CanSecWest 2008参加レポート - Part 1
大変遅くなってしまいましたが、3月に参加したCanSecWestというセキュリティカンファレンスについてレポートします。
Photo by Ryo Hirosawa
CanSecWestとは、Dragos Ruiu氏主催のセキュリティカンファレンスで、毎年カナダのバンクーバーで開催されます。日本ではPacSecという名前で開催されています。CanSecWest 2008は、トレーニング2日間、セッション3日間の構成でした。私はセッションのみに参加しました。
今回初めての参加でしたが、参加させてもらえて本当に良かったと思いました。主催者のDragosが以前、「自分がエンジニアとして参加したいと思うセキュリティカンファレンスがほしいと思ったから、CanSecWestを始めた」と言ってましたが、参加してみると確かにエンジニアにとって理想のセキュリティカンファレンスであるように感じました。セッションの内容もテクニカルでありながら趣味の世界ではなく、会場や参加者の雰囲気も良く、エンジニア同士がコミュニケーションを取るのにも最適な場だと思いました。カンファレンスが終わって日本に帰って来てからも、一緒に参加した野渡とカンファレンスの内容について延々と議論をしたぐらい充実した内容でした。
Photo by Ryo Hirosawa
セッションは1トラック制で全部で22セッションあり、ファジング、仮想化セキュリティ、ウェブアプリケーションセキュリティ、IDS、クライアントサイドのセキュリティなどがカバーされました。
主催者Dragosのポリシーとして、1トラック制に取っています。今まで単純に複数トラックがあった方が選択肢が多くて良いのにと思っていましたが、今回CanSecWestに参加してみて、もし複数トラックがあったら参加しなかったであろうセッションで、勉強になった事が多々あり、内容が充実していれば、1トラック制の方がバランス良く情報が収集できて良いと思いました。
分野別でレポートをまとめます。
ファジング(Fuzzing)
今回最もセッションが多かった分野です。ファジングとは、ブラックボックステストで利用される技術で、様々な入力データを自動生成して入力してテストを行う手法です。ファジングを行うツールはファザー(Fuzzer)と呼ばれ、大きく分けてファイルフォーマットファザー、プロトコルファザー(ネットワークファザー)、アプリケーションファザーの3種類に分かれます。数年前から、ファイルフォーマットファジングに関する話題は多かったようと思いますが、今回はプロトコルファザーに関する話がメインでした。個々のセッションの詳細についてはここでは割愛させて頂きますが、ここ数年でプロトコルファザーは大きく進化したように感じました。モニタリング、レポーティング機能なども充実しており、プロトコル別のテストパターンが充実した商用製品も複数出ているようです。
セッション:
Peach Fuzzing – Micheal Eddinton / Levianthan
Fuzz by Number – Charlie Miller / Independent Security Evaluators
Fuzzing WTF? What Fuzzing Was, Is And Never Will Be – Frank Marcus and Mikko
Varpiola / Wurldtech and Codenomicon
Vulnerabilities Die Hard – Kowsik Guruswamy / Mu Security
VetNetSec: Security testing for Extremists – Eric Hacker / BT INS
Media Frenzy: Finding Bugs in Windows Media Software – Mark Dowd and John McDonald / IBM ISS
仮想化セキュリティ
今回のCanSecWestでは、仮想化セキュリティに関する発表が2セッションありました。1年ぐら前までは、仮想化のテクノロジーを悪用した攻撃に関する発表が多かった印象がありますが、今回の発表は仮想化における脆弱性やセキュリティ対策に関するものでした。実際の運用で仮想化技術が使われるようになり、そのセキュリティ対策に関心が高まっているように感じました。2つともVMWareに関するセッションで、1つはSun Bing氏による発表で同氏が発見したVMWare Workstationの脆弱性に関するもの、もう1つはVMWareのHorovitz氏によるVMSafeのセキュリティAPIについての発表でした。
VMSafe APIを利用することで、従来ゲストOS上で動作させていたセキュリティエージェントを外出しして、セキュリティエージェント専用のゲストOSとして動作させることが可能となります。セキュリティエージェントはVMSafe APIを利用して、HyperVisor経由でゲストOSのメモリにアクセスし、マルウェアや攻撃の検出を行います。これにより、従来のエージェント型の対策であった問題が解決できるようになるとのことです。
- アンチウィルスが認識できないパッキング手法が使われた場合、マルウェアをアンパックできず、検出できない
- サービスをExploitされ、コードインジェクションが行われると、メモリがページアウトしない限り、検出不可
- OS上で動作するエージェントは、何らかの手段で停止されてしまう可能性がある
セッション:
VMWare Issues – Sun Bing / McAfee
Virtually Secure – Oded Horovitz / VMWare
次回、残りのセッションのレポートを掲載します。