Insomni'hack 2016

Insomni'hackに参加できなかった方も多いのではないでしょうか。

ご存知の方も思いますが、このカンファレンスは、ハッキング関連のとても有意義で充実したイベントで、700人近くのハッカー、CTO、CISO(ハッカーでありCISOでもあるという方もいらっしゃるでしょう)が参加しました。

カンファレンスでは、いくつかの講演が重なることが多いため、どれに参加しようか、よく迷います。私は今回、医療機器のネット接続に関する(私自身の専門分野に近いけれど、おそらくはそれほど技術的ではない)セッションと、暗号化に関するとても面白そうなセッションのどちらに参加するか迷いました。

今日は、私が参加したいくつかのセッションをご紹介したいと思います。

A Hippocratic Oath for Connected Medical Devices(ネット接続された医療機器に対する医療倫理) - Beau Woods氏

私は結局、ネット接続された医療機器についてのセッション(I Am The Cavalry)に参加しました。

このセッションに参加してわかったのは、私はこれまで、ネット接続された医療機器を、マルウェアなどのセキュリティ脅威、つまりは技術的な観点からとらえていましたが、その考えは間違いで、最初に考えるべきは、政治、ビジネス、経済であるということでした。技術的なことは、その後に考えればよいなのです。だからこそ、「I Am The Cavalry」という団体の草の根活動は本当に称賛に値するものです。

称賛という言葉では不十分で、私自身も、何らかの「行動」に参加し、実社会での研究やハッキングの成果という形でこの医療機器のネット接続の分野に貢献したいと思いました。今すぐ行動に移すのは無理でも、TO-DOリストには必ず追加するつもりです;)

8 security lessons from 8bit games(8ビットゲームから学ぶ8つのセキュリティの教訓) - Florian Hammers氏

これは、期待はずれのセッションでした。誰もが、ワクワクするようなハッキングや昔のゲームの話、デモなどを期待していたはずですが、実際には、学校の古めかしいスクリーンショットの雰囲気は出ていたものの、セキュリティに役立つヒントはほとんどありませんでした。:(

大学生や高校生向けと考えれば満点かもしれませんが、セキュリティの「エキスパート」が集まるInsomni'hackで話す内容であったかどうかは、大いに疑問です。

Reversing Internet of Things from mobile applications(モバイルアプリケーションからIoTへの逆行) - Axelle Apvrille

これは、私が講演したセッションです。会場は満員で、dragon sectorやmushd00mのようなCTFチームにもご参加いただきました。本当にありがとうございました!

このセッションのスライドは、こちらからご覧いただけます。

Ransomware coming to IoT devices?(IoTデバイスに忍び寄るランサムウェア) - Candid Wueest氏

IoTのセッションでもう1つ、良い意味で期待を裏切られたのが、体調不良のSylvain Maret氏に代わってCandid Wueerst氏がプレゼンターを務めた、IoTのランサムウェアに関するセッションでした。既に知っている、誰もが考えるであろうテーマではありましたが、私がプレゼンターを務めたセッションのフォローアップとしては素晴らしい内容でした。

Candid氏は、遅かれ早かれ、ランサムウェアはIoTにも広がると考えており、私もまったく同意見です。たとえば、利便性の侵害(デバイスを使用できなくする)、偽アプリ(恥ずかしい動画の削除と引き換えに金銭を要求する)などのランサムウェアが登場するはずです。

Wueerst氏は、こういった前兆とも言えるいくつかの例を使って、自らの意見と予測を説明しました。

ところで、気付いた人が多いかどうかわかりませんが、全スライドのフッターに次のようなとても面白い文が書いてありました。

"it is true hard work never killed anybody, but I figure, why take a chance?"(一生懸命働いたところで誰かが死ぬことはない。でも、自分ならできるような気がする)

"money talks but all mine ever says is good bye"(モノを言う金とは言うけれど、私の金は「さようなら」としか言えないようだ) :))

ソーシャルネットワーキング

カンファレンスのメリットは、講演を聴くことだけでなく、同業者に会ったり、新しいコネクションを開拓したりできる点にありますが、Insomni'hackは特に、その絶好の場であると言えるでしょう。その、ちょっとした例をいくつかご紹介します。

  • AREA41が今年も開設され、CFPは今月末まで引き続きオープンしています。
  • GreHackカンファレンスの開催準備も始まりました。
  • パスワードの解読を難しくするために、一部のデバイスでは、MD5の実装でSALTを標準で使用するようになっています。
  • NFCのセキュリティ分析ツールプロジェクトがKickstarterに登録されています。 有望なプロジェクトとして、すでに多くの支援者と資金を集めています。
  • バスケットボールのテレビ中継では、ネット接続したシューズで選手がジャンプしようとする瞬間を捉え、スローモーションに切り替えるといった試みが行われています。
  • カメラ本体だけでなく、レンズにもファームウェアが存在し、ファームウェアがかなり大きい(10M弱)になることもあるようです。

-- the Crypto Girl