「Black Hat Japan 2008」お疲れ様でした

Event

http://www.blackhat.com/
本当に嵐のような1週間でしたが、無事終了しました。関係者、参加者、スピーカーの皆様、本当にお疲れ様でした。
今回、スピーカーという形で初めてBlack Hatに参加したのですが、事務手続きや案内など、あらゆる面で英語漬けなので、本当に疲れました。発表が終わってもほっとする間もなく押し寄せる海外のスピーカーや参加者。英語で会話しているid:kenjiaikoさんやKanatokoさんが本当にかっこよく見えました。海外旅行に行ったとき以上に英語にどっぷりの生活だったように思います。せっかく自分の発表に興味を持ってくれたり、もっとアイデアをもらえたりする機会なのに、英語ができないというだけでめちゃくちゃ機会を失ってるんですね。もったいない。これまで、海外旅行から帰ってきた瞬間に英会話を習い始める人を見て「遅いよ。何なんだよ」とかちょっとだけ思っていたのですが、ごめんなさい。できるだけ早く英会話に行こうと思います。
それはともかく、以下聞いたセッションの感想です。

Get Rich or Die Trying the Black Hat Way 金持ちになれ!だめなら目指せ!

とあるショッピングサイトで商品を決済した瞬間に同時にキャンセルをクリックすると、商品は送られてくるのに支払いが発生しないことに気付いた女性の話をはじめ、アフィリエイトで儲ける、上場企業のWebサイトから未発表のプレスリリースを見つけるなど、高度な技術ではなくちょっとしたテクニックを如何に金儲けにつなげるかという話。発表自体はともかくとして、発表者のArian Evansさんはエンコーディングに依存したセキュリティ問題やIEのContent-Type無視などを何年も追いかけてきたという方で、私の発表にも強く興味を持ってくれたようで、「同じ方向で研究している人間を始めて見た!」と言ってもらいました。こういう、人と人のつながりが生まれるというのもBlack Hatの魅力ですね! (そのためにも英語勉強しないと…)

ePassports Reloaded 電子パスポートの現状と将来

パスポートに埋められているICチップ内のデータ構造や書き換えのデモなど。実際に写真データをキティちゃんにした「日本仕様」のパスポートなどを見せていました。途中までいまいちピンと来なかったのですが、ヨーロッパだとEU加盟国内はパスポートなしで移動できるので、1箇所でもセキュリティ上弱い国の入り口があると、そこが全ての国の弱点になってしまうということで、日本とは比べ物にならないくらい緊張感があるのだなと話を聞いて合点がいきました。

Attacking with Character Encoding for Profit and Fun 趣味と実益の文字コード攻撃

私の発表。新ネタを交えつつも、基本的にはこれまでどおりの話。90分という枠に対して70分くらいで終わってしまったのですが、Dan Kaminskyも満足してくれたみたいなのでまぁいいかというところです。日本国内だと文字コードの話なんてどこにでも転がっている気がするのですが、やはり海外の方にとっては新鮮だったようで、このネタを選んで正解だったと思いました。

Threat Gallery of Japanese Landscape 2008 日本に迫る脅威〜SOCからみた景色〜

LACのJSOCでの監視を通じての動向報告。SQLインジェクションの攻撃元が特定の日を境に中国から世界各国に移動した(使われているbotネットが変わった?)など。個人的には、攻撃者が如何にIDS/IPSの検知を避けるかにすごく労力を割いているという点が斬新でした。ちなみにJSOCで観測されるXSSに関しては、国内からのいたずら半分(SQLインジェクションのような本当の攻撃ではない)と思しき攻撃が70%を超えているそうで…。

New reverse engineering technique using API hooking and sysenter hooking, and capturing of cash card access APIフックとsysenterフックを利用した新しい解析テクニックと、キャッシュカードアクセスのキャプチャリング

直前になってスピーカーとして登壇することが決まったために準備不足の感は否めないものの、内容的にはすごくおもしろい発表でした。sysenterフックと呼ばれる方法でcrypto系のAPIをフックすることで、https通信の内容もキャプチャできる、とあるICカードではチャージした金額情報がWebサイトからhttpsを通じて送られてくる、なのでその金額情報を書き換えれば…という話。自分だったら Fiddler か Doorman@JUMPERZ.NET を使うところですが、APIフックもいろいろ応用が利いて楽しそうなので、ちょっとマジメに勉強しようと思いました。

Understanding Targetted Attacks with Office Documents Officeドキュメントを使った攻撃を理解しよう

Microsoft SWIのBruce Dangさんによる発表。PowerPoint Presentationファイルのフォーマット説明から始まり、そこに攻撃コードが仕込まれている場合にどうやって効率的に攻撃コード部分を探して動作を把握するかという話。Office 2003 SP3 や Office 2007 はかなり安全だそうで…。

The Internet is Broken: Beyond Document.Cookie インターネットは壊れている:Document.Cookieのむこう側

GIF画像でもありJava Appletでもある"GIFAR"ファイルを作る。とあるIMクライアントは話しかけたときにアバター画像がキャッシュされるフォルダが固定である。なので、アバター画像にGIFARを設定して適当なユーザにIMで話しかけると、その相手のローカルにJavaアプレットを送り込むことができる。さらに、Eclipseのヘルプのようにローカルで動作しているWebサーバにXSSがあれば…。という、個々の問題を見るとそれほど大きくないが、それらを組み合わせることで可能性が広がりまくりんぐな怖い話。個人的には一番ツボでした。

どのセッションもめちゃくちゃ楽しい話で、参加して本当によかったと思いました。ちなみに、最後に提出したアンケートを引いて、1等:Black Hatイベント全額無料、2等:50%オフ、3等:25%オフのディスカウントが当たるくじ引きをやっていたのですが、見事に3等が当たりました。

関連: ハッカージャパンブログ 5分でわかる(?) BlackHat Japan