Black Hat USAではココ最近、政府関係の方が多く登壇していますが、今年の基調講演を担うDan Geer氏 は投資企業の方。ただし投資先はCIAや米国の諜報関連だそう。講演タイトルは「リアルな政治問題としてのサイバーセキュリティ(原題:CYBERSECURITY AS REALPOLITIK)」。講演概要から見るとかなり悲観的な内容かも知れません。
国家レベルのトピックで言えば、F-Secure社の Mikko Hipponen氏が「マルウェア作成者としての国家:次世代(原題:GOVERNMENTS AS MALWARE AUTHORS: THE NEXT GENERATION)」というタイトルで講演します。SCADA問題といい、マルウェア作成に国家が関与しているという噂は何年もささやかれています。「どの政府?高度なスキルはどこから?予算はどれくらい?私達にはそれと戦える希望はあるのか?」といった質問に回答してくれるでしょう。 彼はRSAとNSAの密約疑惑でRSAで予定していた講演をキャンセルしましたが、その代わりにTrustyConで同様の内容を講演しました。今回はそのアップデート版です。事前学習はそちらでどうぞ。
ちょっとヘビーな内容が続きますが、Torへのエクスプロイトに関するAlexander Volynkin氏らによる講演「You Don't Have to be the NSA to Break Tor: Deanonymizing Users on a Budget」がキャンセルされて憶測を呼んでいましたが、7月30日発表のロイター通信によると、米国国防総省が主要なスポンサーであるカーネギーメロン大学のソフトウェア工学研究所の二人の研究者がTorを攻撃し、プライバシーが漏洩している可能性があるとの報道が有りました。
Google Glass や iPhoneなどのカメラは大変優秀になってきていますが、MITの Xinwen Fu氏らによる「私のGoogle Glassはあなたのパスワードを見てるよ(原題:MY GOOGLE GLASS SEES YOUR PASSWORDS!)」という講演では、例えばGoogle Glassから3m離れたところのiPhoneにタイプされた認証パスコードを約90%の確立で読解する可能性について発表します。Google GlassのみならずiPhoneその他スマホも遠距離からパスコードを認知することが可能だそう。最近のカメラは解像度も高く、タッチスクリーンの指の位置でパスコードを読めちゃうアルゴリズムつくちゃった、というお話のようです。パスワード認証はそろそろ限界なのかもしれません。。。
ハードウェアに強い Karsten Nohl 氏が「残念なUSB:悪用されるアクセサリー(原題:BADUSB - ON ACCESSORIES THAT TURN EVIL)」と題してまたまた根底を覆すようなUSBデバイスの制御チップから操作する新しいタイプのマルウェアについて発表します。このマルウェアはユーザをスパイしたり、コンピュータ制御を奪ったりする可能性もあるとか。従来のアンチウイルスソフトでは検知不能だとも。影響の範囲も大きく報道もたくさん出ていますが、実際の詳細は講演をきいてみないとわかりません。
「Android Hacker’s Handbook」の著者であり、Pwn2Ownの常連でもある AccuvantのJoshua Drake氏にはよる「ドロイド軍の助けを借りてのAndroidデバイスのセキュリティの研究(原題:RESEARCHING ANDROID DEVICE SECURITY WITH THE HELP OF A DROID ARMY)は、無数にあるAndroidデバイスの種類は多く、Android OSのエクスプロイトや監査とひとことでいってもそれぞれが異なる設計であること、その理由、異なるデバイス間の問題をどう対応すべきかといった彼の手法を紹介します。
ハードウェア関連では、自動車、家(IoT)などがあります。Jean-Michel Picod氏らによる無線に関する発表「原題:BRINGING SOFTWARE DEFINED RADIO TO THE PENETRATION TESTING COMMUNITY)の中では、ウェアラブルデバイスや、IoTなどの比較的新しいデバイスは深いセキュリティ背景が不足したまま開発されており、セキュリティやプライバシーに関する問題の詳細を紹介する予定です。
その他、脆弱性ばかりでなくどのように防衛するのか、という講演もあります。Tony Sager氏による「攻撃から行動へ:防衛的選択をドライブするための脅威モデルの樹立(原題:FROM ATTACKS TO ACTION - BUILDING A USABLE THREAT MODEL TO DRIVE DEFENSIVE CHOICES)」と題して、脆弱性等の素早い共有だけでなく、そうしたデータを行動可能な情報にどのようにドライブしていくか、といった講演のようです。こうした講演も重要です。
