« BlackHat US 2008 | トップページ | DEFCON16初日 »

2008/08/08

BlackHat US 2008 2日目

さて、BH USの二日目。あいかわらず時差ぼけは改善しない。寝てはいるものの、どうも起き抜けがすっきりしない。お昼近くになると、だんだん集中力がなくなってくるのは困りもの。ただでさえ早口の英語はちょっと気を抜くと右から左に流れてしまうので・・。

Us200808_180






今日のキーノートは NCSC (National Cyber Security Center)のディレクター Rod Beckstrom氏。歴史上の人物や出来事(独立戦争、南北戦争などとそれに関連した人物たち)などを、現代のITやサイバースペースとの対比で評したイントロから、ネットワークやセキュリティの経済学の話へ。C=S+L (Cはトータルコスト、Sはセキュリティにかけるコスト、Lはセキュリティ問題で発生する損失)を最小化するのだ、という説明はわかりやすい。最初のいくつかの基本的な対策は被害(の可能性)を大きく減少させるが、次第に効果は相対的に小さくなってくる。ある程度以上は投資しても、それに見合う効果は得られないので、逆にトータルコストは上昇に転じる。イメージとしては理解しやすいのだが、実際にこれをあてはめるとなるとなかなか難しいのだが・・。ネットワークプロトコルでは、最も被害が大きいと思われるのが、グローバルなルーティングを左右するBGP、次にDNS、次はIP上に実装されたSMSだという。SMSは災害時などに威力を発揮する。データ量を抑えて多くの人たちが通信を行うには最適な方法だとのこと。(実際に911の時は電話が輻輳して使えなくなったものの、SMSは生きていた) 最後に、サイバースペースと現実社会の対比で、憲法や民主主義、ガバナンス、隔離機構、正義(の確立)、ネット外交などが、今後必要になるのだろうと締めくくった。さて、そうなるにはまだまだかかりそうだが・・・・。

今日は、仮想化関連のセッション、MS関連のセッションを聞いた。仮想化では、今回はXenが槍玉に挙げられている。オープンソースであるだけに(現在はCitrixの商用版も存在するが)これからもあれこれ出てきそうな感じ。ハイパーバイザ(もしくは Dom0)に感染するようなマルウエアと、いわばVM rootkitのようなものもいずれ出てきそうな感じがする。この領域では、まだまだいろいろありそうだ。(逆に言えば、守る側としていろんなものが必要になりそうだ)

Us200808_181






MS関連では、MSVR(MicroSoft Vulnerability Research)のメンバーのセッションが、(参加者の反応や意地悪な質問なども含め)面白かった。個人的には、MSはそのコードのサイズに比べれば、非常によくやってるとは思うのだけどね。面白かったのは、Xp時代に、ブラウザへの攻撃は80%がIEに対するものだったが、VISTAになってから、90%以上がIE以外のブラウザに対してのものになったという話。今後どうなっていくかはさておき、興味深い数字ではある。それから、脆弱性や攻撃への対応において、サードパーティーを含めたグローバルな協力体制を作るために、MAPP (Microsoft Active Protection Program)を立ち上げるという話。NDAのもとで、未パッチの脆弱性に関する詳細情報をサードパーティのセキュリティベンダなどに提供して対策を早期にリリースしようという試みとのこと。攻撃側の情報流通に対し、防御側もそれ以上に情報共有を進めよう・・・というコンセプトだ。それから、この10月以降、脆弱性のアナウンスにおいて、現在の Critical, Important, Moderate, Lowに加え、 Exploitability Index という指標を加えるとのこと。これは、実際に攻撃コードが存在しているかどうか、それがどのくらい実用的なものであるか、といった状況を明らかにすることで、ユーザにパッチあての緊急度を判断してもらおうという試みだ。ちなみに、MSの脆弱性に対する攻撃コードの存在率は2006年は29%、2007年は21%だったとのこと。

もうひとつのMSのセッションは、標的型攻撃に使われるOffice文書のExploitの解説。Officeに存在する(した)脆弱性を攻撃するように加工された文書ファイルの構造やその確認方法、対策などについてのプレゼンテーション。これもなかなか興味深い内容。改ざんされた文書の検出など、いろいろと応用がききそうだ。

さて、とりあえずBlackHatも終わり。明日からDEFCON。夕方に Riviera まで30分ほどかけて歩いて、レジストレーションに行ってきた。バッジをもらって、今夜はハック・・・と思っていたのだけど、バッジは品切れになってしまったよう。紙のバッジを渡され、明日の午後に交換するから、と言われてちょっとがっかり。ちなみに、今年のDEFCONバッジは、SDカードに入れたデータファイルを赤外線で送受信する機能付き。CDにソースコードが入っているので、あれこれハックできそうな感じだが、もし、バッファオーバフローなんかが仕込まれていたら・・・・こりゃ戦争が始まるかも・・・とちょっと戦々恐々。あとで寝る前にちょっとソースを見てみようかと。

さて、とりあえず今日はここまで・・・。

|

« BlackHat US 2008 | トップページ | DEFCON16初日 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/56531/42105574

この記事へのトラックバック一覧です: BlackHat US 2008 2日目:

« BlackHat US 2008 | トップページ | DEFCON16初日 »