Defcon 15:明らかになった秘密と不満

 先週、Black Hat Briefings翻訳記事)に続いてDefcon 15が開催された。ラスベガスのシーザーズパレス(Caesars Palace)でBlack Hatが閉幕したのが木曜の晩、同じくリビエラ(Riviera)でDefconが開幕したのが金曜の朝だった。どちらの展示会もJeff Moss氏が企画したものだが、Black Hatが明らかにネットワークセキュリティの専門家を対象にしているのに対し、Defconが扱っているのはまさしくコミュニティ、お祭り騒ぎ、ハッキング、ゲームといったものである。

 両者の違いは入場料にも反映されている。Black Hat Briefingsの参加料は1,695ドルで、現金または後日請求のどちらかで支払う。一方、Defconの入場料は100ドル、現金支払いのみだ。どちらの展示会にも当局の捜査官や各種セキュリティの専門家が参加していたが、全体的にDefcon参加者のほうが若く、彼らのヘアスタイル、タトゥー、ピアスからもわかるようにワイルドな雰囲気を醸し出していた。開催時点での非公式な見積もりでは、今年のDefcon参加者は昨年の公表入場者数7000名を若干下回るだろうとされていた。

伝統のバッジ

 昨年のカンファレンスバッジ(翻訳記事)は印象的なものだったが、今年のバッジはL0pht Heavy Industriesの中心人物とされているJoe Grand氏が手がけたものだった。このバッジにはプログラムが内蔵されており、バッファ内の16文字がLEDでスクロール表示されるようになっている。これをプログラミングして動作させる方法の説明に、カンファレンスガイドの丸々1ページが割かれていた。

 今年のバッジデザインのただ1つの問題は、バッジの裏側に回路が露出しているため、短絡や不慮の入力信号のせいで絶えず苛々させられることだ。特に、自分で個人的なメッセージをプログラミングする場合には、テキストを取得して適切な速度でスクロール表示させるまでにしばらく時間がかかる。もちろん、“I (LOVEを意味するハート) DEFCON XV.”というデフォルトのテキストのままにしておいても構わない。

 もともとこうしたバッジは参加証の偽造を防ぐためのものだったが、今ではそうした面よりもデザイン、作成、利用を楽しむことに重きが置かれているように思う。

DatalineとDefconの対決

 このDefcon 15で最も話題になったのは、NBCのニュース番組Datelineが試みた覆面取材を阻止したことだった。Defconのプレス担当Niko Sell氏は、初日の午前10時の開幕に先立ってプレスルームの報道記者たちを前に次のように述べた。Dateline関係者による情報とも当局からの情報とも言われているが、この展示会でハッカーたちの秘密をこっそりと録音するためにDatelineがレポーターを送り込もうとしている、との情報が事務局に届いた。この類の行為はDefconでは固く禁じられているため、報道記者の方々には、参加者の同意なく録音や撮影をすることはできないことを明記した同意書にサインしてもらう必要がある、と話したのだ。

 Datelineの女性レポーターの居場所を特定して追跡できるように、彼女の写真がDefconスタッフの間で回覧されるとともに各プレゼンテーションで提示された。こうして結果的に、Datelineレポーターの目論見は主催者側によって打ち砕かれることになった。最初、事務局はこのレポーター ― DatelineのアソシエイトプロデューサーMichelle Madigan氏 ― にプレス関係者の証明書を差し出したが、彼女はこれを受け取らなかった。続いて、事務局側は“捜査官を探せ(Spot the Fed)”というセッションの途中で想定される覆面捜査官の身元暴露に言及することで、彼女に対してそれとなく警告を発した。

 さらに、このセッションに集まった人々に向かってDefcon発起人のJeff Moss氏は、部屋の中に覆面レポーターがいると説明し、“捜査官を探せ”ではなく“レポーターを探せ”という趣向にしてはどうかと持ちかけた。これを聞いたレポーターのMichelleは、たまらず席を立って出口に駆け寄った。だが、その後を追う多数の参加者と報道記者たちを振り切ることはできず、彼女が慌てふためいて逃げ出す様子の一部始終はビデオに録画された。こうして、DefconとDatelineの対決はDefconの勝利に終わったのだった。

defcon_thumb.png
An Electronic Enigma Machine

スカイボックスでの発表

 眼下にゲーム、軽食、自動販売機の各コーナーが位置するRoyale Pavilionの周囲には、スカイボックスという小さな部屋が10ばかり存在する。Defconでは、これらの部屋が特別テーマのプレゼンテーションに利用された。カギ破り(lockpicking)に関するプレゼンテーションの部屋に入ると、点滅する電子機器キットが収められた木箱を魅力的な金髪の女性から手渡された。これを組み立て終えたばかりの彼女は、第2次世界大戦中にドイツで使われた有名な暗号機エニグマ(Enigma machine)の動作モデルだと説明してくれた。さすがにこれには驚いた。

 部屋の至るところで参加者たちがカギ破りに勤しんでいたが、その成否は人によってさまざまだった。その後、発表者の1人から、我々発表者のほとんどは階下のゲームコーナーに行ってカギ破りコンテストに挑戦してくるので、これから1時間この部屋を閉め切る、とのアナウンスがあった。ちなみに、ものは試しとばかりに、カギを失くして愛車のベンツに入れなくなったので誰か手伝ってくれないかと頼んでみたが、引き受けてくれる人はいなかった。

両展示会で最悪のプレゼンテーション

 “セキュリティ業界の知られざる秘密(Dirty Secrets of the Security Industry)”と題したBruce Potter氏のプレゼンテーションを聴く席を確保するために、会場に予定されているホールに開始の30分ほど前に入った。そこでは、まだ情報開示に関するパネルの議論が続いていた。

 このプレゼンテーションは昨年のBlack Hatでもひどい内容だったのだが、今年も進歩は見られなかった。今や“情報の全面開示(full disclosure)”という言葉はハードウェア、ソフトウェア、セキュリティの各種ベンダのいいように使われ、本来の意味はすっかり失われてしまった。それに飽き足らず、ベンダは“責任ある開示(responsible disclosure)”という言葉を根付かせようとしている。責任ある開示などという言葉にはベンダにとって不都合な意味合いがまったくないため、彼らの嘘や隠蔽、それらに対する法的措置が不問に付され、連中のやりたい放題になってしまう。

 組織に属さない研究者としてBlack Hat/Defconで発表を行ったRaven Alder氏は、脆弱性を明らかにしたのにベンダによる本格的な法的脅迫によって沈黙してきたことが一度ならずあった、と聴衆席から発言した。この言葉は、Black Hatでの第1回Pwnie賞(First Annual Pwnie Awards)の表彰の場でJeff Moss氏が述べた意見の裏付けにもなった。

 ある出席者から企業の行動と倫理を一括りにして言及しようとしている理由を問う質問が出たところ、パネリストの1人が倫理的企業の本来の姿やEnronが極端な例外だったことについて数分間まくしたてた。倫理と法的義務という2つの異質な概念を1つにまとめあげ、倫理観のかけらもない企業のやり方を批判する声を沈黙させた彼の如才無さには感心させられたが、それ以外の点では何の感銘も受けなかった。コンピューティングの世界には、この手の熟練したプロの詭弁家がずっと以前から棲みついているのだ。

知られざる秘密

 情報開示のパネル討論が終わると、ホールはPotter氏のプレゼンテーションを聴こうとする人であふれ返った。部屋は満員の状態で出入口は塞がれ、座席の間や周りにも人の列ができるありさまだった。Priestという名のスタッフ(Defconスタッフはgoon[ならず者の意]と呼ばれる)は、会場の防火責任者によってカンファレンスエリア全体から人々が強制退去させられないように、膨れ上がった聴衆の一部を部屋の外に追い出したうえで、Potter氏のプレゼンテーションを開始させなければならなかった。

 ちなみに、Priest氏は大柄な人物で、伝え聞くところによれば元諜報員もしくは現役の諜報員であり、北京語が堪能だという。展示会の場にいる姿を見る限り、Defconでの彼は多忙をきわめているようだ。以前、私が彼を見かけたのは2004年だった。そのときには反体制的な発表者を相手に最初はその非常識な発言を止めさせようとし、その後は政治的意見の違いから怒りを露わにした参加者たちから彼の身を守ろうとしていた。

 この件にリンクされたYouTubeビデオでもPriest氏を見かけた。今年の“捜査員を探せ”セッションで、Dark Tangent氏(Jeff Moss氏の異名)を紹介しているところだった。だが、Defcon 2007で最も記憶に残るPriest氏の姿と言えば、カンファレンスガイドに掲載された写真のものだろう。確かな筋の情報ではないが、Photoshop使いの解析によれば、6ページ(Got Pr0n?のページ)にわずかに見える全裸でありながら慎み深い男性の姿は間違いなくPriest氏だという(国家機密に関わるため、名前は削除されている)。

 ようやくプレゼンテーションを開始できる状態になり、Shmoo Groupの創設者にしてBooz Allen HamiltonのベテランコンサルタントPotter氏が姿を現した。確かに彼は、話し方、押さえどころ、見せ方を心得ている洗練されたプレゼンターだった。残念ながら、話の内容が広い範囲にわたっていたのと主催者側が聴衆を法的に問題のない数にまで減らすのに時間がかかったせいで、彼が取り上げようとしていた話題のすべてが披露されることはなかった。だが、彼は2つの重要なポイントを確実に押さえていた。セキュリティ業界で最も一般的な方針の1つである“防御の多重化(defense in depth)”はまったくの無意味だ、と彼は語った。セキュリティの問題がコードや設計の不適切さから生じるとすれば、高い金を払って間に合わせの対策をしても解決にはならないというわけだ。あらゆる人にスキルを習得させることはできない、とも彼は述べていた。どんなに人々を教育しても成果の現れない人が出てくるだけであり、新人やおつむの弱い人には教育内容について十分に説明したうえで、受けるかどうかを決めさせる必要がある、と彼は言う。Potter氏は、情報の全面開示は終焉を迎えているとも主張していた。あまりに多くのお金が絡んでいるため、そうした透明性の存続は不可能だという。

カフェイン抜きのコーヒーなんて御免

CoffeeWarsを始めたのは誰か

 昔、ある白熱した議論がdc-stuffメーリングリストで展開された(当時は無秩序かつ知性派のメーリングリストだったが、世間一般の電子メールからは遠くかけ離れた世界だった)。議論のテーマは「ハワイのコナコーヒーとジャマイカのブルーマウンテンのどちらが上質か」だった。

 当然、この議論にはメーリングリストのほぼ全員が無関心だったが、Cancer Omega、Rob Nielsen、GriffJon、Etaoin Shrdluの4名はあくまでもこのテーマに固執した。ある意味ではこの議論が事の起こりだったが、当時はCoffeeWarsという名前もなく、まだDefconに影響を及ぼすものでもなかった。それでもなお、きっぱりとこの問題に決着を付ける場が必要だという意向が表明された。

 Rob Nielsen氏はCoffeeWarsの名とともに信望を得て、実際に最初のコンテストを行うきっかけを作った。そのため、この催しが始まったのはそのときだと言えるだろう。しかし皮肉なことに、Robは第1回のCoffeeWarsに参加しなかったため(彼は人前に出たがらない)、この催しの企画と実行は他のメンバーに委ねられることになった。

Foofus

 Full-Disclosureメーリングリストで毎年恒例のCoffeeWars(コーヒー戦争)について知り、今年の第8回には私も参加してきた。主催者のFoofus氏は手短にルールを説明してくれただけでなく、CoffeeWarsの歴史についての囲み記事の執筆も快く引き受けてくれた。

 私は、午前10時の正式開場前にルタマヤの中深煎りの有機コーヒー豆1ポンド(約450グラム)分を持ち込み、Foofus氏たちがテーブルやコーヒーミル、コーヒーを入れる器具のセッティングを行うのを眺めていた。審査員たちはコンテストの審査を楽しみにしている様子だったが、コーヒーに関しては非常に真剣な態度を見せていた。

 開場してからは、私がテーブルのそばを通り過ぎるたびにその周りに集まっている人の数が増えていくように見えた。そして2時間後、後片付けを始めた主催者たちの口から、CoffeeWars 8は成功だったという声が聞こえてきた。コンテストの結果は、Foofus氏の側で準備ができた時点で、CoffeeWarsのサイトで公表されるという。

まとめ

 私が参加したのは初日だけだったが、今年のDefconはその翌日の土曜日に正式に幕を閉じた。Black Hat BriefingsとDefconでセキュリティの専門家たちとほぼ一週間にわたって対面してきて、セキュリティ業界内部からの不満の声が大きくなっているのを感じた。そうした不満はJeff Moss氏からも聞かれ、その発端は問題について沈黙を守る研究者を選り好みしようとするベンダの法的におかしな態度にあった。情報セキュリティの分野で最も尊敬を集めている一人、Becky Bace氏もこうした状況を憂いている。また、Raven Alder氏は情報開示に関するパネル討論の中で聴衆席から意見を述べ、Bruce Potter氏は自身のプレゼンテーションの冒頭で明瞭かつ声高に次のようなメッセージを伝えていた。「誰も信用してはならない。たとえセキュリティ業界であってもだ。いや、セキュリティ業界だからこそ信用してはいけないのかもしれない」

Linux.com 原文