先日、BSidesLVに参加してきました。BSidesLVはBlackHatと同じスケジュールで開催されるカンファレンスです。
- BSidesLV:8/2 - 8/3
- BlackHat USA:8/3 - 8/4
- DEFCON:8/4 - 8/7
BlackHatは同僚が調査に参加していること、参加費も安くないこと、またBSidesLVの様子を知りたいという好奇心に駆られ、こちらに参加しました。
結論からいうと、非常に面白いカンファレンスでした。BlackHatとほぼ同じスケジュールのため、いい講演はBlackHatに流れてしまい二流の講演しかないと勝手に危惧していたのですが、実際は質の高いカンファレンスでした。
私の個人的意見ですが、BlackHatが質が高い最高峰のカンファレンスという点には全く異論はないですが、内容はかなり学会に近しい印象があります。BSidesLVで話した人に聞いてみたところ、最近のBlackHatは商業化しすぎているというコメントをしている人もいました。一方、BSidesは過去の記事でも記載したとおりツールの発表や事例紹介などが行われ、BSidesの良さを維持していると思います。BSidesLVの参加者に話を聞いても、日々の業務の事例や工夫を知るには、BSidesLVのほうが良いという人が多くいましたし、ハッカー・カンファレンスらしさを求めてあえてBSidesLVを選ぶ人も多数いました。
BSidesLVの魅力:Undergroundセッション
BSidesLVの魅力は、参加費が安くて面白いセッションがある一方、別の魅力があります。それが、Undergroundセッションと呼ばれるセッションです。以下に、セッションの説明を記載します。
Underground - OTR talks on subjects best discussed AFK. No press, no recording, no streaming, no names. Just you and your peers, behind closed doors. Think about it.
今回のBSidesLVでは、ほとんどのカンファレンスが録画されて後で公開されるのですが、Undergroundsセッションだけは録画されず、電子機器の使用が禁止です。それどころか、スピーカーのプライバシー保護のため、スピーカーの名前、場合によっては講演内容すら公開されないという面白いセッションです(最悪の場合、手掛かりは講演タイトルだけです)。その代わり、かなり踏み込んだ内容のセッションばかりです。
その運営たるやかなり厳重で、部屋に入る前に電子機器(PC・携帯電話・スマートウォッチ)はすべて電源をオフにすることが指示され、会場に座れる人数(100名ほど)以上には入れてもらえません。一度、カンファレンスが始まるとドアは閉められ、基本的に出ることも許されません。やむを得ない事情で出る場合は、プレゼンテーションが中断され、スライドが隠された上で係員に誘導され退場します。再入場はもちろん許されません。もし、カンファレンス中に電子機器を使っていたり、電源を切っていないことが発覚したら、プレゼンテーションを中断、スタッフによる違反者探しが始まり、見つかり次第その場で退場させられます。(たぶん、顔を覚えられ、今後のUndergroudセッションへのアクセスも禁止されるようです。)
また、参加者はペンとノートによるアナログな方法のみメモを取ることが許され、当然その内容の公開は許されません。ルールに従い、その内容をここに書くことはできませんが、かなり魅力的な講演が多く、30分前に並んでも入れないカンファレンスもありました。(最初このルールを知らず、いくつかセッションを見逃してしまいました。)
いくつかの講演をピックアップ
いつもの通り、Underground以外のセッションで面白いものをいくつかピックアップして紹介したいと思います。ちなみに、スケジュールとビデオは以下の場所から確認することができます。
Beyond the Tip of the IceBerg
Citrixに勤務する人によるFuzzingの話でした。Fuzzingに関する難しさについて解説をした後、遺伝的アルゴリズムを使って最近のFuzzingに関する話をしていました。主には、AFL(American Fuzyy Lop)というツールを利用した話中心で、RDPに対するFuzzingのデモなどが行われていました。
興味がある人は、詳しくはビデオを見てください。(2:16:00ぐらいから発表されます。)
How Commodity Programs Are Evolving Into Advanced Threats
CyberReasonのCISOに関する講演でした。タイトルをそのまま見ると、標的型攻撃ではない無差別型の攻撃がどのように標的型攻撃(APT)に変化するかということを論じるという内容でしたが、とあるブラック・マーケットの分析に比重が行われています。(このマーケットにおいて掌握された端末が売買されているため、それを利用することでAPTに脅威が変化していくという論理展開でした。)
ブラック・マーケットの分析を詳しくみることは少なく、具体的な手法がわかったため非常に面白い発表でした。興味があるかたは上記に貼り付けられている動画の4:15:00ぐらいから発表されますのでご覧ください。
The emerging threats posed by augmented reality gaming
IngressとPokemon Goにまつわるセキュリティ・プライバシー周りの話です。Ingressを中心に通信内容を解析して、どんな問題があるか詳細な分析を行っていました。C2DMが終了後も使われていることを指摘していたり、どんなプライバシデータがサーバに送信されているかが分析しており、その緻密さが目立つプレゼンテーションでした。Pokemon Goのセキュリティを知りたい人は一度見ておくと良いと思います。
上記に貼り付けられている動画の5:15:00ぐらいから発表されますのでご覧ください。
Powershell-fu: Hunting on the Endpoint
最近流行しているPowerShellを使ってThreat Huntingできるフレームワークを作成したという話でした。意外と面白いコンセプトなので、興味がある方はプレゼンテーションの資料をご覧ください。
Hunting high-value targets in corporate networks
PCIのペネトレーションなどを実施している人たちが、企業ネットワークからどのように高付加価値なターゲット(クレジットカード)を見つけるかというテーマで解説を行っていました。少し古いですが、同じプレゼンテーションを見つけたので、興味がある人は以下を参照してください。
なお、個人的には、「スキャンして出てきた結果を検証するのはペネトレーションテストとは言わない」といっている点同感できる点で、面白かったです。
Building an EmPyre with Python
Veris Group ATD(Adaptive Threat Division)の発表でした。ATDはVerisフレームワークと呼ばれるペネトレーションテスト用のフレームワークを開発したチームでPowerShell関連のツールを中心にかなり色々なツールを開発している有名なグループです。
彼らが開発したツールのひとつにEmpireという比較的アメリカでは有名なPost-Exploitationツールが存在します。
今度は、Apple OS Xなどに対応するためにEmpireのPythonl版であるEmpyreを作ったというプレゼンテーションでした。
細かい点については、資料をよんだほうがわかりやすいので、こちらを参照してください。
まとめ
BSidesLVは非常に面白いカンファレンスでした。普段は東海岸のカンファレンスを中心に参加していますが、西海岸に来ると少し雰囲気も変わりますし、トピックも変わりますのでそういう意味で色々と学びが多いカンファレンスでした。
