以前のエントリーに引き続き、HOPE DAY1の様子をまとめます。
When Vulnerability Disclosure Gets Ugly
CCSF(City College San Francisco)で講師をしているSam Bowne氏の講演です。授業中に行ったGoogle Hackingのデモを行ったところ、不正アクセスだと報じられてしまった渦中の講師としてアメリカで知られているそうです。主に、このセッションでは主に3つのトピックが扱われていました。
- 最近の脆弱性の発見について
- 「不正アクセス」として報道された渦中の件について(彼の主張に加え、弁護士のAlex Muentzが法的な観点からコメントを行っていました。)
- (おまけ)ブロックチェーンについて(ブロックチェーン投票)
具体的な彼の議論と弁護士の見解については彼のページから資料をたどることができるので、そちらを参照していただければと思います。また、彼の講演の様子はビデオでも閲覧することが可能です。
また、個人的に面白かったのが、ブロックチェーンを使った投票に関する話でした。ブロックチェーンの応用としてこんなこともできるのかと思いました。このデモについても彼のページにあるのでご参照ください。
The Panama Papers and the Law Firm Behind It
Alex Urbelis氏による弁護士パナマ文書に関する時系列分析です。パナマ文書について流れを理解したい人は閲覧をお勧めします。(ビデオが公開されています。)
2016 Car Hacking Tools
別のエントリーでまとめましたので、そちらを参照してください。
Privacy Badger and Panopticlick vs. the Trackers, Round 1
EFF(電子フロンティア財団)に所属する2名によるプライバシーに関するプレゼンテーション。EFFの活動紹介に加えて、Trackingに関する現状のテクニック紹介とトラッキングに関する技術やツールの紹介が行われました。
興味がある人は上記リンクから詳細を見ていただければと思いますが、トラッキング技術は主に複数あるようで、組み合わて攻撃することが一般的みたいです。過去のレポート『How Unique Is Your Web Browser? 』でもその辺の分析が行われています。
Cookie
単純なCookie以外にも、Plug-in (Flash・Java・SilverLight)を使ったり、Super Cookieと呼ばれるものやEvercookieと呼ばれる手法もあるみたいです。
Fingerprinting
Fingerprintingは、ブラウザの挙動を使って同行を調査する手法で、Canvas Fingerprintingなどが有名な攻撃手法として知られています。私は知らなかったのですが、WebAudio Fingerprintingなんて手法や、SilverPush社などが利用している超音波を利用した手法など技術としては色々と進化しているみたいです。
議論の内容
トラッキング技術はありとあらゆるところにあると指摘しています。Lightbeamというツールがその様子を「見える化」してくれるそうです。
現時点の動向として、Tor Browser・Firefox Tracking Protection・OpenWPMなどが効果的である一方、ChromeのIncognito ModeやAd BrockerやW3CのDO NOT Track Policyはあまり効果的ではないと述べていました。但し、Tor Browserが使いづらいなどもあるため、Privacy Badgerという新しいツールを作成したと発表していました。
Privacy Badger | Electronic Frontier Foundation
比較的面白そうなツールなので、少し詳細を見ておく必要はありそうです。
A Penetration Tester's Guide to the Azure Cloud
Azure環境におけるペネトレーション・テストに関する手法とその解説。そのうち、発表した会社からガイドが公開されるので、興味がある人は見ておくと良いと思います。
SecureDrop: Two Years on and Beyond
SecureDropと呼ばれる告発用環境について紹介されていたプレゼンテーション。詳しい技術などはストリーミングをご参照ください。
まとめ
Day1だけでも色々と面白いセッションがあり、非常に勉強になったカンファレンスでした。なお、ブロック・チェーンの技術の応用は色々とありそうなので注目していく必要があると考えています。