セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

THE ELEVENTH HOPE: DAY1 の様子

以前のエントリーに引き続き、HOPE DAY1の様子をまとめます。

www.scientia-security.org

When Vulnerability Disclosure Gets Ugly

CCSF(City College San Francisco)で講師をしているSam Bowne氏の講演です。授業中に行ったGoogle Hackingのデモを行ったところ、不正アクセスだと報じられてしまった渦中の講師としてアメリカで知られているそうです。主に、このセッションでは主に3つのトピックが扱われていました。

  •  最近の脆弱性の発見について
  • 「不正アクセス」として報道された渦中の件について(彼の主張に加え、弁護士のAlex Muentzが法的な観点からコメントを行っていました。)
  • (おまけ)ブロックチェーンについて(ブロックチェーン投票)

具体的な彼の議論と弁護士の見解については彼のページから資料をたどることができるので、そちらを参照していただければと思います。また、彼の講演の様子はビデオでも閲覧することが可能です。

livestream.com

また、個人的に面白かったのが、ブロックチェーンを使った投票に関する話でした。ブロックチェーンの応用としてこんなこともできるのかと思いました。このデモについても彼のページにあるのでご参照ください。

samsclass.info

The Panama Papers and the Law Firm Behind It

Alex Urbelis氏による弁護士パナマ文書に関する時系列分析です。パナマ文書について流れを理解したい人は閲覧をお勧めします。(ビデオが公開されています。)

livestream.com

2016 Car Hacking Tools

別のエントリーでまとめましたので、そちらを参照してください。

www.scientia-security.org

Privacy Badger and Panopticlick vs. the Trackers, Round 1

EFF(電子フロンティア財団)に所属する2名によるプライバシーに関するプレゼンテーション。EFFの活動紹介に加えて、Trackingに関する現状のテクニック紹介とトラッキングに関する技術やツールの紹介が行われました。

livestream.com

興味がある人は上記リンクから詳細を見ていただければと思いますが、トラッキング技術は主に複数あるようで、組み合わて攻撃することが一般的みたいです。過去のレポート『How Unique Is Your Web Browser? 』でもその辺の分析が行われています。

Cookie

単純なCookie以外にも、Plug-in (Flash・Java・SilverLight)を使ったり、Super Cookieと呼ばれるものやEvercookieと呼ばれる手法もあるみたいです。

Fingerprinting

Fingerprintingは、ブラウザの挙動を使って同行を調査する手法で、Canvas Fingerprintingなどが有名な攻撃手法として知られています。私は知らなかったのですが、WebAudio Fingerprintingなんて手法や、SilverPush社などが利用している超音波を利用した手法など技術としては色々と進化しているみたいです。

gigazine.net

議論の内容

トラッキング技術はありとあらゆるところにあると指摘しています。Lightbeamというツールがその様子を「見える化」してくれるそうです。

www.mozilla.org

現時点の動向として、Tor Browser・Firefox Tracking Protection・OpenWPMなどが効果的である一方、ChromeのIncognito ModeやAd BrockerやW3CのDO NOT Track Policyはあまり効果的ではないと述べていました。但し、Tor Browserが使いづらいなどもあるため、Privacy Badgerという新しいツールを作成したと発表していました。

Privacy Badger | Electronic Frontier Foundation

比較的面白そうなツールなので、少し詳細を見ておく必要はありそうです。

A Penetration Tester's Guide to the Azure Cloud

Azure環境におけるペネトレーション・テストに関する手法とその解説。そのうち、発表した会社からガイドが公開されるので、興味がある人は見ておくと良いと思います。

www.mwrinfosecurity.com

SecureDrop: Two Years on and Beyond

SecureDropと呼ばれる告発用環境について紹介されていたプレゼンテーション。詳しい技術などはストリーミングをご参照ください。

livestream.com

elplatt.com

まとめ

Day1だけでも色々と面白いセッションがあり、非常に勉強になったカンファレンスでした。なお、ブロック・チェーンの技術の応用は色々とありそうなので注目していく必要があると考えています。