まっちゃ139#22に行ってきた

第22回まっちゃ139勉強会+セキュリティキャンプ・キャラバン in Osakaに参加した.まっちゃさん,はずきんさん,発表者の方々,スタッフさん,そして関西学院大学さんありがとう!

どの発表もネタの仕込みが素晴らしく,面白くて,爆笑が絶えない勉強会だった,本当に楽しかった.次も是非参加したい!つぎはお菓子にも期待!
発表内容に関していうと,セキュリティキャンプに関する発表が多かった.勉強会の参加者が50-60人ぐらいで,そのうち20人程度は卒業生だったらしい.発表内容を聞いてすごく楽しそうだなあと思った.あと,セキュリティ・脆弱性に関する実例や,発見時のフロー等を知ることができたのがよかった.普段はあまり意識することが無いから.
つぎに,懇親会.いろんな人とお話ができ,楽しかった.
そして最後は黙祷。今まで通りの日々が過ごせる事に感謝して。


以下メモ(印象的だった点)

園田さん「魅惑のセプキャン」

  • 保護者に説明するために共催/後援は重要
  • 2004年からセキュリティ/2008年からセキュリティ&プログラミング
    • 「パネルDISカッション」
    • 「#!all your languages are belong to us」
    • 「0と1しかきょうみない」
  • なぜセプキャンをやっているのか
    • →セキュリティの専門家は増えてきたが,モノづくりの現場に技術者が不足している
  • Q1.ICTスクール/セプキャンのようなものを続ける事ができるように,講師側ができること
  • A1.広報活動(RTとか).世間の評判が良いと役所としてやりやすい.キャンプ卒業生の活躍(こんなシステム/サービス作った!という評判).

uehiroさん「セキュリティキャンプに参加して」

Pasta-Kさん「セキュリティ&プログラミングキャンプに参加してから僕がやったことのはなし」

蜜葉優さん「Windows Phone7」

  • ぬるぬるうごくWinodws Phone7
  • 日本では数少ない
  • カメラ映像も写真の一種(プレビュー画面でそういう扱いになっている)
  • Q1.日本語対応は?
  • A1.裏でSocialIMEを動かしてやってる

はせがわようすけさん「Webセキュリティ組 講師内容の紹介」

  • 講義内容は,脆弱性の実例/脆弱性調査-解析方法/報告フローについて
  • 脆弱性,指摘する人:-)される人:-(」
  • 脆弱性とは……性能に悪影響がある/アクセス制御が働かない
  • 報告する人,される人
  • 実例1
    • Unicodeで反転(RLO)を含む場合
    • ファイラで見た目の拡張子と実際の拡張子が一致しないことがあり得る
  • 実例2
  • なぜ修正に時間がかかるのか/放置されるのか
    • 他社製品(プロダクト,シェアウェア)を使っていて,修正できない
    • オープンソースを修正する技術力が不足している
    • 予算が無い
    • 社内プロダクトでも技術者が居なくなった/外注先がなくなった,など
  • Q1.セキュリティを守るに,特殊な操作を含むか?
  • A1.発生想定数/被害ユーザ数によりけり.URLをクリックするだけで実行出来るのは敷居が低い.一方,特定のブラウザ,バージョン,ファイルが必要等あれば敷居が高い.
  • Q2.セキュリティコンサルと,報奨金は程度がリンクしているか?
  • A2.yes. セキュリティコンサルであれば100万円程度.報奨金であれば20-30万/件(google の場合).

園田さん「脆弱性とはなにか」

  • Q1.ソフトウェアの使い方のデメリットは,多人数の議論でないと発見出来ないか?
  • A1.セキュリティの意識を持った(目覚めた)人必要である.悪いことを発想できる人.そういう人がモノづくりの現場に不足している.
  • Q2.匿名性のコントロールはどのようにして行うのか?
  • A2.まだみえていない.TwitterFaceBookの匿名性の違いはなにだろうか.
  • C. 提供者が匿名性を求めているかの違いがある.Twitterは匿名性を求めていないが,FaceBookは実名を求めている.
  • Q3.脆弱性の対策は,上流工程,コーディング工程,テスト工程の各工程にセキュリティ技術者が必要.全員がセキュリティに興味をもつというのは難しいと思う.どうやって対策を行えばよいか?
  • A3.啓蒙活動もあるが,セキュリティを踏まえたフレームワーク(仕組み)を使うようにした方が速いし,効果的だと考えている.各人が意識せずにセキュリティを確保できる仕組みが良い
  • C. 脆弱性を考えたときは,それを悪用して最悪の場合で何ができるかを考えるのが良い
  • Q4.限られたコストの中で,どこまで対応するのか?
  • A4.ファジングツールは機械的に網羅的に行う
    • (※テストドリブンなやり方で,網羅的にテストできるファジングツールを使うということ?)

flatさん「Pass-the-hash」

yutahanayamaさん「簡単,"/"暗号化, in OpenSuSE Linux

  • LUKS: Linux Unified Key Setup
  • ディスク暗号化のフレームワーク
  • マルチCPU対応
  • あとで調べる:AES-NI対応?
  • grubの関係で/bootは暗号化不可.initramfsにドライバを埋め込むことで"/"も暗号化できる
  • OpenSuSEの擬人化

yamaguchiさん「とある家庭の記憶媒体(ストレージ)」

  • 記憶媒体について
  • データ容量がふえている
  • 画像とか,動画とか,あと動画とか,それと動画とか.そうそう動画とか(爆笑)
  • 洗えるMD
  • Blue-ray ... DVDの二の舞かもしれない
  • テープの良いところは落としても壊れない点.だからエンタープライズ向け
  • 蜂の巣QBはバックアップの重要性を語っていた(な,なんだってー
  • 複数のバックアップと向き合えますか

まっちゃさん「セキュメロ

moriyoshiさん

  • PHPのすべらない話
  • LLじゃないって?PHPはテンプレート言語だよ!
  • ビルドイン関数がとても多い.怖くて数えられない.こんなのもあるし→phpcredits();