DEF CON DEF CON の電子バッジは長い間、参加者、技術者、コレクターの間で人気がありましたが、今年はまったく異なる理由で注目を集めています。
カンファレンスで配られるありきたりなプラスチック製の参加者バッジはもう忘れてください。ラスベガスで毎年開催されるDEF CONカンファレンスでは、ハッカーが自由に遊べるカスタムメイドの電子工作バッジが配布されるのが恒例となっています。バッジは毎年変更され、2024年モデルはRaspberry Pi Pico 2と同じプロセッサを搭載し、画面、ファームウェア、ボタンを備えた小型コンピューターで、1990年代の携帯型電子ゲームのような見た目です。カンファレンスの参加費は当日現金で460ドル(360ポンド)で、バッジ代も含まれています。
バッジにバンドルされているカスタムゲームボーイエミュレーターでプレイヤーがゲームを保存できないという静かな噂が、その後爆発的に広がりました。今年のDEF CON 32バッジのファームウェア開発者であるドミトリー・グリンバーグ氏は、金曜日に行われたこのプロジェクトに関する講演から物理的に排除され、DEF CON主催者とバッジのハードウェアを設計したエントロピック・エンジニアリング社は、この件に関して対立する声明を発表せざるを得なくなりました。
皆さん、私たちは昔ながらのハッカー騒動に巻き込まれています。
バッジタイムを過ごすことになるだろう
この問題を十分に理解するには、いつものように最初から始めるのが最善です。
両者とも、バッジの開発は2024年1月にDEF CONがハードウェア設計をEntropic社に委託したことから始まったと認めています。構想は、こちらで概説されているように、ベアメタルのGameBoyエミュレータでDEF CONをテーマにしたカスタムゲームをプレイできるバッジを制作することでした(このデバイスはPalmOSも実行可能です)。
グリンバーグ氏は、自身の複数の発言によると、ファームウェアの開発にボランティアとして取り組むという条件で同意したという。エントロピック社はDEF CONからハードウェア開発の報酬を受け取り、グリンバーグ氏は趣味でソフトウェア開発を行う予定だった。
DEF CON によれば、このプロジェクトにおける Entropic の作業は軌道から外れた、と言われている。
「予算が60%以上超過し、悪意のある請求が複数回発生し、製品がまだ試作段階であったため、DEF CONは作業停止命令を出した」とカンファレンス主催者は声明で述べ、「エントロピック・エンジニアリングのこうした問題はDEF CONに限ったことではないと聞いている」と付け加えた。
その時点で、DEF CONは、イベント用に注文された3万個のバッジの最終組み立てを監督するために自社のエンジニアをベトナムに派遣し、「好意で付けた」バッジケースからエントロピックのロゴを削除することを決定したと主張した。
Entropic 側の言い分によれば、プロジェクト全体が最初から失敗する運命にあったようだ。
「1月にDEF CONが要求した具体的な内容は極めて困難で、ほぼ不可能だった」とエントロピックは述べたが、同社のRaspberry Pi事業における設計パートナーとしての地位、新型Pico 2のRP2350チップへの早期アクセス、そしてグリンバーグと共同でゲームボーイエミュレータを開発した過去の実績により、同社はプロジェクトを進めることを決めた。
エントロピック社は、2024年1月に行われたプロジェクトに関する最初の会議で、今年のイベントではなく2025年のDEF CON 33に間に合うよう、バッジの製作を延期するよう主催者に働きかけたと主張している。DEF CONのバッジチームは、いかなる問題にも「対応し、軽減できる」と確信していたようだ。
エントロピック社によると、バッジは6月までに設計され、機能的なプロトタイプが製作されたという。同社はDEF CONに最新の作業費を請求し、イベントのバッジ1個あたりのコスト目標内に収めるため、請求額を25%値引きしたと主張している。「しかし、代わりに作業停止を要請され、すでに提供したサービスに対する支払いは行われないと告げられました」とエントロピック社は述べた。
「このプロジェクトにおけるいかなる見落としやミスについても、当社は責任を負い、責任を負います」と、エントロピックの共同創業者兼CTOであるマシュー・パン氏は、この件に関する同社の声明で述べている。パン氏はさらに、DEF CONが作業停止を要請した6月7日以前に完了した作業について、エントロピックは「過去数ヶ月にわたり、複数回にわたり公正な補償交渉を試みた」ものの、「解決に向けた試みは失敗に終わった」と付け加えた。
エントロピック社はさらに、「停止前に当社が受け取るべき金額の半分よりはるかに低い金額の、一度限りの『受け入れるか、拒否するか』の条件を提示された」と主張し、再びDEF CON社が交渉を拒否したと主張した。
「DEF CONがハードウェアやファームウェアの開発に対してエントロピック・エンジニアリングに支払いをしなかったという主張はすべて虚偽である」とDEF CONの関係者は声明の中で強調した。
エントロピック社のパン氏は、 The Register宛ての電子メールで、エントロピック社が期待通り支払いを受けたと言うのは間違いだと述べ、同社が支払義務があると主張する金額を引き出そうとしたにもかかわらず、これまでに DEF CON から受け取った金額は一部に過ぎないと繰り返した。
「与えられた『バッジ1個あたり』のコスト目標を達成しました」とパン氏は述べた。「また、DEF CONには、必要に応じてこの目標を達成するために、引き続き人件費をさらに値引きする意向を伝えました。」パン氏は、実際には作業停止命令が出されたと述べ、さらなる値引きを求める「何度も繰り返した申し出」に対して「意味のある回答は得られなかった」と付け加えた。
悪意ある行為による告発について、パン氏はDEF CONの声明を初めて聞いたと述べた。また、エントロピック社はDEF CONから「そのような告発について懸念している」という連絡は一切受けていないと述べた。
「当社は、毎月定期的に発行する請求書や更新情報のすべてについて、その正当性を保証します」とパン氏は述べ、誤りがあれば訂正する機会があれば喜んで応じると述べた。
パン氏は、DEF CON主催者が許可すれば、領収書、請求書、費用予測、そしてエントロピックとDEF CON間の和解に関するやり取りを共有する用意があると述べていました。DEF CON主催者はこの件に関する追加質問への回答を拒否しており、エントロピックが両者間の話し合いを公開することを許可したかどうかについて問い合わせたところ、後ほど連絡するとの回答でした。
「バッジチームが作業停止命令を出す決定の根拠として挙げた極度の予算制限を考えると、土壇場で型からロゴを削り取るのにどれだけの費用がかかったのか気になる」とエントロピックの創設者は付け加えた。
イースターエッグに入ると、グリンベルグから出ると
こうした意見の相違があったにもかかわらず、DEF CON は、エントロピック社の社員ではないグリンバーグ氏をパネルに招き、バッジのコンセプトと開発について議論する用意があると述べている。少なくとも、グリンバーグ氏がエントロピック社と DEF CON の対立中に抗議としてバッジのファームウェアにイースターエッグを忍び込ませたことが明らかになるまでは。
FNボタンを押してメニューを開き、「About」を選択して「A」を押し、「Select」を押すと卵が表示されます。グリンバーグ氏は、エントロピック社がデバイスから削除されたこと、電子部品の作業費をめぐる争い、そしてバッジ製作に関する同社の言及が番組の宣伝から一切削除されたことに不満を抱いていたため、エントロピック社のロゴを表示し、ビットコインによる寄付を募るために卵を追加したとされています。
イベント主催者は、この機能、特に寄付の呼びかけがソフトウェアに予期せず追加されたことに不満を抱いていました。彼らにとって、これはプロジェクトが適切に運営されていなかったと感じていた最後の一撃でした。
「講演が行われる直前に、DEF CONはファームウェアに不正なコードが含まれていたことに気づいた」と、バッジの開発に関するステージ上のプレゼンテーションに言及して、ハッカーイベントの主催者は述べた。
このイースターエッグコードには「盗まれたクレジットが返却された」という行が表示され、誰が電子機器を設計したかが明らかになりました。これは、エントロピックがDEF CONから不当な扱いを受けたと感じたグリンバーグ氏による一種の抗議の表れです。パン氏は、BTCウォレットのアドレスリンクはエントロピックの所有物であると確認しました。
物議を醸したDEF CON 32バッジのイースターエッグ。ビットコインウォレットのアドレスは削除されている。クリックして拡大
パン氏は、グリンバーグ氏のイースターエッグは冗談のつもりだったと説明した。DEF CONは別の説明をしている。「不正なコードについて尋ねられたエンジニアは、2ヶ月前に『冗談』として作ったもので、削除し忘れたと答えた」
「こういう低リスクのプログラミングのいたずらは、DEF CON参加者にとっては得意な言語です」とパン氏は語った。「私たちのコミュニティでは、こういうイースターエッグはバグではなく、機能として捉えられています。」
一方、グリンバーグ氏は「スクリーンのことはすっかり忘れていた」と語り、決してスクリーンを取り外さなかった。
グリンバーグ氏は電子メールでの声明で、ファームウェアを完成させ、イースターエッグを追加したのは2か月以上前、「感情が高ぶり、ヒューズがすぐに切れそうだった」ときであり、カンファレンスまでの残りの時間は「DEF CONがバッジのユニークな機能を利用できるようにGameBoyゲームを適応させるのを手伝った」と語った。
「チップの事前書き込みの締め切りに間に合わず、29,770個のバッジをボランティアが手作業でプログラムしなければならなかったため、土壇場で対応しなければならない問題が数多く発生しました」とグリンバーグ氏は語った。
グリンバーグ氏は、このイースターエッグは、誰かが偶然画面にたどり着いた場合に、エントロピック社に「正当な評価」を与える「面白くて公平な」方法だと考えていると述べ、DEF CON にはファームウェアのバイナリを調べて独自にそれを見つけるのに何カ月もの時間があったと指摘した。
しかし、DEF CONの主催者は、この件を面白いとは思っておらず、このメッセージを含めることは「我々が交渉した額を超えてDEF CONの参加者から金銭を募る」試みだと述べた。
意見の相違をさらに複雑にしたのは、DEF CON側がバッジパネルの開始直前までイースターエッグの存在を知らなかったと主張していることです。イベント主催者がそれを知った後、グリンバーグ氏をパネルから招待しないことを決定しました。
- セキュアWebゲートウェイは、情報セキュリティの専門家が数十のバイパスを発見したため、全くそうではない。
- Googleのクイックシェアを使って、巧妙にワイヤレスで誰かの近くのWindows PCにマルウェアを注入する方法
- DEF CONは中止!いや、今回は本当に中止です。でもショーは開催されます
- ソフトウェアのイノベーションは以前とは違っており、モクシー・マーリンスパイクはアジャイルのせいだと非難している。
グリンバーグ氏は、講演の30分前までメンバー変更について知らされていなかったが、パネルへの参加は「約束されていた」ため、とにかく出席することにしたと主張し、その結果、DEF CON のグーン(グーンとは、全員ボランティアの警備スタッフの自称ニックネーム)の一団が彼をステージから持ち上げて退場させた。
DEF CONによると、グリンバーグ氏は「退席を拒否し、警備チームに退席を要求した」とのことです。警備チームはその要求に快く応じました。「私たちは彼の希望に従い、彼をステージから退席させました。彼はその後も自由に会議に参加できました。」
事件の写真と動画には、グリンバーグ氏が法執行機関から退去を求められ、会議への出席が制限されている様子が映っている。路上で彼は、バッジについて傍観者に即興で講演を試み、電子機器にサインをしようとした。
グリンバーグ氏は、ラスベガスのカンファレンスセンターの外で、ショーの残りの期間中、グーン(グーン)全員に自分の状況について尋ねたと語った。グーンたちは彼に対してどう対応すればいいのかわからないと言われたが、もし入場したら「フラグが立てられる」だろうと言われたという。
「それが何を意味するのか、いまだによく分からないし、知りたいとも思わなかった」とグリンバーグ氏は付け加えた。
ファームウェア開発者は、DEF CONの声明にあるいくつかの主張にも憤慨していると述べた。その主張には、「我々がEntropic Engineeringに制作を依頼したファームウェアに不正コードが含まれていた」という同組織の主張も含まれている。
「エントロピック社は、このバッジのコード作成に関して一切報酬を受け取っていません」とグリンバーグ氏は語った。「私はエントロピック社とは一切関係がありません。DEF CONもそのことは承知しています。実際、このバッジのコード作成に関して、誰にも報酬は支払われていません。」
グリンバーグ氏はまた、DEF CON の「無許可コード」という主張に異議を唱え、「コードの残りの部分は何らかの形で『許可されている』と示唆しているため、この考え方は理解しにくい」と語った。
「もしDEF CONがファームウェアにガイダンスが提供されたと示唆しているのであれば、チャットログで私が見つけたのは、ゲーム画面を囲むカラー画像の要求と、バッジの起動時にゲームが自動起動するようにという要求だけだった」とグリンバーグ氏は述べた。「この解釈では、バッジ上のすべてが『不正コード』になってしまう」
さらに、彼はDEF CONが自身のコードを使用しているとして、DMCAに基づく申し立てを行うことを検討していた。グリンバーグ氏はまた、DEF CONが言及した、彼とエントロピックの間の未払い問題について明確に説明を求めていた。グリンバーグ氏はこの件を「不正」と呼んでいた。
「私とエントロピック社の間には、これまでも、そして今も、いかなる対立もありません」とグリンバーグ氏は説明した。「『盗まれたクレジットは返還される』というイースターエッグがすべてを物語っています」
パン氏も同様に、DEF CONの声明にある主張のいくつかは「混乱を招き、失望させられる」ものだと述べた。特に、大会が経験した問題はバッジ発行に限ったことではないという主張は、その通りだ。パン氏は、エントロピック社の複数の顧客と話をしたが、「(DEF CONの)懸念を共有する人は誰もいなかった」と述べた。
「しかしながら、ビジネスの慣行やパターンについては、コミュニティの皆様には、過去および現在のDEF CONカンファレンスのベンダーに連絡を取ることをお勧めしています」とパン氏は主張した。「私たちは、残念ながら、その層に加わってしまったのかもしれません。」
バッジのソフトウェアについて言えば、ゲームを保存できない人向けのアップデート(作業停止命令が出されたときに Entropic が解決しようとしていた問題)が DEF CON のバッジ サイトで提供される予定です。®
