PacSec2007

桜井さんのご好意により、11月29日, 30日に行われた、PacSec 2007というコンピュータセキュリティに関するカンファレンスに参加してきました。このカンファレンスは、日本以外でも、カナダ(CanSecWest)、イギリス(EuSecWest)で行われているようです。また、カンファレンスに先立って、27日、28日にはセキュリティ・マスターズ道場と題したトレーニングも行われていました。

自分はセキュリティ情報はあまりウォッチしておらず、苦手な分野ではあるのですが、その分知らないことだらけでとても新鮮で、刺激的なカンファレンスでした。内容の半分も理解できていませんが。

特に興味深かったセッションと簡単なメモです。（メモしたファイルは会社の PC にあって今見られないので、記憶を辿りながら書きます。間違いが多かったらすみません。）

• Microsoft Officeのゼロデイと悪いヤツら - Takumi Onodera Microsoft
  • Microsoft Office セキュリティに関する話。
  • SDL(Security Development Lifecycle)という言葉をはじめて聞いた。
  • Process Explorer とか Process Monitor というツールをはじめて知った。
  • これらのツールをつかって、不正なバイナリコードが埋め込まれた PowerPoint ファイルを開き、不正コードへのファイルへの書き出しや実行が行われる様子を具体的に見ることができておもしろい。
  • 「攻撃を防ぐための完璧な対策はない。攻撃される可能性を減らすための対策を積み重ねていくことが重要」
• TOMOYO Linux: Linuxサーバを理解し守る実践的な手法 - Toshiharu Harada 株式会社NTTデータ
  • 専用のポリシーエディタが付属しており、init からはじまるプロセスが起動された状態をツリー構造で表示したり、各プロセスが読み書きするファイルを表示したり、各プロセスごとにアクセスポリシーを設定したり、ということができる。
  • SELinux はめんどくさすぎて使う気にはなれないけど、TOMOYO Linux のポリシーエディタは使いやすそうだ。
  • 同じプロセスであっても「どのプロセスから起動されたか」によって別々のポリシーを設定することもできるらしい。
• Agent-oriented SQL Abuse - Fernando Russ & Diego Tiscornia, Core
  • Core Security Technologies という会社の人がスピーカ。
  • Python でできた、SQL を HTTP リクエストに変換して、SQL インジェクションのペネトレーションテストを行うためのフレームワーク。
  • 残念ながら、ソースは公開されてなさそう。（おそらくこのツールによる自社の優位性、というのもあるだろうし、悪用される恐れもあるだろうし。）
  • 他のセッションでも、Python で作られたツールの話があった。セキュリティ分野は Python がよく使われてるのかな？
• Fuzzing Frameworks, Fuzzing Languages!? - Stephen Ridley & Colin Delaney, McAfee
  • Fuzzing というテスト手法ははじめて聞いた。
  • Ruxxer という Fuzzing のためのフレームワーク。
  • 従来のツールは「使いやすいけど機能に乏し」かったり「機能は豊富だけど使いにくい」という問題がある。
  • それを解決するために、独自の言語を定義することによって「使いやすさ」を提供し、Python API によって「豊富な機能」を提供。
• Developing Fuzzers with Peach - Michael Eddington, Leviathan Security
  • Peach というツール。こちらも Fuzzing のためのフレームワーク。これも Python 製らしい。
  • Windows 上で動く GUI ツール。
  • Python APIや C, .NET, Java, COM, XPCOM のバインディングもある。

PacSec 2007 に関するインタビュー記事も見つけたので載せておきます。

• http://itpro.nikkeibp.co.jp/article/Interview/20071121/287737/
• http://japan.zdnet.com/sp/interview/story/0,2000056426,20361870,00.htm

主催の Dragos さんと軽く話をしたのですが、現地の運営スタッフが足りない、と嘆いていました。なので、来年はぜひ運営のお手伝いをさせてもらおうかな、と思っています。もし、運営スタッフやってもいいよ、という方がいらっしゃいましたら、gosukenator at gmail.com までご連絡ください。

参加者は半数ぐらいは海外の方で、懇親会では更に海外の方の割合が増す、という状態でしたので、海外のセキュリティエンジニアとお友達になりたい方にはチャンスですよ。

自分は Apache::SMTP という Apache を SMTP サーバにしてしまう mod_perl プログラムを書いてる方（ActiveState にいたこともあるそうです）や、OpenBSD の pf 開発者の一人である Ryan さん（Puppet の OpenBSD まわりのメンテもしているそうです）とお話することができました。

が、自分の英語力不足もあってあまり深い話はできなかったので、iKnow!で英語勉強します。（英語だけじゃなく、セキュリティ関連の知識不足もありますが…）