およそ四半世紀前、数人のハッカーが安ホテルでパーティーを開こうと決め、大いに楽しんだ。
2018 年に早送りすると、その集まりは、推定 30,000 人がラスベガスに集まり、Black Hat USA、DEF CON、BSidesLV を組み合わせた世界最大のセキュリティ イベントを開催するイベントに成長しました。
この最初の集まりが DEF CON ハッキング カンファレンスへと発展した一方、最大のイベントは土曜日に始まり 8 月 9 日木曜日まで開催される Black Hat USA です。これは DEF CON の派手な企業版で、4 日間のセキュリティ トレーニング、招待者限定の 1 日間の CISO サミット デー (報道関係者は厳重に禁止)、そして政府機関のエージェントから筋金入りのハッカーまでが業界の秘訣を語る 2 日間のブリーフィングが予定されています。
DEF CONの創設者ジェフ・モスはBlack Hat USAも設立しており、両者の起源は共通していますが、現在ではDEF CONとBlack Hat USAは別々に運営されています。ハッカーコンベンションの参加者のためにコンピュータネットワークを構築・維持するという、舞台裏で行われている骨の折れる作業については、以前記事にしました。
Black Hatに10年も参加しているこの謙虚なハゲタカから言わせてもらえば、このイベントから学べることはたくさんあるはずです。講演はいつも多すぎて参加できないし、関連イベントも盛りだくさんです。しかし、講演の質は非常に高いです。これは、基調講演の一部を最高額入札者にオークションで売り飛ばすRSAとは違います。
その代わりに、講演は主に実績と独創性に基づいて選ばれており、過去には大物講演者もいました。10年前のBlack Hatで、ダン・カミンスキー氏は世界中のドメインネームシステム(DNS)に大きなセキュリティホールを発見した経緯を詳しく説明しました。当時、私は彼になぜ暴動を起こしてその欠陥を悪用し、その収益で無人島を買わなかったのかと尋ねました。彼は、母親が刑務所に面会に来なければならない状況を避けたかったからだと答えました。
そしてもちろん、残念ながら亡くなったバーナビー・ジャックは、2010 年にブラック ハットのステージに上がり、ジャックポットと呼ばれる手法で現金自動支払機からドル紙幣を吐き出させた。
YouTubeビデオ
しかし、ネットワーキングの機会も同様に重要です。マンダレイベイ・カンファレンスセンターのバーやカフェは、セキュリティ担当者で賑わい、取引を交わしたり、情報交換をしたり、同僚と交流したりしています。
スーツを脱ぎ捨てる
ブラックハットは8月9日に終了し、DEF CONが始まり、日曜日まで開催されます。ただし、ネバダ砂漠で行われる爆発物や花火のハッキングなど、数多くの非公式イベントがあるため、体力に余裕があればさらに数日滞在する価値があります。
Black Hatが、悪意あるハッカーの一歩先を行くための秘密やテクニックを教えてくれるなら、DEF CONは、ソースコード、逆アセンブルされたバイナリ、分解されたハードウェアに直接飛び込みたい人のためのイベントです。ハードコアなハッカーたちが集まるイベントで、次世代の技術者たちがスキルを磨くために、子供たちを連れて参加する人も増えています。
ブラックハットにはスーツ姿の人が多いのに対し、DEF CONはカーゴパンツとモヒカンヘアの人が多いですね。リラックスした雰囲気で楽しく、時折酔っ払いも出てきて、パーティーは伝説的です。ただ、このショーは規模が大きくなりすぎて、見るものややることが多すぎるのが残念です。
遅れて登場したBsides Las Vegasは、火曜日と水曜日に開催されます。参加者はわずか数千人程度と小規模なイベントですが、DEF CONがかつてこれほど大規模になる前の雰囲気を彷彿とさせます。
昨年のイベントでは、Black Hatにとってはあまりに議論を呼ぶ内容だったり、複雑すぎる内容だったりする興味深い講演が数多く行われました。今回も非常にカジュアルな雰囲気で、プールパーティーは酔っ払いの楽しいイベントとして急速に評判を高めています。
ハッカーをハッキングする
これら3つのカンファレンスには、ハッキングの可能性という共通の懸念事項があります。参加者全員に、ご存知の通りハッカーが潜んでいるため、特に注意するよう警告されています。
このリスクはやや誇張されている。Black Hatで深刻な被害に遭った人は何年も前から存在し、最後にそのような行為をした人は会場から即座に退場させられた。Bsides氏もまた、このような行為に否定的な見方をしている。
親愛なるオルト右翼のバカとその他の悪党たちへ: DEF CONを妨害すれば、悪党たちがあなたたちを
続きを読む
しかし、DEF CONではそれが積極的に奨励されています。実際、「Wall of Sheep」というシステムや接続が狡猾なクラッカーの餌食になった人たちの名前が常に更新され、表示されます。パスワードやメールアドレスなど、パブリックネットワーク経由で平文で送信されたものはすべて盗聴され、大きく書き込まれます。
DEF CONカンファレンスのWi-Fiは、システムの包括的なペネトレーションテストを無料で受けたい場合にのみご利用ください。もちろん、既知の脆弱性を狙ったエクスプロイトやテクニックに遭遇する可能性はあります。ゼロデイエクスプロイトは個人の買い手から高額な報酬を得られるため、誰かがそれを公の場で暴露する可能性は低いでしょう。エクスプロイトをばら撒いて、誰でもキャプチャ、保管、配布できるようにすることは、その市場価値をいくらか下げることになります。
ですから、賢明な予防策を講じることが大切です。旅行の最後にデータを消去しても構わない機器を持参し、個人情報や機密情報を保存したりログインしたりしないでください。また、必ずパッチを適用し、ロックダウンしてください。公共のWi-Fiや携帯電話ネットワーク、あるいは怪しいネットワークには接続しないでください。携帯電話の電源は切っておくのも有効です。USBポートに無料のものを接続しないなど、他にも注意すべき点があります。
セキュリティ上の考慮事項も幅広く存在します。カンファレンス会場内や周辺にあるATMは、カードスキマーが多数稼働している可能性があるため、利用するのは賢明ではありません。Black Hatがまだシーザーズパレスで開催されていた頃、ある参加者がホテル内に怪しいATMがあることに気づきました。主催者に報告したところ、カンファレンスは誰が犯人かで大騒ぎになりました。しかし、結局、犯人は誰もいませんでした。ATMは数週間前に正体不明の犯罪者によって設置されていたのです。
行くなら、安全第一で、親切に、そして安心に過ごしてください。そして、もし隅っこでRegハッカーがキーボードを叩いているのを見かけたら、遠慮なく声をかけてください。®
