bobuhiro11's diary

セキュリティ・キャンプ2013

21 Aug 2013
[2013] [キャンプ] [セキュリティ]

8/13から8/17まで五日間,セキュリティ・キャンプ2013に参加していました.ゼミ中心に書こうと思うので,時系列でキャンプの全体像を知りたい方は,先人たちが書かれた素敵なエントリたちを探してみてください.

自分は@aymmm_iさんと同じ,セキュリティなシステムを作ろうクラス,セキュリティの見える化を考えるゼミというところです.@aymmm_iさんは,情弱かもと話しながらも,半田さんと朝から晩まで議論してしまうあたり,一番セキュリティに詳しいのかもしれません.自分にはついていけない世界でした(唐突に,バグと脆弱性の違いを聞かれても分かりません).

自分はLSM(Linux Security Module)を使って,Linuxのアクセス制御モジュールを作っていました.TOMOYO開発者の半田さんと,アクセス制御について研究している忠鉢さんと開発を進めていきました.SELinuxは,超人による超人のためのセキュアOS(システムコールレベルで把握するのは無理!!)で企業で全く使われていない現実を知り,勿体無い,寂しいという印象を受けました.そこで,特定の用途(まずは,SSHログインを強固にしよう)に限定したアクセス制御モジュールを作りました.その後は,やっぱりTOMOYOのような学習モードが欲しいってことで,設計していましたが,実装は出来なかった.技術不足ですね.

なんかアクセス制御は最終的には,ドメインの遷移の話になり,似たような仕組みになってしまうような気がしました(ここらへんで,オリジナリティ出せればいいんだけどな).SELinux,TOMOYO等whitepolicyでポリシーを作ろうとしたところで学習モードに漏れがあるかもしれないし,blackpolicyにしたところで(そんなのあるのか分からんけど),正当なアクセスはどう判断するのって話になるし,まだ未完成の部分もあると思います.「カーネル内のアクセス制御は時代遅れ」という見方もあるようですが,今の自分には強力,有効な仕組みに感じています.それはユーザランドからカーネルランドに依頼をするにはシステムコールしかなく,そこを制限してやるというのは,本質的だと感じるからです.

他のクラスの詳細は分かりませんが,うちのクラスでは独自の言語を作ったり,フルスクラッチでOSを作ったり,セキュアなマイコンを作ったり,Mode 2 seccompでサンドボックスを実装したり,LeapMotionを使ったCTFを作ったりしていました.技術力の高さに驚かされます.

CTFは,Zenkaku_Busters!として参戦しましたが,初参戦に関わらず3位になりました.@y1r96@sters9@leo_hio,ありがとう.それと妨害コンテンツを持ってきてくれた方ありがとうございます.最後にお土産を頂き,本棚も豪華になりました.ありがとうございます.

seccamp


comments powered by Disqus < LSMについて調べてみた.(続き) GCM - Google クラウドメッセージング >