オルタナティブ・ブログ > 高橋晶子のセキュリティ漂流記 >

セキュリティエンジニアの日常をつづります。

CanSecWest 2008参加レポート - Part 1

»

大変遅くなってしまいましたが、3月に参加したCanSecWestというセキュリティカンファレンスについてレポートします。

Photo by Ryo Hirosawa
2372711143_3ba8008e58_mCanSecWestとは、Dragos Ruiu氏主催のセキュリティカンファレンスで、毎年カナダのバンクーバーで開催されます。日本ではPacSecという名前で開催されています。CanSecWest 2008は、トレーニング2日間、セッション3日間の構成でした。私はセッションのみに参加しました。

今回初めての参加でしたが、参加させてもらえて本当に良かったと思いました。主催者のDragosが以前、「自分がエンジニアとして参加したいと思うセキュリティカンファレンスがほしいと思ったから、CanSecWestを始めた」と言ってましたが、参加してみると確かにエンジニアにとって理想のセキュリティカンファレンスであるように感じました。セッションの内容もテクニカルでありながら趣味の世界ではなく、会場や参加者の雰囲気も良く、エンジニア同士がコミュニケーションを取るのにも最適な場だと思いました。カンファレンスが終わって日本に帰って来てからも、一緒に参加した野渡とカンファレンスの内容について延々と議論をしたぐらい充実した内容でした。

Photo by Ryo Hirosawa
2372468660_dd67d9c64d_m セッションは1トラック制で全部で22セッションあり、ファジング、仮想化セキュリティ、ウェブアプリケーションセキュリティ、IDS、クライアントサイドのセキュリティなどがカバーされました。

主催者Dragosのポリシーとして、1トラック制に取っています。今まで単純に複数トラックがあった方が選択肢が多くて良いのにと思っていましたが、今回CanSecWestに参加してみて、もし複数トラックがあったら参加しなかったであろうセッションで、勉強になった事が多々あり、内容が充実していれば、1トラック制の方がバランス良く情報が収集できて良いと思いました。

分野別でレポートをまとめます。

ファジング(Fuzzing)

今回最もセッションが多かった分野です。ファジングとは、ブラックボックステストで利用される技術で、様々な入力データを自動生成して入力してテストを行う手法です。ファジングを行うツールはファザー(Fuzzer)と呼ばれ、大きく分けてファイルフォーマットファザー、プロトコルファザー(ネットワークファザー)、アプリケーションファザーの3種類に分かれます。数年前から、ファイルフォーマットファジングに関する話題は多かったようと思いますが、今回はプロトコルファザーに関する話がメインでした。個々のセッションの詳細についてはここでは割愛させて頂きますが、ここ数年でプロトコルファザーは大きく進化したように感じました。モニタリング、レポーティング機能なども充実しており、プロトコル別のテストパターンが充実した商用製品も複数出ているようです。

セッション:
Peach Fuzzing – Micheal Eddinton / Levianthan
Fuzz by Number – Charlie Miller / Independent Security Evaluators
Fuzzing WTF?  What Fuzzing Was, Is And Never Will Be – Frank Marcus and Mikko

Varpiola / Wurldtech and Codenomicon
Vulnerabilities Die Hard – Kowsik Guruswamy / Mu Security
VetNetSec: Security testing for Extremists – Eric Hacker / BT INS
Media Frenzy: Finding Bugs in Windows Media Software – Mark Dowd and John McDonald / IBM ISS

仮想化セキュリティ

今回のCanSecWestでは、仮想化セキュリティに関する発表が2セッションありました。1年ぐら前までは、仮想化のテクノロジーを悪用した攻撃に関する発表が多かった印象がありますが、今回の発表は仮想化における脆弱性やセキュリティ対策に関するものでした。実際の運用で仮想化技術が使われるようになり、そのセキュリティ対策に関心が高まっているように感じました。2つともVMWareに関するセッションで、1つはSun Bing氏による発表で同氏が発見したVMWare Workstationの脆弱性に関するもの、もう1つはVMWareのHorovitz氏によるVMSafeのセキュリティAPIについての発表でした。

VMSafe APIを利用することで、従来ゲストOS上で動作させていたセキュリティエージェントを外出しして、セキュリティエージェント専用のゲストOSとして動作させることが可能となります。セキュリティエージェントはVMSafe APIを利用して、HyperVisor経由でゲストOSのメモリにアクセスし、マルウェアや攻撃の検出を行います。これにより、従来のエージェント型の対策であった問題が解決できるようになるとのことです。
- アンチウィルスが認識できないパッキング手法が使われた場合、マルウェアをアンパックできず、検出できない
- サービスをExploitされ、コードインジェクションが行われると、メモリがページアウトしない限り、検出不可
- OS上で動作するエージェントは、何らかの手段で停止されてしまう可能性がある

セッション:
VMWare Issues – Sun Bing / McAfee
Virtually Secure – Oded Horovitz / VMWare

次回、残りのセッションのレポートを掲載します。

Comment(3)

コメント

熊猫さくら

こんにちは。 PacSec 2007 の時点ではまだ搭載できていませんでしたが、
TOMOYO Linux 1.6.0 には「プログラムの実行要求を差し替える」という機能が
搭載されました。この機能は、許可されていないプログラムの実行が要求されると、
要求されたプログラムの実行を拒否する代わりに、ポリシーで指定された別の
プログラムを実行します。
平時には本来のサービスを提供しておきながら、バッファオーバーフローなどから
シェルを起動されそうになったときだけハニーポットに化けさせることができます。
攻撃者にとっては、シェルの起動に成功したと思ったら、実はハニーポットに
接続させられただけだった・・・なんていう予想外の展開が待っています。(笑)

熊猫さくらさん
こんにちは。そうなんですか、面白いですね。

これのことですね↓

(6) 許可されていないプログラムの実行要求が生じた場合の代替処理指定

  強制モードにおいて許可されていないプログラムの実行が要求された場合、プログラムの実行要求を拒否する代わりに、ポリシーで指定された(要求されたプログラムとは異なる)別のプログラムを実行させことができるようになります。

  例えば、 Samba の trans2open のように /bin/sh が要求された場合、/bin/true を実行させることにより、攻撃を受け流すことができます。/bin/true の代わりにハニーポットクライアント等を実行させても構いません。

  例えば、シェルから許可されていないコマンドの実行が要求された場合、コマンドを実行する権限がないことの通知をカスタマイズするのに使うこともできます。

  例えば、強制ログアウトさせるプログラムや、ファイアウォールの設定を変更するのに必要な情報を収集するためのプログラムを実行させても構いません。

  (5) と似ている機能ですが、(5)の機能は
  「全てのプログラムの実行要求を引き受ける」のに対し、この機能は「拒否されたプログラムの実行要求だけを引き受ける」点が異なります。

  キーワード: denied_execute_handler

熊猫さくら

>これのことですね↓
正解です。

PacSec2007 の Global Distributed Honeynet の話を聞いて、 TOMOYO をハニーポットに使ってほしいなと思いました。
で、実際に搭載できたので、あとは売り込む機会探し・・・と。


TOMOYO にはもう一つの面白い使い方があります。
TOMOYO を使うと SSH ログイン認証を多重化することが簡単にできるようになるので、近年増加中のブルートフォース対策としても利用できます。
(認証方式がクライアントに対して公開されている)ログイン認証を攻略できたとしても、(認証方式がクライアントに対して公開されていない)追加認証を攻略することはものすごく困難なので、追加認証の通過方法を知らない侵入者にはそのままログアウトしてもらうことができるのです。

コメントを投稿する