トップ 最新

ただのにっき

2019-02-19(火) [長年日記]

Becks Japan #1へ参加してきた

新しいITセキュリティコミュニティや勉強会が立ち上がったと聞くと、様子を見にほいほい参加してみる人です。今夜はBecks Japan #1。「Becks」はJRの駅に入ってるカフェじゃなくてBeer & Hacksの略。LINEとGrayLabが共同で立ち上げた勉強会で*1、場所も新宿のLINE社にある広々としたカフェスペース。ビールを始めとしたドリンクと軽食がフリーで提供されている。

トークは3つ:

Hacking Jenkins! by Orange

CIツールとして圧倒的シェアを誇るJenkinsの脆弱性を探す話。しかもRCEなのでかなりヤバいやつ。ルーティングのホワイトリストの穴を使って認証なしで一部サービスを使えるようにする脆弱性と、PipelineのDSLであるGroovyのメタプログラミングを応用してRCEを可能にする脆弱性を組み合わせた技を紹介。Shodanによると、この穴が残ったまま公開運用されているJenkins、まだ万のオーダーであるらしい。こえぇ。

Orange氏の手法で良いと思ったのは、ちゃんとソースと仕様書を読み込んで脆弱性を探しているところ。せっかくOSSにしてソースを公開してる以上、ちゃんと活用してもらえて安全性向上に役立ってるんだから、Jenkinsサイドとしても願ったりだと思う。

Dissecting professional APT team's spear tip by jz (Heungsoo Kang from GrayLab)

LINEの検知システムを通り抜けて侵入してしまったメールの添付ファイルを解析した話。Excelマクロ(VBA)、BATファイル、PowerShellスクリプト、インメモリDLLなどを、難読化しつつ多段階にかまして最終的にC2サーバ接続までするマルウェアだった。それぞれ手法はオーソドックスだけど、こんだけ複雑化されたら検知できなくてもしょうがない。マクロ付きのExcelは問答無用で弾くというストロングスタイルが正解なんだろうな。

The Evolution of Alert & Notification System by mala

技術的に高度なことを面白おかしく語るいつものmala節とはちょっと違って、けっこう肩の力の抜けたトークでしたな。電気ショックを流せる腕時計型のデバイスをハックして、重要な通知を電撃で受け取るようにした話。件のデバイスはこれ:

Pavlok Pro 2nd Gen Shock Clock
-
pavlok
¥32,800

ネタとして買うには高い(笑)。でも今回のように真面目に使う*2のならありかも知れない……(と思わせる妙な説得力はあった)。でもまー、若いうちなら自分で実験したかも知れんけど、年をとると心臓麻痺とか心配しちゃうよ。


このBecks、面白いのが韓国と台湾でも同時にコミュニティを立ち上げていて、イベントも各地で開催するようだ。今日も3ヶ国から1人ずつ講演者が呼ばれている。しかも日英同時通訳付き(!)。通訳があるんなら、そりゃありがたく利用させてもらうけど、韓国・台湾からの講演者は母語じゃなくて英語で講演してるんだし、英語で統一しちゃってもいいような……?

冒頭あいさつでゆくゆくはコミュニティ主導で運営したいみたいな話があったけど、しょっぱなからこれだけの物量を提供されてたら、LINEの紐を切ることはできないだろうし(というかLINEの本気度の現れでもあるからそれはそれで良い)、今後どうなるのか楽しみではある。

Tags: security

*1 といってもGrayLabはLINEの関係会社なので実質LINE。

*2 実際に運用しているそうで、LINEのバグバウンティプログラムにレポートするとmalaさんに電気を流せるらしい。