CODE BLUE 2018 レポ #codeblue_jp

CODE BLUE 2018 というセキュリティに関するカンファレンスに行ってきたのでレポート

codeblue.jp

 

1階でブース出展してて、ブース内で説明員しつつ

人員がだぶついてきたら、たまに公演を聴きに行くというスタイル

 

日本のカンファレンスだけども、講演者は英語なことが多め。

ただ同時通訳者がいて、ラジオみたいな機械のイヤホンで聞くことができる。

 

以下、聴いた講演のざっくりまとめ

 

基調講演:Cyber Arms Race

セキュリティエンジニアがこれからどういう役割を担っていくのかって話

 

お金を盗むならたくさんお金あるとこがいいが、銀行はセキュリティがかなり万全になってきた。
というわけで最近の標的は仮想通貨や新興fintec。銀行より楽で額は同じ。

北朝鮮とかは国単位でお金盗もうとしてるよね。

 

スパイ活動はオンラインに移ったのではない、オンラインに広がったのだ(エモい)

 

水陸空に加えてオンラインが加わったということ。
例えばロシア対ウクライナでサイバー兵器が使われてる。
効果的で安いし、誰が使ったかわからないのがサイバー兵器の素晴らしい点

 

一度攻撃が成功すると、森林火災のように感染が広がって4000台が一瞬で死ぬ
リモート接続できないので、サーバのあるとこに行かないといけなくなる 

時間はかかるわ人員確保できないわで大変。

ウクライナの企業だけでなく、ウクライナと取引をしてた企業にまで被害
ウクライナでビジネスをするとサイバー攻撃されるぞ、という攻撃者からのメッセージ。攻撃が大成功してますよね。 

 

企業がハッキングされたことの気づくのに平均200日かかる。

最近の狙いはIoT機器。

冷蔵庫がハッキングされても別に問題ないわ、と思ってる人も多そうだが、攻撃者は別に冷蔵庫の中身に興味があるわけではなく、そこからネットワーク全体への攻撃起点として使う。

給湯器に組み込まれたコンピュータをDDos攻撃のメンバーに加えたりする。

ALL COMPANIES ARE SOFTWARE COMPANES だ

 

そんなエモエモな感じの講演。Twitter見てる感じ、刺さったセキュリティエンジニアのひと多めだった気がする。

 

 

Windowsの不正ログインを発見する

JPCERTの人による講演

年間2万のインシデント報告を受けているが、いろんなサーバとかに感染がひろがってるので原因究明が大変

Active Directoryのイベントログを分析して、侵入されたホストを特定していこう。

 

で、いざ調査となったときに
・Pass the Ticketではwinにログオンのログが残らない
・イベントビューアでインシデント調査は大変
・イベントログのデータサイズ多いので検証大変
・SIEMでは統計は見やすいが不正なログは見つけにくい


不正なwinのログオンを見つけるには
1ホスト1アカウントなら複数ホストへのアクセスがあったときに、視覚化しているとすぐわかる。
でも、実際やってみると可視化もごっちゃごちゃしてる。
可視化はサポートにはなるが、完璧なソリューションではない。


疑わしいものを自動でリストアップする仕組み→自動分析させたい。
Lateral Movementの共通点は2つ。
・コマンドを使う。ドメイン管理者をつかう
・同じアカウントでログオンを繰り返す
共通点を自動分析に適用してみよう


たくさんのホストにログインしている→あやしい→ネットワーク理論の中心性を使えば抽出できるのでは
Windowsログオンは3つの状態を持つので、隠れマルコフモデルをつかって状態遷移のエラーを把握する


そうしてできたのがLogonTracer。使ってみてね。

github.com

 

 

GLitch: WebGLを使って携帯電話を攻撃する

WebGlでメモリアクセスしまくってビット反転をできないかという内容

JavaScriptはモバイルで動く。

WebGLならGPUを動かせるので、新たなAttackVectorになりうるぞ!という注意喚起の講演。

 

契約に関わるセキュリティの罪の十戒

契約書にセキュリティの条項がないと、後々つらいよって話。


セキュリティには開発の時から考えておく。
セキュリティはITビジネスの本質に関わってくる。


多くの契約書には〝カスタマーのセキュリティ方針に準拠する〟と書いてるが、実際の運用は適当。

セキュリティポリシーのバージョンや該当する箇所が収められている場所も特定されていないことがほとんど。

なんなら、相手のポリシーをだれも読んでないことすら多々ある。

 

そして、セキュリティポリシーを更新したときどうするのかを前もって決めておく。

でないとポリシーがかわるたびに説明・交渉しにいかないといけない。ほんと大変。

説明や交渉、アップデートしたときにかかるコストが誰にかかるのかを考えないといけない。

GDPR PCI-DSS とか に準拠する、と書いてるときも多々あるが、こういった基準が適用するスコープ・範囲を定義しておく必要があるのと、基準が更新されたときにどうするのか、更新にかかる労力も誰が負担するのか考えておかないといけない。


盛り込まないでほしい言葉 → ベスト・プラクティス


誰が・どうやって・どのくらいの頻度で、ということを侵入テストや監査に対して決めて置いて、きちんと境界線を決めておかないといけない。

監査の頻度や作業量、超過時間のコストをだれが負担するのか。
本番に対して侵入テストしてもいいのか、devに対してだけなのか。
侵入テストでやっていいことやってはダメなこと。


例えば、本番に侵入テストをしてはいけないが侵入テストをしてしまったみたいなケースが過去あって、
で、脆弱性を衝いて侵入できてしまった。こういうときどうなるのか。


必ず問題は起きる。

どうせエスカレーションのときに関わることになるんだし、契約書作成の段階から関わろう。契約書のテンプレートを作る段階から関わっていこう。

いい契約書はデリバリする人が関わって作られた契約書。

 

サイバー防御に活用できるOSINTの手法と実践

公開情報を見て脆弱性対策するにはどうすれば?という講演

OSINT = 公開情報をもとに作られる読み手に合わせたインテリジェンス

広く浅く情報を収集して、(ソースが公開情報なので)コミュニティに反映できるのがOSINT

 

なんてFaxだ?!

Fax機能付き複合機の脆弱性をついて、つながってるWindowsの「電卓」アプリをリモートから起動するまでのデモ。

CVE-2018-5924、CVE-2018-5925 についての詳細な説明。

 

Microsoftのコンタクトページやトランプ大統領のページにもFax番号書いてる。

なんで2018年にもなって、みんなFax使ってるの?


Faxを使わないなら電話回線から外しておく。
そして、Faxは独立したネットワークに置いておく。

 

感想

f:id:alfe1025:20181101120827j:plain

今回 CODE BLUE初参加だったんですが、やばい人がやばいほどいる、みたいな語彙力皆無な感想しか出てきませんでした。

コードをバイナリから読んで、バイナリ見るだけでファイルの拡張子把握できて、メモリ領域に何が入ってるか把握してて、GPUやIoTといった発展途中のものからFaxみたいな枯れ切った技術にまで脆弱性を見つけてエクスプロイトする。そんなひとがごろごろいるわけですよ。なにそれこわい。

冗談抜きで、参加していたエンジニアが力を合わせたら一国のインフラ滅ぶと思う

 

WebGLすらThreejs経由な、アセンブリも大学でちょっと勉強しただけ、というアマチュアエンジニアなので、もうすこし低レイヤーについても学んでおかないとなぁって思いました。まる。

 
blog.alfebelow.com

10月に読んだ本

いつもの。

全米は、泣かない。 伝え方のプロたちに聞いた刺さる言葉のつくり方

全米は、泣かない。

全米は、泣かない。

 

広告で賞を取った芸人がさらなるスキルアップを図るため広告業界の凄腕たちにインタビューをするという内容。

広告をかじった人がインタビュアーだからこそ聞き出せたコピーライターのノウハウがたくさん。

普通にいい本なのに、タイトルと表紙で損してる気がする。

インタビューしたコピーライターに作ってもらえなかったの・・・?って気持ち

 

 

細菌が人をつくる

細菌が人をつくる (TEDブックス)

細菌が人をつくる (TEDブックス)

  • 作者: ロブ・ナイト,ブレンダン・ビューラー,山田拓司,東京工業大学山田研究室
  • 出版社/メーカー: 朝日出版社
  • 発売日: 2018/06/02
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログ (1件) を見る
 

TED Booksの存在をこの本で知った。

人と常在菌について。最近話題の細菌叢とかマイクロバイオームとか。

右手と左手で済んでる常在菌が違うとか腸内細菌による不安症状の改善とか、試すならランダム化プラセボ対照実験を行ってるプロバイオティクスを行ってほしい、とか。

常在菌の基礎を知れる良書。最近関係を学ぶ初めの一冊としてオススメ。

 

ベースになってる動画はこれっぽい

www.ted.com

 

知りたいタイポグラフィデザイン

知りたいタイポグラフィデザイン (知りたいデザインシリーズ)

知りたいタイポグラフィデザイン (知りたいデザインシリーズ)

 

タイポグラフィについての本。

フォントやジャンプ率みたいな話から、見出しデザインのアイデアや目を惹く文字デザインまで。

デザイン資料として役立ちそう。

 

新・日本のお金持ち研究

新・日本のお金持ち研究 (日経ビジネス人文庫)

新・日本のお金持ち研究 (日経ビジネス人文庫)

 

 
日本の金持ちの特徴をデータ等を示して分析する本。

どのあたりに住んでるのかとか学歴はどのあたりなのかとか。

『となりの億万長者』のローカライズバージョン?みたいな感じ。

 

 

食育のウソとホント 捏造される「和食の伝統」

食育のウソとホント 捏造される「和食の伝統」

食育のウソとホント 捏造される「和食の伝統」

 

 
昔は○○だった、××は伝統食、という話を大正時代の料理月刊誌や戦前の雑誌をもとにバッタバッタと切っていく料理エッセイ

 

浅利妙峰が伝えるはじめての糀料理

浅利妙峰が伝えるはじめての糀料理

浅利妙峰が伝えるはじめての糀料理

 

糀のレシピと糀についての知識。

ごはんに大匙一杯の塩糀を入れて炊くと傷みにくいとか、ひき肉に塩糀いれて日持ちさせるとか

もっと雑に麹菌つかいたいと思っていたときに読んで、結構参考になった。

 

手づくりインテリア D.I.Y.PROJECT!! 

手づくりインテリア D.I.Y.PROJECT!!

手づくりインテリア D.I.Y.PROJECT!!

 

DIYインテリアの本。

前半が作例。後半がステップバイステップで工具の使い方に始まり、箱や棚の作り方、ドアの張り替え方など具体的な手法。

DIYやってみたいという人におススメできる本

 

情報爆発-初期近代ヨーロッパの情報管理術

情報爆発-初期近代ヨーロッパの情報管理術 (単行本)

情報爆発-初期近代ヨーロッパの情報管理術 (単行本)

 

印刷が発明されたとき人々がどのように情報管理を行っていったかについて。

情報過負荷といった語が過去にも発生していたこと、なじみのある情報整理術は過去の情報爆発に対応するために発明されていたことがわかる

 

前に読んだ本

blog.alfebelow.com

 

blog.alfebelow.com

 

 

#技術書典5 の気になってるブースをただ並べるだけ

タイトルの通り

今回から秋葉原開催ではなく、池袋サンシャインシティ2Fというところが会場。

サンシャインシティ行ったことないので、あとでぐぐる。
ただサークル数とか見るにすごく広そう。

ガチャポン会館前の雑居ビルでやってた第一回と比べるとすごい成長ぶりですよね

 

今回もWeb技術・Unityについての本を買いたいなと思ってる

 

虎の穴ラボ ス08

虎の穴が初出展。普通に気になる。

そもそも虎の穴に技術部門とかあったのかと思ったが、そういえばFantiaとかあるしお世話になってたすいませんってなった。

 

毬栗ロマン あ01

WebXRの現状確認 2018 Autumn を確認しておきたい

 

TechBooster あ11

ここは新刊の確認必須

 

ひかる黄金わかめ帝国 あ12

 この本1年前にほしかった(くろうした


さいたまぷらねっと い11

「vtuber運用など」 とだけ説明文に書いてる

たぶんこの子の運用とかの本なのかなぁ

twitter.com

 

Outlaw Tech い12

VRMファンブックらしい。

出たばかりのころほんのちょっとだけVRM触ったんだけど、それっきりなので発展具合を知りたいとこ

 

コンテンツマーケティング協会 い17

 ここの既刊の『このVRがすごい!―VRSF―』という同人誌を冬コミで買ってすごく良かったので今回の新刊も楽しみ

 

Monochrome う07

GatsbyJSをメインに、React, GraphQL, StyledComponentsなどを活用した静的Webサイト構築の基礎とのこと。

ポートフォリオページつくるのにGatsbyJSが便利らしいので勉強したい

 

肉と鍋 う20

 時代は酵素らしいので、酵素についての知識を手に入れて2kg950円の冷凍鶏肉をもっと美味く調理するのです。

 

chipcodesign う41

 同人誌表紙デザインアイディア集が気になってる

 

embryo う42

一貫性のあるユーザーインターフェースを効率的に開発するためのデザイン設計について

最近デザイン側の知識を要求されることが増えてきたので、デザイン設計についても知っておきたい

 

Indie Visual Lab か58

 Unityでかっこいいの作る技法の情報

 

空想工学舎 か71

 WebXR Device API。遊べそう。

 

バーチャルニート き27

 yui540さんのCSSアニメーションが気になりすぎるので買う

 

株式会社オライリー・ジャパン け30

終盤に見に行くとこ。

 

こんのいぬ け55

技術書典でwebアクセシビリティってあまりお見かけしない気がした

アクセシビリティ対応に役立つソフトという章が気になってる

 

火薬400g こ09

アンチドローンについて。

サークル主がセキュリティ界隈で有名な人だったりするので内容にも期待。

 

Firebase Japan User Group こ40

Firebaseはちょっとさわっただけでも便利さわかるので、機能をいろいろ知っておきたい

 

 おまけ

 これも気になってるんだけども、ある相手がいないなって・・・