まっちゃ139#22に行ってきた
第22回まっちゃ139勉強会+セキュリティキャンプ・キャラバン in Osakaに参加した.まっちゃさん,はずきんさん,発表者の方々,スタッフさん,そして関西学院大学さんありがとう!
どの発表もネタの仕込みが素晴らしく,面白くて,爆笑が絶えない勉強会だった,本当に楽しかった.次も是非参加したい!つぎはお菓子にも期待!
発表内容に関していうと,セキュリティキャンプに関する発表が多かった.勉強会の参加者が50-60人ぐらいで,そのうち20人程度は卒業生だったらしい.発表内容を聞いてすごく楽しそうだなあと思った.あと,セキュリティ・脆弱性に関する実例や,発見時のフロー等を知ることができたのがよかった.普段はあまり意識することが無いから.
つぎに,懇親会.いろんな人とお話ができ,楽しかった.
そして最後は黙祷。今まで通りの日々が過ごせる事に感謝して。
以下メモ(印象的だった点)
園田さん「魅惑のセプキャン」
- 保護者に説明するために共催/後援は重要
- 2004年からセキュリティ/2008年からセキュリティ&プログラミング
- 「パネルDISカッション」
- 「#!all your languages are belong to us」
- 「0と1しかきょうみない」
- なぜセプキャンをやっているのか
- →セキュリティの専門家は増えてきたが,モノづくりの現場に技術者が不足している
- Q1.ICTスクール/セプキャンのようなものを続ける事ができるように,講師側ができること
- A1.広報活動(RTとか).世間の評判が良いと役所としてやりやすい.キャンプ卒業生の活躍(こんなシステム/サービス作った!という評判).
uehiroさん「セキュリティキャンプに参加して」
- セキュリティキャンプ2005 ネットワークコース
- 落選しても諦めない!
Pasta-Kさん「セキュリティ&プログラミングキャンプに参加してから僕がやったことのはなし」
- セキュリティ&プログラミングキャンプ2009 プログラミングコースプログラミング言語組
- セプキャンでやったこと:Rubyの聞こえる化
- セプキャン参加後にやったこと:夏コミ!同人誌作った.快楽的技術読本(R18じゃないよ)
- http://www.slideshare.net/pastak/ss-7246070
蜜葉優さん「Windows Phone7」
- ぬるぬるうごくWinodws Phone7
- 日本では数少ない
- カメラ映像も写真の一種(プレビュー画面でそういう扱いになっている)
- Q1.日本語対応は?
- A1.裏でSocialIMEを動かしてやってる
はせがわようすけさん「Webセキュリティ組 講師内容の紹介」
- 講義内容は,脆弱性の実例/脆弱性調査-解析方法/報告フローについて
- 「脆弱性,指摘する人:-)される人:-(」
- 脆弱性とは……性能に悪影響がある/アクセス制御が働かない
- 報告する人,される人
- 実例1
- 実例2
- なぜ修正に時間がかかるのか/放置されるのか
- Q1.セキュリティを守るに,特殊な操作を含むか?
- A1.発生想定数/被害ユーザ数によりけり.URLをクリックするだけで実行出来るのは敷居が低い.一方,特定のブラウザ,バージョン,ファイルが必要等あれば敷居が高い.
- Q2.セキュリティコンサルと,報奨金は程度がリンクしているか?
- A2.yes. セキュリティコンサルであれば100万円程度.報奨金であれば20-30万/件(google の場合).
園田さん「脆弱性とはなにか」
- バッファオーバーフローだけなら暴走するだけ,各種設定も必要
- ファジングツールというものがある
- Q1.ソフトウェアの使い方のデメリットは,多人数の議論でないと発見出来ないか?
- A1.セキュリティの意識を持った(目覚めた)人必要である.悪いことを発想できる人.そういう人がモノづくりの現場に不足している.
- Q2.匿名性のコントロールはどのようにして行うのか?
- A2.まだみえていない.TwitterとFaceBookの匿名性の違いはなにだろうか.
- C. 提供者が匿名性を求めているかの違いがある.Twitterは匿名性を求めていないが,FaceBookは実名を求めている.
- Q3.脆弱性の対策は,上流工程,コーディング工程,テスト工程の各工程にセキュリティ技術者が必要.全員がセキュリティに興味をもつというのは難しいと思う.どうやって対策を行えばよいか?
- A3.啓蒙活動もあるが,セキュリティを踏まえたフレームワーク(仕組み)を使うようにした方が速いし,効果的だと考えている.各人が意識せずにセキュリティを確保できる仕組みが良い
- C. 脆弱性を考えたときは,それを悪用して最悪の場合で何ができるかを考えるのが良い
- Q4.限られたコストの中で,どこまで対応するのか?
- A4.ファジングツールは機械的に網羅的に行う
- (※テストドリブンなやり方で,網羅的にテストできるファジングツールを使うということ?)
flatさん「Pass-the-hash」
- @IT セキュリティダークナイト
- john the ripper / ハッシュ済みデータベースじゃなくて,ハッシュデータそのものを使って認証を回避するぽい
- http://www.sans.org/reading_room/whitepapers/testing/pass-the-hash-attacks-tools-mitigation_33283 あたりを後で読む