セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

THE ELEVENTH HOPE: DAY2 の様子

前回のエントリーに引き続き、HOPE DAY2の様子をまとめていきます。

www.scientia-security.org

Understanding Tor Onion Services and Their Use Cases

Torに関する技術的プレゼンで、現時点の技術的解説とそれに今後の実装に関する内容が含まれていました。面白かったのはTorの利用例で、政府機関・医療機関・ライブラリなど秘匿が必要な場合かなり実用が進んでいるという点でした。正直、ダークネットとして悪用されるイメージが強かったのでこれはかなり意外でした。

Keynote Address: Cory Doctorow

コリイ・ドクトロウ氏の講演でした。詳しい経歴は、コリイ・ドクトロウ - Wikipediaに任せますが、著作権やサイバー空間のSFを得意とした作家です。

livestream.com

名前は知っていましたが、呼んだことがなく実はフリーでも公開されているので呼んでみようと思います。

blog.livedoor.jp

blog.livedoor.jp

d.hatena.ne.jp

Medical Devices: Pwnage and Honeypots

メディカル・デバイスに関する現状を実際の監査経験とハニーポットによる観察から分析したプレゼンテーション。彼らいわく、攻撃ポイントは以下の3点に絞られており、脆弱性もかなり多いとのことでした。但し、いわゆるペネトレーション・テストでよく聞く話なので、あまり目新しさはありませんでした。基本が大事ってことですね。

  • 脆弱なパスワード
  • 既知の脆弱性
  • 暗号化

少し古いが同じ講演が行われたのでもし見たい方がいれば。

www.youtube.com

Bring the Noise: Ten Years of Obfuscation as Counter-Surveillance

Webプライバシー系のプレゼンテーションでした。ほとんど彼のアブストラクトにより説明されていた通りで、専攻研究に加えて各種ツール(TrackMeNot・ScareMail・CacheCloak・AdNauseam)などの紹介が行われていました。

It has been a decade now since the release of TrackMeNot, the first privacy tool to leverage obfuscation for counter-surveillance. In the interim, obfuscation has been actively developed, with new tools exploring its use for email (ScareMail), location-tracking (CacheCloak), advertising (AdNauseam), DNA analysis (Invisible), and beyond. This talk reviews the development of the strategy and considers some of the questions it raises for the tool-making community. Daniel will debut AdNauseam 2.0, the first cross-platform production release of AdNauseam, which aims at nothing less than ending advertising-based surveillance as we know it. Obfuscation can be defined as the strategy of using noise to hide one's true interests and/or confuse an adversary. As obfuscation is relatively flexible in its use, it holds unique promise as a strategy for DIY privacy and security. TrackMeNot was the first privacy tool to leverage obfuscation online, protecting web searchers from search engine profiling by hiding their queries in a cloud of generated noise. AdNauseam directs similar techniques at the advertising networks that track users across the web, polluting user profiles and subverting the economic system that drives this pervasive form of surveillance.

先行研究としては以下のものを挙げていました。

たぶん元ネタとなる論文も公開されているので、興味がある人は呼んでみることをお勧めします。

Surveillance Countermeasures: Expressive Privacy via Obfuscation | a peer-reviewed journal about_

The Ownerless Library

このカンファレンスが自由について語られることが多いですが、その典型的なひとつでCersorship(検閲)に対抗できるCensorshiop Regilient Digital Libraryを提案している講演でした。これ、アイディアとしては非常に面白いです。検閲に対抗する手段としては、秘匿(Hide)もしくは複製(Replicate)があると定義していましたが、秘匿(Hide)をすると図書館としては不都合が多いため、ブロック・チェーンを利用した複製を提案していました。デモなども行われていており、コンセプトとしては非常に面白い話でした。ただ、これなら素人発想だと秘密分散技術を使っても同じことができるのではと思うのですが。

まとめ

ほかにも色々な講演があるので、アーカイブを見ていただければと思います。

livestream.com