Black Hatが終わり、DEFCONが始まる

Joe-Barr(2006年8月4日(金))
シェア
ラスベガス — Black Hatのブリーフィングが昨日終了した。テンポが速く、混雑した、ときには慌しかったプレゼンテーション、パネルディスカッション、Turbo Talksが行われた丸2日間であった。多くのBlack Hat参加者は、FBIも一般市民も、3日間のDEFCONのために、このままラスベガスに残ることになる。

私の今年のBlack Hatでの体験はまずまずの滑り出しだった。ホテルにチェックインするため長い行列に並んで待っている間、私はお気に入りのLinux Tシャツを着ていた。これは、数年前のLWCE San FranciscoのときにLinux Journalのブースで手に入れたもので、正面には”Geek by nature”(根っからマニア)、背中には”Linux by choice”(好きでLinux)とプリントされている。

行列で私の前に並んでいた2人の女性が私のTシャツのまず正面を気に入ってくれて、背中にオチがあるのかと聞いてきた。私は振り返って背中のプリントを見せてあげると2人とも笑って、素敵ねといってくれた。そのうちの1人が”Avoid the Gates of Hell, run Linux.”(地獄の門=ビル・ゲイツをくぐるな、Linuxを使おう)と書いてあるナンバープレートのフレームを持っていると教えてくれた。私はすぐに2人がコンピュータに関してはかなりの玄人だということがわかった。私たちは名刺交換をし、Black Hatが終わる前に、3人でディナーを楽しみ、2人のマニア遍歴のインタビューを録音した。

パブリックディスクロージャー

Black Hatの創設者、Jeff Mossを中心として「研究者」、エンドユーザー、ベンダー、顧客たちが集まり、みなで脆弱性のパブリックディスクロージャーについて言い合ったり、考え方を議論したりするパネルディスカッションを私は楽しみにしていた。メディアで注目を集めていた初日のこのディスカッションで私は「ディスクロージャー」について彼に質問するつもりだったので、Mossがどこかでつかまってしまって来れなくなったのは残念だった。

私が不審に思ったのは、Appleラップトップの眉唾なハックのやらせ収録済みデモについてだ。そのラップトップは、Appleユーザーを困惑させるためだけに、プレゼンターが本体組み込みのワイヤレスデバイスを無視して、PCMCIAのワイヤレスネットワークカードを使うことで被害を受けたのだが、弱点があったというカードのメーカーやモデルは公開されないのだ。そんなもので誰がよろこぶというのだろうか。

Black Hatではない。彼らはやらせデモ部門ではマイクロソフトにはかなわない。参加者たちでもない。彼らはサーカスの見世物から何の価値も見出さなかった。間違いなく、公開されないハードウェアに基づくハックのリスクがあるらしいカードを使っているユーザーでもない。プレスだろうか。確かに一部のWebサイトにいくらか注目を集めることはできただろう。プレゼンターだろうか。もちろん彼らは15分間注目を集めた。ベンダーだろうか。それは私にはわからないが、多分そうだろう。

私の考えでは、そのパネルディスカッションはAppleラップトップのハックなみに不正なごまかしだった。私はパネリストに誰か完全なディスクロージャーに賛成する人がいるかと質問したが、せいぜい「状況次第」と答えるのが精一杯だった。もちろんマイクロソフトの代表者は沈黙を守り、SunもCiscoも同様だった。

司会者(申し訳ないが、それがMossでなくてがっかりしてしまったので名前を忘れてしまった)が同じ質問を聴衆にし、続いて完全なディスクロージャーに反対する人がいるかと質問した。どちらの極論にも聴衆の約20%が賛成した。

私の印象では、パネリストが脆弱性を単に別の形態の知的資本と考えていて、彼らがみな自分たちの利益がもっとも増える方法でそれを管理したいと考えているように思われた。彼らがこの問題を慎重に避けようとするとき、彼らの口からは倫理、信用、正直、といった言葉が出てきた。マイクロソフトやCiscoやSunが自分たちの利益を最大にしようとする以外に何かをするなどと、誰が信じるだろうか。

「研究者」たちができる限り情報を確保したがったのは、それによってベンダーよりもある種の力を持つことができたからだ。他の人々は単に脆弱性を売り物にするが、パネリストでこのカテゴリには入る者はいないと思う。

司会者は、パッチが準備できる前に脆弱性のパブリックディスクロージャーを行うと、悪意のある者がそれを知って被害を与える可能性があるので反対だという聴衆が誰もいなかったことにショックを受けたと言っていた。そこで最後に誰かが立ち上がって彼の味方をした。もし彼が私に聞いてくれたなら、ベンダーがパッチや回避策を見つけられない問題があった場合、パブリックディスクロージャーによって、症状を悪化させるのではなく、症状を改善する方法が出てくるかもしれない、と言っただろう。しかしその機会はなかった。

フリーソフトウェアに感謝だ。私はこんなパネリストたちの言いなりにはなりたくない。それが今年のBlack Hatブリーフィングでの私の結論である。

さて次はDEFCONだ。

NewsForge.com 原文