ハッキング|XPWN

8月中旬のISC360/HackPWNにつづいて、8月末にはKCON/XCON+XPWNがたて続きに開催されました。

f:id:alienware:20160913224947p:plain

 

KCONのネーミングは主催者KNOWNSEC社の頭文字Kからとったもので、6月西安会場に続いて今回が北京会場、会場に約800人もが来場されました。朝一の開場式からロックバンドを入れてガンガンやったKCONと比較してXCONは比較的こじんまりとした感じで、人数も200人くらいと抑え気味でした。両カンファランスとも、ブラックハット主催者のジェフご一行が来場されまして、この2つのイベントが重要視されてることが示されました。

f:id:alienware:20160913224756p:plain

 

さてカンファランスはさておき、XCONの後半に行われたハッキング競技のXPWNに焦点を当ててみます。

f:id:alienware:20160913225649p:plain

 

昔と違って、このようなハッキング実演・競技の会場は派手になりつつあり、いろんなパフォーマンスの要素を入れております。

こちら入場のパネルですが、外人のモデル2名を設置し、幻想的な、ギリシアチック?な演出をしておりました。

f:id:alienware:20160913230022p:plain

 

今回の賞金は延べ500万人民元用意されましたが、換算すると約1億円!にも達してました。

f:id:alienware:20160913230302p:plain

 

XCON/XPWN主催者の王さん。相変わらずお元気でした。

f:id:alienware:20160913230516p:plain

 

ブラックハット主催者の Jeff Moss氏。彼の中国での知名度はなかなかのものでした。

f:id:alienware:20160913230616p:plain

 

壇上にはハッキング実演専用の台が設けられ、進行状況を即時で背面大スクリーンで中継。

f:id:alienware:20160913230802p:plain

 

そして今回ある意味会場で一番目立ってたのが、これらの「会場中継美女団」。各自自撮り棒を用意し、それぞれが主役になり会場の様子をSNSで中継しておりました。

勿論、各々美女がSNSでの「主役」で、会場はある意味「配役」と言う、これまでの報道とは真逆の視点の報道仕方ですが、ハッキングとかハッカーなど馴染みない人たちにとっても、女性の美貌に釣られて?このイベントに関心をよせるという、ある意味非常に斬新的なやり方に感心しました。

f:id:alienware:20160913230923p:plain

 

 

さていくつか実演された製品です。もちろん、対象になった製品のメーカさんにとってはあまり喜ばしいことではないかもしれませんが。。。

 

●シャオミXiaoMiのホーム・ゲートウェイ

名の通り、家電製品やXiaoMi社が販売している家庭内用の様々なセンサー(温感、ドアロック、湿度などなど)を一括してコントロールする装置です。

特筆すべき事項は、XiaoMi社のセキュリティ担当者も来場しており、ハッキング実演の後に次のようなアクションを行っておりました:

ー壇上で脆弱性発見者に謝辞を述べた

ー該当脆弱性に対しすでに対処済みであり、パッチ公開済みである

ーXiaoMiのすべての新・旧製品に対し自動更新でパッチを当ててある

たとえパフォーマンスにせよ、中国でもこのようなセキュリティに対しちゃんと責任を取るベンダーが増えることは実に喜ばしいことです。

f:id:alienware:20160913231521p:plain

 

●ルータ:iKuai&極

セキュリティ対策が施されていないルータはもはや脆弱性の宝庫、ウェブ系を始め、いろんな脆弱性がゾロゾロでてきます。

f:id:alienware:20160913231530p:plain

 

●ソ○ー VxIO

さて日本メーカの製品がついに出てしまいました。。。わかる方にはもはや文字隠しても意味が無いと思いますが一応。

f:id:alienware:20160913232032p:plain

 

この脆弱性というのは、BIOS画面でパスワード入力を設定すると、起動時パスワード入力が要求されます。

f:id:alienware:20160913232258j:plain

これを三回間違えると、ワンタイム・パスワード入力画面に切り替わると言うもの。

f:id:alienware:20160913234727j:plain

このパスワード生成アルゴリズムで使用されているKEYが64ビットで、破られてしまった模様。発見者はもっと強固な1024ビットあるいは更に長いKEYを使用すべきだ、と説明しておりましたが、そもそも1024ビットで生成された、人間入力が非常に困難な長いパスワードを使うのは非現実的なのではないか?という疑問は残ります。

 

●自販機(メーカ名などは伏せてました)

今回一番パフォーマンス・チックに満ちたのが自販機。

f:id:alienware:20160913232746p:plain

中国の自販機はサードパーティ(alipay, wechatpay)のオンライン決済機能を搭載しており、もはや大きなIoTと化しておる状態。実演では、細工した二次元バーコード情報を自販機スキャン・インターフェイスから 読み込ませ、料金を支払わない状態でドリンクを無尽蔵に引き出すデモンストレーションを行っておりました。

 

ジェフ氏も興味津々の模様でした。

f:id:alienware:20160913232758p:plain