スピーカー

APTのDNAクラスター分析と防御のカンフー

by Anthony LAI & Benson Wu & Birdman

我々アナリストはマルウェア分析に忙しく、ドアを閉めて部屋に引きこもってはマルウェアのリバースエンジニアリングと行動分析に没頭しています。しかし、アナリストたちは企業や組織がAPT(Advanced Persistent Threat)つまり「標的型攻撃」に苦しめられているのを知っていますか?

我々はMilaのサンプルアーカイブに対する研究をしており、本講演では最近のAPT"ギャング"のクラスター分析、また、我々の独自解析手法で添付された情報がAPTかどうかの判断または付属のアンチウィルスソフトに依存しない形でメールボックスから隔離する研究内容を紹介します。

アンチウイルスソフトウェアがこれらの脅威から保護してくれていると過信している方はぜひ我々のセッションにご参加ください。

Anthony LAI (aka Darkfloyd)氏は、コードオーディット、ペネトレーションテスト、犯罪調査および脅威分析の分野で活躍、様々なMNCのセキュリティ・コンサルタント。Blackhat 2010年およびデフコン18・19では中国のマルウェアおよびインターネット検閲に関して発表経験を持つ。彼の現在の興味は、エクスプロイトの研究、リバースエンジニアリング、脅威の分析、そしてCTF参加である。APT(Advanced Persistant Threat)分野とマルウェア分析における中国からのセキュリティの風を送り続けることがいい結果をもたらすと信じている。 彼は香港でVXRL(Valkyrie-X Security Research Group)を創立し、多くの尊敬すべき研究者やハッカーたちとともにつながりともに研究することを望んでいます。(Twitter: : anthonation / Facebook : Anthony LAI)

Benson Wu氏は、APT(Advanced Persistent Threat)検知と対策、コードレビュー、セキュアコーディング、SDLCプロセス実装を主に研究。 国立台湾大学にて電気工学の博士号、国立交通大学にてコンピュータサイエンスの理学修士を取得;ECSP、CEI、CSSLP認定書を保有。 現在、彼はXecure Lab のリードセキュリティリサーチャー、および台湾中央研究院の情報技術イノベーションに関するリサーチセンターで博士課程修了者として研究に従事している。 NIST SATE 2009、DefCon18(Birdmanと共同)、OWASP China 2010、BoT2011(Botnets in 台湾)、HIT2011(Hacks in Taiwan)などで講演経験がある。 著書に2007年から続けている台湾政府向けの「Web Application Security Guideline」がある。

Jeremy Chiu (aka Birdman)氏は、Win32とLinuxのカーネル技術に注目したホストベースのセキュリティに関する10年以上の経験を持つ。 2001年初頭に彼は台湾で初めて広範囲に拡大したトロイの木馬「BirdSPY」を作成した。 彼は現在、警察、情報機関との契約講師であり、DefCon(18 19)、SySCAN(08 09)、Hacks in Taiwan (05 06 07)、OWASP Asia(07 08)での講演経験を持つ。 2005年、彼は X-Solve Inc. を設立、フォレンジックとアンチマルウェア製品の開発に成功する。 2007年7月、X-Solve Inc. はArmorize Technologies に買収される。 その後、彼は2010年10月に Armorize から独立して新しい研究チーム「Xecure-Lab」を設立した。

確実に壊れたチップとPIN:EMV POS端末でのプロトコール及び物理的解析

by Andrea Barisani & Daniele Bianco

世界標準のEMVではICキャッシュカード、ポスシステムディバス等電子入出金で広く利用されています。

盗まれたカードで使われる複数の脆弱性を発表したケンブリッジ大学のMurdoch氏およびDrimer氏研究チームの研究成果を受けて、本稿ではPOS端末におけるスキミング及び偽造キャッシュカードの実行可能性ついて説明します。

また、EMV上の暗証番号(PIN)保護の欠点を詳細に分析し、スキミングプロトタイプを使ってカードのいかなる設定に関わらず、密かにクレジットカード情報だけではなく暗証番号の取得する方法を説明します。

我々が発表する最新の研究内容では幅広く利用されているPOSターミナルの耐改ざん性センサーの設計及び実装また効果に関し発表し、幾つかの異なった、回避策や物理的侵害を可能にする技術を例証します。プレゼンテーションをより興味深くする為にビデオや手作りギアを使って説明します。

Andrea Barisani氏はセキュリティコンサルタント及び研究者です。 10年前からセキュリティーキャリアを始めましたが、10歳の時には家にCommodore64があり、コンピュータに興味を持ち始めました。 それから18年後の現在、大型IDS/Firewallの配備及び管理、デジタル鑑識、脆弱性の解析、挿入テスティング、セキュリティートレーニング、OSS開発等を楽しんでいます。様々な経験を経て自分の懐疑心を落ち着かせるのにはシステム管理とセキュリティ管理しか無いと言う結果にたどり着き、国際的なOSSコミュニティに置いて積極的に活動する開発者として様々のプロジェクトをサポートし、tenshi,ftesterアプリケーションの開発を行っており、oCERTというOSSでのCERT(Computer Emergency Response Team)を設立しました。 Gentoo Linuxセキュリティチーム及びインフラチームをサポートし、OSSTM(Open Source Security Testing Methodology Manual)も関わって、ISECOMコアーチームにも参加しています。 コミュニティー以外ではイタリア企業に対してコンサルティングを行っており、Inverse Path Ltd.にて設立メンバー兼チーフセキュリティーエンジニアとして活躍しています。TEMPEST攻撃、SatNavハッキング、0-day, LDAPなどに関してほPacSec, CanSecWest, BlackHat, DefCon等でスピーチ及びトレーナーとしても活躍しています。

Daniele Bianco氏は大学入学当初から複数の科学的団体でシステム管理者及びITセキュリティコンサルタントとして活躍しました。 オープンソース環境での中央管理及びソフトウェア総合の興味からR&Dインフラの設計や開発に全力を尽くしました。 ハードウェアや電子機器をいじる事が昔からの趣味のひとつでした。現在、国際的コンサルタント企業のInverse Pathでハードウェアハッカー専門家として活躍しており、組み込みシステムのセキュリティー及び電子ディバイス保護や改ざん防御手法の研究を行っています。Bianco氏は多くのITセキュリティーイベントでプレゼンをしており、彼の業績は多くのマスメディアでも取り上げられています。

「サイバー・クライム」の内側

by 福森大喜

書籍「サイバー・クライム(ジョセフ・メン (著), 福森 大喜 (監修), 浅川 佳秀 (翻訳) )」で明かされなかったサイバークライムはまだまだ存在します。

・本当にロシアはサイバー犯罪大国だったのか?

・現在のサイバー犯罪は中国の仕業なのか?

・日本のサイバー犯罪対策は遅れているのか?

本講演では上記の点について言及します。

福森大喜氏は、IDS、IRT、Webアプリケーションセキュリティなどに従事した後、現在はマルウェア解析の延長で、その背後に潜む犯罪組織の調査も行っている。 RSA CONFERENCE JAPAN, POC(Korea), Security Solution, Shibuya.pm, AVTOKYOなどで講演経験がある。監修に「サイバー・クライム」(講談社)がある。

Facebookを安全に利用するための方法とは?

by 守屋英一

Facebookでは、実名・経歴・趣味・家族構成等多くの情報を登録することが出来ます。しかし、設定を誤ると情報が漏洩し、プライバシー侵害つながる恐れがあります。そのため、Facebookの安全な利用するための方法について、 私の失敗談を交えながら解説させて頂きます。

こんな方にオススメです。

    • Facebookによる個人情報の漏洩に不安をもたれている方

    • Facebookのセキュリティ対策に興味のある方

    • Facebookを最近はじめた方

守屋英一氏:2001年にインターネット・セキュリティ・システムズに入社、10年間セキュリティ・オペレーション・センターの運用責任者としてIPS/FWの運用監視および企業で発生したインシデント対応を担当する。2011年より、社内で発生したセキュリティ事件・事故対応およびISMS内部監査員当の業務を担当する。専門分野は、コンピュータ・セキュリティに関する研究、海外セキュリティ動向調査、インシデント対応業務など。社外活動実績:2011年IPA情報処理推進機構「脅威と対策研究会」構成員、2010年内閣官房情報セキュリティセンター「ウイルスの振る舞い分析」構成員、IPA情報処理推進機構「10大脅威」 構成員、サイバークリーンセンター「Botウイルス実態調査研究」。執筆活動:日経ITProの「今週のセキュリティチェック」および日経パソコンへの寄稿

SQLインジェクションの過去と未来

by Orange

SQLインジェクションはWebセキュリティ分野において10年ほど前から問題になっていますが、あらゆる人々およびスクリプトキディ達は自動ツールを使うなど同じ方法でWebサイトを攻撃しています。私が紹介するトピックはMySQLの主要な部分、特に人々に有名なSQLインジェクションのいくつかのトリックについて触れています。本稿では、第1章としてまずSQLインジェクションの中でデータを取得するいくつかのトリックを紹介します。ブラインドインジェクションが可能な場合は有効な方法です。そして第2章としてMySQLトリガーをエクスプロイトする方法を紹介します。その方法では、UPDATE、INSERT、そしてシステムコマンドなど、いくつかのSQLセンテンスを含むインジェクションを実行します。

Cheng-Da Tsai (aka Orange)氏は、Net-Hack (http://www.net-hack.com) 脆弱性研究所のセキュリティリサーチアシスタントであり、カレッジの学生であり、台湾のCHROOTセキュリティグループのメンバーである。WebセキュリティとWindows脆弱性エクスプロイトリサーチを専攻する。ペネトレーションテスト、Webアプリケーションセキュリティ、リバースエンジニアリング、ファジングなどに興味を持つ。もっとOrangeのことを知りたい場合は右記URLを参照のこと!(http://about.me/Orange.tw)。

センサーデータとプライバシー

by 服部 祐一 (Eidwinds)

近年,スマートフォンの普及により、GPSや加速度、ジャイロといったセンサデータが容易に取得できるようになり、センサを利用したアプリケーションも次々と登場している。それらのアプリケーションは有用なものも多いが、収集されたセンサデータからは何がわかるのだろうか?今回はセンサデータからわかる所有者の行動について発表する。

服部祐一氏:九州工業大学大学院工学府先端機能システム工学専攻 博士後期課程 在籍。セキュリティキャンプ2006 卒業生。セキュリティ & プログラミングキャンプ2011 チューター。北九州情報セキュリティ勉強会「セキュ鉄」主催者。TwitterID: @Eidwinds

PART1: スリープハッキング:CTFのための眠りを最適化する方法

by Benny K.

ヒトは単相睡眠サイクルに適応している唯一の生き物ですが、かつてヒトは多相睡眠サイクルパターンをとっていました。ヒトは現代の多忙な生活を短い睡眠とカフェインで乗り切っています。本講演では、睡眠がどのような影響を与えるか、多相睡眠サイクルタイプの違い、睡眠のハッキングと利点について解説します。特にCTFプレイヤーにとっては競技中の睡眠時間と競技時間のバランスの取り方を学ぶことができ、彼らの集中力やパフォーマンスの向上に有用です。

PART2: ハニーポットへのヒッチハイクガイド

by Benny K.

ハニーポットはマルウェアをキャプチャするいいツールです。本講演ではハニーNETプロジェクトの便利なツールとクラウド環境でセンサーを稼働する方法について紹介します。マルウェアのキャプチャでなにができて、安全なインターネットへどのように貢献するのかについて議論します。最後に、新しいハニーネットジャパンチャプター(Honeynet Japan Chapter)について少し紹介します。

Benny K.氏は10年ほどITセキュリティ業界に従事、最近東京に活動拠点を移す。ベルギーのセキュリティカンファレンス「BruCon」の共同創立者であり、世界各地を訪れる「Hackerspace」やハッカーカンファレンスに活動的に参加している。彼はセキュリティとハッカーコミュニティの橋渡しすることがいいことだと信じている。Twitter中毒者で彼のTwitterIDは「@security4all」である。

神谷 造氏:NTTソフトウェア研究所入社後、グループ会社に出向そこで開発標準の整備、 ソーシャルメディア、3D映像配信等のパッケージ開発に従事、その後2008年から NTT-CERTのメンバになる。CSIRT業務では主に脆弱性情報配信と対外組織の窓口 業務を行う。現在NTT-CERTのRep.。

コンピュータに萌えを教えてみたよ

by 愛甲健ニ

機械学習を用いて「萌え」を判定できるか試しました。

愛甲健二氏:セキュリティエンジニア。http://ruffnex.oc.to/kenji/の管理人。

パネル1:アノニマスとAPT、どうしてこうなった

by パネラー 北河拓士、根岸征史

得体が知れないグループ、組織が蠢く現代のネット社会。これまでの類型には当てはめることができないその活動に、最も価値観を揺さぶられているのは既存メディアだろうか。そして暴走するAPTというワード。果たして本当にStuxnetはAPTなのか? 本セッションでは混沌としたネット世相や事件、セキュリティ報道をサカナに、ウォッチャーとしてすでに名高い(?)北河拓士と根岸征史が斬りまくる。

北河拓士氏 : 某SOCにて脆弱性診断等を担当。課外活動として世界のセキュリティ情報をウォッチング。

根岸征史氏:アノニマスウォッチャーとして知られるナノリマスのメンバー。「いつも仮面を被っている」という風評被害と日夜戦っている。

パネル2:徹底討論! デベロッパとブラウザの果てしなき戦い

by あまちゃん & ほしくず & はせがわ

セキュアなWebアプリケーションを作成するために、デベロッパーはどこまでWebブラウザの細かな仕様について把握していなければいけないのだろうか。

攻撃者は自分の得意な範囲と熟知しているブラウザで一点突破を狙えばよいのに対し、デベロッパは全てのブラウザの全ての仕様に精通しなくては攻撃を防ぐことができないという一方的に攻撃者有利な状況のなかで、デベロッパができることは何だろう。

このセッションでは、実際に開発の最前線で活躍する amachang と、次々とブラウザの妙な挙動を 探しだし開発者の仕事を増やすことで有名な hoshikuzu、はせがわが、Webアプリケーションをより安全にするために今何ができるのかを議論します。

あまちゃん氏(TBA)

ほしくず氏 : 自分が愛用するブラウザやウェブサービスの安全性について、自分の実力に見合ったせめてもの範囲でチェックすることを心がけている一般ユーザー。ハッカーにもクラッカーにもなれない人。

はせがわようすけ氏

ネットエージェント株式会社 研究開発部、株式会社セキュアスカイテクノロジー 技術顧問。

http://utf-8.jp/

国内のセキュリティ対策を推進させるには

by 愛奴&愛花テヘッ☆

要求される対策レベルが最も高い業界に着目し、独自の手法で行った8年間の調査結果から、推進の原動力に至る一つの答えが導き出された。

愛奴氏:十羽野高校に通う永遠のリア充。清らかな交際を続ける愛花と二人でお送りします。

目grepで見つけたバックドア

by murachue

2005年頃に発売された無線APのバックドアを、見つけた経緯やデモを交えて紹介したいと思います。

murachue氏:通称、目grepの人。チームsutegoma2の一員で、CTFではフォレンジック系の問題が得意みたいです。

Androidアプリの難読化について語ろう

by Yoshitaka Kato

近年、Androidマーケットでは難読化処理を施されたAndroidアプリが増えています。Androidアプリ開発の現場でも難読化ツールを導入する会社が増えているのではないでしょうか。

その一方で、それらの難読化ツールがコードに対してどのような処理を加えているのか、また、難読化がリバースエンジニアに対してどの程度の効果を発揮するのかについてはあまり知られていないかと思います。

そこで今回は、Androidアプリ難読化ツールProguardを使って難読化処理と効果について語り合いたいと思います。

Yoshitaka Kato氏:セキュリティアナリストとしてWeb診断、スマフォアプリ診断から、バイナリのお仕事まで 幅広いセキュリティ診断を手掛けています。目指すポジションは「セキュリティ業界のいぶし銀」と「コミュニケーションの達人」。

TSCの動作に見られる仮想マシンと実マシンの相違点~その原理と応用例~

by wakatono

仮想マシンモニタが提供する仮想マシン環境と実マシンは、一見同じように動作しているように見えていても、実は多くの差異があります。また、CPUの種類や仮想マシンモニタの実装によって変わる動作もあります。

本プレゼンテーションでは、多くのIA32環境で使える機能のうち、Time Stamp Counter(TSC)の動作に着目し、そのような環境においてどのような差異がみられるのか?ということと、その応用例の説明を行います。

wakatono氏:とある企業の研究開発部門に所属する研究者。 業務外の実績のほうが多いのはご愛嬌。 OSやネットワークのセキュリティに早くから注目しはじめる。その延長で、まだサーバやネットワークへのセキュリティ対策が盛んだった時代に、クライアントセキュリティや仮想マシンモニタのセキュリティに不安を持ち、研究に着手。今に至る。 2011年3月に、とある大学院の博士課程を修了。博士(情報学)。 Twitter ID: @wakatono 詳細は http://www.pfsec.net/ を参照のこと。

Androidフォンのセキュリティ

by 川端秀明

2011年はAndroidのマルウェアが活発になり、また個人情報漏洩などのセキュリティも注目されています。 本発表では、マルウェアの感染や個人情報漏洩などに関して、Android、フィーチャーフォン、PC、の違いをご説明します。 また、Androidに対する攻撃、防御方法をデモを交えてご紹介し、Androidの安全な利用方法を検討します。

川端秀明氏: KDDI研究所でセキュリティの研究に従事。主に、Androidマルウェアの解析やスマートフォンの新しいセキュリティモデルについて研究を行なっている。コンピュータセキュリティシンポジウム2011で優秀論文賞を受賞。スタバのダークモカチップクリームフラペチーノをこよなく愛する甘党です。

サルでも分かるCTFドリームチームの集め方

by Marat Vyshegorodtsev

CTFのようなコンテストは、ホワイトハットと学生の中での最近人気が高まっているゲームです。 国際大会での優勝に向けたチームを集め方をこのプレゼンでご説明させていただきます。

下記の話題についてお話させて頂きます。

    • CTFで必要なプログラミングツール

    • 重要な知識とスキルの説明

    • 準備中とゲーム中のチームのコミュニケーション方法

    • ロシアンルーレットのWAFトリガーコンテスト【別名はお酌】の勝つ方法

Marat Vyshegorodtsev(aka マラット)氏は、ロシア最大のセキュリティコンサルティング企業にてペンテスターおよびセキュリティアナリストとして、誰にも言えないプロジェクト(^_^;)に従事した経験を持つ。 東京大学で修士を取ることを目的に来日後、楽天のコンピュータ緊急レスポンスチームで働き始める。彼はDNSアーキテクチャのセキュリティに関する研究に興味を持つ。マラットは6年間のCTF参加経験を持つ。2011年、チームメンバとして参加した「IV」チームが有名なDefCon 19 CTFの4位を獲得。 Twitter:@touzoku, Blog: maratto.blogspot.com

sutegoma2の戦歴とこれから

by tessy

AVTOKYO2008にて掲げた「日本からのDEFCON CTFへの出場」の目標。 3年目の今年ついにその目標を達成しました。 チームsutegoma2として戦ってきた3年を振り返り成果と今後の課題について話をします。

tessy:AVTOKYO主催、チームsutegoma2代表。チームチドリ班長

A Primer On Last Branch Recording

by Ryan MacArthur

MSR (Last branch recording) のデバックでx86の実行ファイルをトレースする方法を紹介します。 シングルステップからベーシックブロックへとトレースすることでたちまちプロのように!

Ryan MacArthur: 酒が大好きな新参セキュリティリサーチャー。カーネルをいじくり回すのが大好き。ストリートファイターIVプレイヤー。CVEで有名でもなく業界でのハンドル名を持つわけでもなく、巨人の肩にのる小物です(訳注:謙遜しすぎ)。ジョンズ・ホプキンス大学では自動マルウェア分析を専攻。その後シマンテックでマルウェア分析業務に加わり、エクスプロイト検知のためにマルウェアとファイルフォーマットをリバースエンジニアを担当する。その後、iSIGHT Partners Labに加わり、顧客のための構築/破壊業務に携わる。