Day 1

「！？」
問題ファイルをダウンロードした瞬間私はおののいた。厳密には、問題ファイルをダウンロードした瞬間におののいた Kaspersky に表示した情報を見て私もおののいた。「実在の脆弱性が使われている！？」
そう、本当に、本物の、脆弱性が使われているのだ。問題ファイルを見た限り脆弱性は二個で、パッチ状況を調べてみると…

• IE に関連する脆弱性 (CVE-2010-3962)
  • IE6〜IE8 に影響
  • コンテスト参加時点で未修正
  • ただし PoC、Metasploit などで攻撃手法は既知。
• Adobe Reader に関連する脆弱性 (CVE-2010-3654)
  • Flash Player の脆弱性で、SWF 再生ができる Reader 9 に影響
  • Reader X および 9.4.1 で修正
  • ただし、脆弱性持ちの 9.4.0 がまだダウンロード可能。Adobe は脆弱性持ちをダウンロードさせないべき。

ただし後で調べてわかったことだが、シェルコードの有害さは打ち消されている。(元々 Drive-by-Download をやる悪意あるペイロードっぽかったのが、パッチにより無害化されていたり。) またセキュリティをちゃんとやっている人間ならば、簡単には引っかからないようにもなっている。(例えば、DEP や ASLR の回避といったテクニックは最近当たり前のように使われているが、これらシェルコードの半分では半ば意図的に使用されていない。もう半分は脆弱性そのものの性質によって ASLR 回避の必要こそないが、同じ性質によって DEP 回避がほぼ不可能という代物。)
問題は 4 問あり、それぞれについてレポートを書く必要がある。

• Application (PDF; 壊れた PDF ファイルを修正し、シェルコードが何をするのか調べる。)
• Mobile (APK; 悪意ある Android アプリを調べる。)
• Packet (PCAP; 攻撃真っ最中のパケットから、攻撃の種類を特定し、さらに攻撃の「開始」「終了時間」も特定する。)
• Web (HTML; JavaScript の難読化を解き、IE の脆弱性を突く exploit を調べる。)

この日は Mobile を真っ先に解いてしまい、Web もその日のうちに解く。
Web の問題には罠があるかもと思ってシェルコードやペイロードの奥底まで解析をしてみたが、何もなかった☆

Day 2

本格的なパケット解析は初めてだったが、Packet 問題における攻撃の種類はいち早く特定 (ただしこの時点では答えが不十分。) しかしこれだけではまだ半分。Packet のもう半分が解けない。同時進行で Web 問題のボーナスポイントを得るため、最近有償アップグレードした VMware Workstation を総動員して、IE の脆弱性を徹底的にいじめる。Application は読み始めをしただけだが、PDF のファイルフォーマットが基本的にテキストだということがわかって一安心。これでイチから知らないフォーマットを解析する問題だったら諦めていたかも。(いや、実際 Packet でそうなったけどね。)

Day 3

Packet を後回しにする方向にして、Application から先に解く。様々な部分が壊れていることを疑ったが、実際にはバイナリエディタを使ってできる程度の修正ですべて有効な PDF になることが判明。JavaScript はかなり読みにくいが、それでもシェルコードにまで到達する。Web に使われるシェルコードと違って結構解析に苦労するも、これがどのような種類の攻撃コードか、ということまではある程度理解する。

Day 4

静的解析。細かい部分までの追跡を行い、コードのありとあらゆる動作を明らかにした。これで解いていない問題は Packet のみに。
少なくとも良いところまで行けるという確信を得る。

Day 5

苦難の日々のはじまりはじまり。
Packet 問題に関しては、攻撃の「種類を特定する」部分について、Ethernet / MAC フレームを見れば一目瞭然ということに気がつく。しかし、残りがわからない。

間違ったファイル (wrong files) を集め、パスワードを取得せよ。そして、攻撃の開始と終了時間を明らかにせよ。

ここからして、明らかにパケットキャプチャ中の SYN flood 攻撃が示す時間は攻撃の本質を明らかにしていないと推測 (SYN flood の途中でキャプチャが終わっているので、少なくとも終了時間を推測することが不可能。) 様々な部分を探すが良い結果は得られず。Transfer-Encoding が chunked なテキストに仕様上挟まる 16 進数のテキストがヒントかもと勘違いしたり、あるいは SYN flood のポート番号に規則性を見出すも答えは得られず。そうするうちに体調を崩してしまった。

Day 6

回復中…

Day 7

私には (Forensics の) 才能がないのかもと諦めかけたその 11 分後*2、決定的な証拠っぽいものを掴みとる。ふつう、Web ブラウズをしている最中の HTTP リクエストのほとんどには、Referer ヘッダがついてくる。というのも、リンクをクリックする、画像や CSS を読み取るといった行動においてはそれがついてくるからだ。つかないのは、「手動での URL 入力」「お気に入り」「動的コンテンツ」「怪しいファイル」くらいだと当たりをつけて、次の Wireshark フィルタを適用する。

http.request && !http.referer

ビンゴ！HTTP リクエストをほとんど手動で解析できるくらいに減らせた。しかもこの中に、HTML ファイルと URL には記述されているのにパスワードつき ZIP ファイルが送り返されているモノがあるぞ？となれば…
ここから、Packet の完全解析完了までは早かった。あとはレポートをちゃんとまとめることと、ボーナスポイントを限界まで稼ぐことだけだ。

Day 8

日本語に訳しながら英語の明らかな間違いを修正する。(某所で公開しているレポートはそのときに書いたものだ。) 最後にボーナスポイントのための 2 コンフィギュレーションを試し、レポートに書き加え、提出。これが 21:00 ぐらい。もう結果に賭けるしかない。

POC 主催者 - Vangelis : "ある経験と日本のセキュリティコミュニティへのアドバイス" ([twitter:@vangelis_at_POC])

この前の日に話した (前回参照) Kancho もスタッフとして参加する POC の主催者である Vangelis による発表。実は Kancho もスピーカーだと勘違いしていたが、そうではなかったらしい。まぁそれは置いておこう。彼の話は、特に日本人、もっと言えば、日本のハッカーコミュニティに焦点を当てている。正直この発表は「技術的」ではないし、お世辞にもスムーズに進んだ発表でもなかった、しかし、私にとってはこのプレゼンは PacSec 2010 の中では最も記憶に残ったものと言えるだろう。
日本人から見ても日本の「ハッカーコミュニティ」と呼べるものはわずかしかない。Vangeris がはせがわようすけ ([twitter:@hasegawayosuke]) 氏の言葉を引用したように、ほとんどの「ハッカー」は個人でひっそりと活動しているようだ。スピーチからは少し外れるが、日本人グループがアンダーグラウンドのハッカーをやっているという話もほとんど聞かない。*5日本人で活動している研究家ならそのままやり過ごしてしまいそうな話題だが、韓国から見ると、それ以上に見えてしまうらしい。
韓国にほぼ特有なハッカーコミュニティの特徴は、ハッカーの「正当な活動」が社会に十分に認知され、なおかつハッカーやハッカーコミュニティに対して政府の厚い支援があるということだ。これは、韓国においてブロードバンドなどを含む IT が他国を上回るペースで普及していった*6のと同時に、他国からのサイバー攻撃も集中して受けることになり、政府や社会の情報セキュリティに対する関心が極めて高いことが理由として挙げられる。*7
そう、この話が昨日の「ひとりでやっているのか？」という質問につながるわけだ。もちろんグループにもデメリットはある。しかし個人だけ、なおかつ成り行きまかせでやっていた場合、れっきとした研究や成果が葬り去られてしまうリスクも極めて高くなってしまうのだ。*8
彼が訴えたかったことは簡単には「日本人による、日本の(ハッカー|ハッカーコミュニティ)の育成」とまとめることができる。まだやるべきことは多いらしい。あ、そういえば発表の中で面白かった一幕、「日本人が主催するハッカーカンファレンスを開催すべきだ。」という部分があった。PacSec はカナダ企業が主催するカンファレンスで、「彼らが去っちゃったら日本のハッカーカンファレンスがなくなっちゃうからね」と Vangelis が言ったら、「なくならないよ！」と PacSec 主催者の Dragos。Dragos も日本のセキュリティ業界における事情 (日本のエンジニアの事情が見えてこない etc.) から PacSec を主催することを決めた人でもあるし、ツッコまずにはいられなかったのだろう。
ただ―訴える内容というのは、やはり日本人からすれば現状難しい部分というのは多い。昼食中もこの発表に関しての話題に少し参加したが、若干ネガティブな印象も受けた。日本のセキュリティ業界は終わってると堂々と喋ってたメンバーの横で色々話を聞いていたけど、それも正論なんだよなぁ。

ベルギー,BruCON 主催者 - Benny Ketelslegers : "ハッキング-コミュニティ: ヨーロッパのセキュリティコミュニティの過去と現在" ([twitter:@security4all])

そう、AVTokyo でも喋っていたあの人だ。
この人の発表はヨーロッパにおけるハッカーシーンの紹介など。27C3 や自身の主催するカンファレンスである BruCON など、例を多めにわかりやすく紹介。
(*** すみません、後で追記します。***)

Microsoft Malware Protection Center - Jeff Williams : "Stuxの板挟み"

PacSec 2009 に来ていた方のような気がする。後で確認すると、昨年の飲み会でよく喋った方であった。名刺を交換していたのでアドレス帳に残っていた。
今回の話題は、最近ニュースでもよく出るようになった "Stuxnet" の全貌について。技術的な話題も多めだが、全体としてはニュース以上のものをより詳しく解説したもののようだ。
もちろん Stuxnet の特徴として挙げられることは、その複雑さだ。複数段階の攻撃を経て、Siemens 製ソフトウェアを乗っ取ろうとする。
もうひとつの特徴は、複数のゼロデイを使用したこと。Stuxnet が使用した脆弱性は幾つかあって、まだ未パッチのもの*9も含まれる。その中でも主要な役割を果たしているのが Windows に存在する 2 つの脆弱性だ。ひとつは一躍有名になった*10 Windows の LNK ファイルに関する脆弱性。もうひとつは、Windows のプリンタスプーラーサービスに存在する脆弱性。特定のファイル名で「印刷」を行うと、そのファイルが自動的に「実行」されてしまうという*11恐ろしいものだ。
Stuxnet の解析を阻むのは複雑さだけではない。このマルウェアは権限を慎重に (複数段階のチェックを加えながら) 昇格させ、最終的に WinCC ソフトウェアへの完全なコントロールを取得する。この過程でアンチウイルスソフト、仮想マシン、サンドボックスなどによる干渉を受けたと判断した場合、それ以上の行動は何一つせずに静かに終了する。
さらに Stuxnet がもつ rootkit は、「正当な」証明書によって署名されているということも問題になった。これはエフセキュアブログの記事が詳しいが、結論としてこれらの証明書は正当な会社*12から「窃盗」されたということがわかっている。証明書が窃盗されたのなら、それを無効化すれば良いではないかというのが大勢の意見で、事実私もそう考えていた。しかし実際にはあまり助けにならないこともあるらしい。というのも、Windows のバージョンによっては証明書の無効化が適切に行われていたとしても、警告なしにドライバをインストールできてしまうからだ。*13
そこから背景にあったものは…と話は続くのだが、意識が朦朧としていたせいかその部分の記憶がほとんどない。ここは大人しくスライドを待つことにする。

University of Luxembourg - Philipp Weinmann : "隠された復讐の女神: エンベッド・コントローラーにバックドアを仕込む" ([twitter:@esizkur])

なんというか一言で言わせてください。「良くも悪くも Thinkpad 最強説？」
Thinkpad の中にあるマイクロチップ、組み込みコントローラ*14は LAN 経由でコマンドを送ることができ、それによって BIOS の内容やコントローラ自身のファームウェアまで書き換えてしまうことが可能。この部分を悪意あるものに書き換えた Thinkpad は、タイプしたキーやその他の有益な情報を外部に送信することができる。
ただし、マルウェア自身が占有できる書き換え可能領域はそれほど多く無いが、情報を圧縮することで数時間分のキータイプ (?) を記録し、それを送信することが可能。
…などなど。

"パネルディスカッション"

当日もらった予定表でも TBA のままで何なのだと思っていたが、オンデマンドにパネラーを決めるという前代未聞のシステムだとのこと。
実はパネルディスカッションが開始される直前、私にパネルディスカッションに入ってくれないかと ([twitter:@gohsuket] 氏に) 頼まれたが、断っている。*15というわけで、なぜか [twitter:@tessy_jp] さんが連れて行かれた。ここでインタプリタ (同時通訳用) なしで聞いてたことがアダになる。これまでのセッションは「発表」ということから英語だけでも「聞きやすい」のでなんとか聞けていたが、早口気味のディスカッションは難しい。(英語の訛りが酷いわけではないのだが、速さでついていけない。) 話題については…「一般人にどうセキュリティの現在を教えるか」という部分からボットネットに関する話題、セキュリティ業界に関する話題 (?) に移っていったが、あまりよく聞けていない。ボットネットを「乗っ取って」クリーンにすることの是非についての話になったとき、誰かが "never" という言葉を口にしたのが少し印象的。どんな理由があろうと、コンピュータネットワークを乗っ取ることは良い考えではないという風に解釈。

list の使用宣言

#define NVM_CCOMPAT_NAMESPACE_TAIL BOOST_PP_NIL
#include <boost/preprocessor/list.hpp>

NVM_CCOMPAT_NAMESPACE_TAIL は単に名前付けのルールを統一するためのものだ。実際のところ、マクロは展開される (使用する) 場所で実際に展開されるため、namespace_begin.hpp や の前に NVM_CCOMPAT_NAMESPACE_TAIL や BOOST_PP_NIL 識別子を (マクロ宣言内で) 使っていても何の問題もない。

名前空間スコープ

次に、スコープを定義しよう。

#ifdef __cplusplus /* C++ のみ */
#define NVM_CCOMPAT_NAMESPACE_BEGIN_I(r,data,elem) namespace elem {
BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_NAMESPACE_BEGIN_I,:,nvm_ccompat_namespace)
#undef NVM_CCOMPAT_NAMESPACE_BEGIN_I
#endif

ここでは C++ に限り名前空間を展開する。ここで、あらかじめ定義されていたマクロである nvm_ccompat_namespace がリストとして評価、さらに各要素がマクロ展開される。言うまでもないけど、C 言語の場合は __cplusplus の定義に阻まれてこの場所は空白に展開される。

   BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_NAMESPACE_BEGIN_I,:,nvm_ccompat_namespace)
>> BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_NAMESPACE_BEGIN_I,:,(nvm, (kernel, BOOST_PP_NIL)))
>> NVM_CCOMPAT_NAMESPACE_BEGIN_I(nvm) NVM_CCOMPAT_NAMESPACE_BEGIN_I(kernel)
>> namespace nvm { namespace kernel {

型の定義名と使用名

型に関しては単純な定義ルールを採用しても良いのだが、名前空間に関連する混乱を避けるため、次のルールに従う。

• 宣言時 (NVM_CCOMPAT_TYPE_DECL マクロで定義)
  • C++ では型の宣言時に名前を保持する
    • nvm::kernel 名前空間における sample_t → sample_t
  • C では型の宣言時に名前空間をアンダースコアで区切ったものをプレフィックスとして配置する。
    • nvm::kernel 名前空間における sample_t → nvm_kernel_sample_t
• 使用時 (NVM_CCOMPAT_TYPE マクロで定義)
  • C++ では型の使用時に、明示的にグローバルスコープから名前空間を辿った名前で展開する。
    • nvm::kernel 名前空間における sample_t → ::nvm::kernel::sample_t
  • C では宣言時と等価。
    • nvm::kernel 名前空間における sample_t → nvm_kernel_sample_t

この両方を満たすため、2 つのマクロを使用することに。まずは宣言時、NVM_CCOMPAT_TYPE_DECL マクロから。

#ifdef __cplusplus /* C++ の場合 */
#define NVM_CCOMPAT_TYPE_DECL_I
#define NVM_CCOMPAT_TYPE_DECL(clsname) clsname
#else              /* C 言語の場合 */
#define NVM_CCOMPAT_TYPE_DECL_I(d,data,elem) elem##_
#define NVM_CCOMPAT_TYPE_DECL(clsname) BOOST_PP_CAT(BOOST_PP_LIST_CAT(BOOST_PP_LIST_TRANSFORM(NVM_CCOMPAT_TYPE_DECL_I,:,nvm_ccompat_namespace)),clsname)
#endif

ここでは C 言語のほうが (名前空間をプレフィックスとして付加するために) 複雑な実装になっている。
C++ のほうは単純。clsname を clsname と展開するだけ。ここでは C/C++ 両言語で全く同じマクロを定義し、後で #undef するため、ダミーのマクロ定義も含んでおこう。
C 言語の方は、プリプロセッサレベルで次のように動作する。

• 名前空間リストの各要素を、最後に _(アンダースコア) が付くように設定する。(BOOST_PP_LIST_TRANSFORM)
• リストの全要素を 1 つの識別子として連結する。(BOOST_PP_LIST_CAT)
• 最後に、clsname を連結する。(BOOST_PP_CAT)

具体的な展開の内容は次のようになる。

   BOOST_PP_CAT(BOOST_PP_LIST_CAT(BOOST_PP_LIST_TRANSFORM(NVM_CCOMPAT_TYPE_DECL_I,:,nvm_ccompat_namespace)),sample_t)
>> BOOST_PP_CAT(BOOST_PP_LIST_CAT(BOOST_PP_LIST_TRANSFORM(NVM_CCOMPAT_TYPE_DECL_I,:,(nvm, (kernel, BOOST_PP_NIL)))),sample_t)
>> BOOST_PP_CAT(BOOST_PP_LIST_CAT((NVM_CCOMPAT_TYPE_DECL_I(nvm), (NVM_CCOMPAT_TYPE_DECL_I(kernel), BOOST_PP_NIL))),sample_t)
>> BOOST_PP_CAT(BOOST_PP_LIST_CAT((nvm_, (kernel_, BOOST_PP_NIL))),sample_t)
>> BOOST_PP_CAT(nvm_##kernel_,sample_t)
>> BOOST_PP_CAT(nvm_kernel_,sample_t)
>> nvm_kernel_sample_t

リファレンスを片手に読むと、順番にリストや識別子が変形していることがわかるだろう。
さて次は使用時の型名だ。こちらはさほど難しくはない。

#ifdef __cplusplus /* C++ の場合 */
#define NVM_CCOMPAT_TYPE_I(d,data,elem) ::elem
#define NVM_CCOMPAT_TYPE(clsname) BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_TYPE_I,:,nvm_ccompat_namespace)::clsname
#else              /* C 言語の場合 */
#define NVM_CCOMPAT_TYPE_I
#define NVM_CCOMPAT_TYPE(clsname) NVM_CCOMPAT_TYPE_DECL(clsname)
#endif

C 言語版は宣言時の型名をそのまま使えるのでそこへのリダイレクト。C++ においては、BOOST_PP_LIST_FOR_EACH を使って、次のように展開している。

   BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_TYPE_I,:,nvm_ccompat_namespace)::sample_t
>> BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_TYPE_I,:,(nvm, (kernel, BOOST_PP_NIL)))::sample_t
>> NVM_CCOMPAT_TYPE_I(nvm) NVM_CCOMPAT_TYPE_I(kernel) ::sample_t
>> ::nvm ::kernel ::sample_t
>> ::nvm::kernel::sample_t (←マクロ展開ではなく、C++ 言語における型名の解釈)

BOOST_PP_CAT 系を使っていないのは、これらは識別子を連結するためにしか使えず、また C++ の "::" は演算子であるため、自動的に、かつ適切に区切られるから。

構造体タグ

上では、今まで定義しなかったマクロが 1 つだけ使われている。NVM_CCOMPAT_TYPE_DECL_TAG(clsname) だ。これは無名構造体になることを避けるための構造体タグを名付けるためのユーティリティマクロであり、次のように定義される。

/* 両言語共通 */
#define NVM_CCOMPAT_TYPE_DECL_TAG(clsname) BOOST_PP_CAT(TAG_,NVM_CCOMPAT_TYPE_DECL(clsname))

これだけで OK。

namespace_end.hpp

namespace_end.hpp の実装は極めて単純だ。ここではソースコードの一部をそのまま貼り付ける。

#ifdef __cplusplus
#define NVM_CCOMPAT_NAMESPACE_END_I(r,data,elem) }
BOOST_PP_LIST_FOR_EACH(NVM_CCOMPAT_NAMESPACE_END_I,:,nvm_ccompat_namespace)
#undef NVM_CCOMPAT_NAMESPACE_END_I
#endif
#undef NVM_CCOMPAT_TYPE
#undef NVM_CCOMPAT_TYPE_I
#undef NVM_CCOMPAT_TYPE_DECL
#undef NVM_CCOMPAT_TYPE_DECL_I
#undef NVM_CCOMPAT_TYPE_DECL_TAG
#undef NVM_CCOMPAT_NAMESPACE_TAIL
#undef nvm_ccompat_namespace

名前空間スコープを終了させるのは開始するものと使用するマクロの内容が異なるだけ。それ以外は、namespace_begin.hpp で定義されたマクロ等を #undef するだけと単純そのもの。実際には namespace_begin.hpp、namespace_end.hpp ともに幾つかの安全策を施しているが、ここでは省略する。