のJapanのレポートで解説します。

午後最初のセッションは、「Active Reversing The Next Generation of Reverse Engineering」というrootkit.comとHBGaryのGred Hogland氏によるセッションに参加しました。Disassemblyが読めなくても、パケットアナライザを使えるレベルのエンジニアなら誰でも使えるという、Active Reversingというリバースエンジニアリング支援ツールが紹介されました。全て関数を洗い出し、動作の種別(パケット送信、各種トランザクション、GUI操作など)によって分類し、フィルタリングできるというのが最大の特徴のようでした。従来のツールだと情報が多すぎて非常に複雑になってしまうところをフィルタリング機能によって、見やすくビジュアル化し、リバースエンジニアリング作業を大幅に効率化します。

その後、Turbo Talkといういくつかのショートセッションに参加しましたが、名前の通りターボが掛かったように早口のプレゼンで、残念ながら全然聞き取れませんでした。

2日目最後に参加したのは、「Static Detection of Application Backdoors」というVeracodeのChris Wysopal氏によるセッションです。このセッションでは、OS、アプリケーション、ネットワーク機器に存在するアプリケーションバックドアの検出手法と実例が解説されました。プログラムのソースあるいはバイナリを解析し、隠しアカウントやパスワードがハードコーディングされてないか、ドキュメントされてないリモート接続を行うコマンドなどが無いか探します。具体的な製品名はここでは割愛させていただきますが、隠しアカウントの検出事例は、2004年以前の比較的昔にリリースされたものが多かったですが、リモートコマンドインジェクションについては、複数の製品で2007年リリースのバージョンで検出されてました。