妄想まとめ

研究とかWebセキュとか時事ネタとか。 @kazu1130_h

交流会

妄想まとめ→感想まとめ になりつつある気がする……。

サーベイしたものを纏めようかと思ってたのですが、アウトプットが下手で何もネタが出ず、結局微妙な短文で終わるという結果になるだろうなぁとか考えながら放置することはや数ヶ月……。

 

 

閑話休題。

産学情報セキュリティ人材育成交流会に参加してきました。

ノートPC広げてる人が殆ど居なかったり、そもそもAPについて何も書かれて居なかったりと、キャンプ関係のとは大分違った雰囲気でした。

もし次回があるなら出来ればAP書いておいて下さいorz

某先輩にguest用のを教わったのですが、迷った末にテザって呟いてました。

 

初っ端にカスペルスキーの方からのお話があったのですが、タイトルが「マルウェア解析者の目から見える世界」だったんで、てっきり機械語mgmgな話かと思ってたのですが、結構Web系の話も多く、幸い全く分からんな感じにはなりませんでした。

"サイト改竄→気付かれないようにiframeを入れる→攻撃用のページを見せ、環境解析→脆弱性があるアプリ(java,PDFリーダ等)を見つけたらexploitをプレゼント→乗っ取って更に被害を広める"

みたいなGumblar的なのがまたあって、こいつは解析者の手に渡らないように特定のIPとかからきてもexploitを返さないようにしてるんだよー的な事を言っていました。

素人的には、そんなん別に会社名を一切出さずに契約した、一般環境に見せかけたマルウェア入手用のクライアントを使われたら意味無いのでは、と思うのですが、果たしてアンチリサーチャー効果はあったのでしょうか……。

 

ほかにc99shellの実演、設置するとそれを作った側(≠使う側・設置される側)にメールで情報が行くフリーのバックドアのコード説明等もありました。

c99shellシェルの実演中、セーフモード的なのでOSコマンドを実行出来ないようにしてたらどうなるんだろう……と思ったのですが、セーフモードって廃止されてたんですね……。

バックドアの方はお決まりのbase64とevalを組み合わせたあれでした。ぬーん

 

パネルディスカッションは、今はこんな仕事してます、将来のためにこんなことしといた方がいいよ、採用するならこんなやつ的な話でした。

 

まぁ予想通りというかなんというか……英語……つら……。

どうやら必要性に駆られれば人間は変わるらしいです。そんな事になる前からどうにかしたいのですが、英語と聞くと本能的に逃げたくなるタイプでして……。

強制的な変化が起きて欲しいような、欲しくないような……。

 

会場から何処で専門的な技術をつけたんですか的な質問が出たのですが、どうもやはり独学というのが主流らしいですね。懇親会でも何人かの人と話してたのですが、やはり独学の模様。分野的に仕方ないとはいえ、この辺どうにかならないものか、とも思いますが……。

あと、そういった専門的な技術は無くても大丈夫、みたいな事も言ってました。学生のうちは基礎を固めておけって事ですね。

やはり新卒に期待すること、というか新卒を取る意味というのはその辺にあるのでしょうか。

逆に今やりたい事があるなら、それと違う場所に飛ばされても突き通せと言ってました。この辺はIT業界的で、大企業といえど分野融合・革新的な事を許容してくれる気質なのですね。

 

 

懇親会では割とソロプレイ感ありましたが、なんだかんだ聞きたかった某社のお話や業界の話が聞けたので個人的には満足でした。詳しくは書けませんがw

危機管理コンテストに出ている人やWebセキュに興味ある人を見つけられたのも結構な収穫でした。白浜で会えるといいのですが……。

 

あ、この本頂きました。IIJの方、ありがとうございます!

 

サイバー攻撃からビジネスを守る―セキュリティ診断サービスガイド

サイバー攻撃からビジネスを守る―セキュリティ診断サービスガイド

 

 

 

と、ここまで書いて思ったのですが、口調が今までと全く違いますね。

なんかダメなブログの典型的な事をやってる気がしますが、まぁネタ帳的な意味では口調とか関係ないので気にしない方向でw

 

 

そんなこんなで、雑な感想まとめを終わらせて頂きます。

ではでは。

第二回APASEC

キャンパーとラボユース関係者とそれらに興味ある人が集まる勉強会APASECに参加してきました!

というか、発表させて頂きました。

 

内容はセッション固定化攻撃の概要・例や対策と、脆弱性検査ツールを実装しましたよーって話です。

具体例の所の話、若干不名誉な話だったのに快く許可を出してくれた方に感謝します。

 

発表中のTLを読み返していたら……。

 

 

まさに。ちゃんとリジェネレート出来ない場合の対策や、ログイン前の固定化等にも触れられていて、かなりお勧めです。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

ググれって言っちゃいましたが、これ一冊読めばほぼ大丈夫です。とはいえ怖い人からバシバシ斧が飛んでくるのがインターネッツなので、油断は出来ませんが……。

 

 

 

他の方の発表はレイヤー高めスキルレベル低めの僕には若干難しめでしたが、どれもかなり面白かったです。(ネタ的な意味でも、勉強的な意味でも)

 

C-Helper、経験者がああいうのを組もうとすると、意識してない所で初心者が詰まって死ぬ、みたいなパターンになりがちなんですが(論プロSAやってて思いました)その辺の解決も出来てて、凄いなと思いました。

大学の授業でもそうですが、予習目的で入学前の期間に配布して~、みたいな用途でも使えそうで、そうすると某ゼミ的に「あ、ここC-Helperでやった所だ!」みたいな感じになって色々捗るのではないかなと思います。

 

 

ほもっきんちゃん特定出来たし、久々にあゆあゆさんや木田氏と会えたし、満足満足。

 

改めて、運営の方、サイボウズの方、ありがとうございました。

OSC一日目

酒飲んで寝たら17時とかに起きて一日の予定全部吹っ飛んだひろたんです。どうも。

飲んだって言ってもたかが缶一本なのに……くやしいビクンビクン

ちなみに飲んだのはラ・フランスハートです。割と美味かった。

 

 さて、OSCにも行かずSECCONTLも眺めずにずっと寝てただけとかアレすぎるんで、とりあえず昨日のOSC一日目の事書きます。

 

http://www.ospn.jp/osc2013-spring/

 

まずは講演を。

 

 

OpenStackで実現する分散ストレージ「Swift」とプライベートクラウド

内容はOpenStackとSwiftの概要、実際に簡単に管理出来るよー的なデモでした。

 

簡単に端末足せるし、RESTで管理出来るしシンプルな構造だから色々作りやすいけど現状いいクライアントサイドのソフトが無いよーって言ってたので、DropBoxが微妙になったら自分でクライアント実装しちゃおうかな、とか思ってます。

因みにCyberDuckはちょっと設定をしないと使えない模様。

 

Swiftはコンテナとオブジェクトによる管理で、コンテナにはコンテナを持たせられない、という事だったので、もう少し直感的に管理出来るGUIアプリでも作ろうかなぁ、みたいな。

ディレクトリの情報をxmlで持たせて、ユーザ側に出来る限りコンテナとかを意識させない作りにすれば、割と使えるんじゃないかな、と思ってます。

 ただまぁ、認証の方式が変わったり突然方針変換して構造変えられると悲しいので、今の所とりあえず妄想するだけ。

 

 

いまさら聞けないHTML5とWebPlatform.org

あれ、どっかで見たことあるマークがスライドに……って、ウチやんwwwwてかORFで展示してた人が話してるwwwみたいな事が。講師の名前くらい見とけよって話ですね、ええ。

 

WebPlatform.orgというのは、各ブラウザベンダ毎にまとめられてる情報をさらにまとめた感じのサイトらしいです。他に、各ブラウザの対応状況をまとめたページ(http://caniuse.com/)の紹介とかもありました。

 

今後何かHTML5の技術を使う時は参考にしようかと思ってます。

 

 

 HTML5+WebGLは、何故盛り上がらないのか!?

大変!WebGLちゃん息してない!!って話でした(適当)

Googleさんが頑張って色々出してたけど(例:http://workshop.chromeexperiments.com/bookcase/

去年の今頃を最後に音沙汰無しになったらしいです。

原因として、MSがDirectXにとってユーザにとって有害だからIEに実装しない、って方針をとってることと、スマフォだとまともに実装されてないって事をあげてました。

 

うーん、面白いとは思うんですが、いかんせん僕には複雑すぎて……。 というかそもそもそういうモノをデザインするセンスが(ry

講演は、講師お手製のWebGLを使ったスライド再生ソフトを使っていたのですが、外積計算やら視点変更用の演算やらを全て自分で実装しなければならず、私のように生で書くのはマジキチだから素直にThree.jsとか使ってくださいね!って言ってましたw

 

 

 

展示は二、三階にあって、二階はどっちかというと企業が、三階はユーザ会や有志が多かった印象でした。そのせいか、三階にはちょいちょいセキュキャンで見たことある人とか居ました。(講師含む)

 

以下展示で面白そうだったの列挙

 

 

Wakanda : http://www.wakanda.jp/

javascriptで色々出来るモノみたいです(適当)

DB設計を視覚的に出来たり、呼出しをJSで書けたり、中々面白そう。IDE落としたんで、後で遊んでみます。

 

 

 Mogok : http://mogok.jp/

IIJがやってるRails用のPaaSですね。Heroku的なものと勝手に認識してます。今後どうなるかは分かりませんが、とりあえず使ってみようかなと思ってます。IIJだし。

 

 

Apache Camel : http://camel.apache.org/

どうも形式変換ソフト的な感じらしいんですが、何が出来るのかちょっと良く把握できなかったので後で色々調べてみようと思います。

from("url").to("url")みたいな事をやると変換されるよ!urlはfile:とかhttp:とかみたいなの以外にも沢山種類があるよ!って言ってました。各言語、マシンごとに変換ライブラリを用意しないで済むってのが最大の利点みたいな感じらしいです。

 ……ところで、ググったらサジェストで「Apache Camel みさくらなんこつ」とか出てきたwww

にゃるほお゛お゛っど、ちゅまりこのぉおおターバンのぉおお女のぉおお子はこのぉおお後……(by みさくら語コンバータ:http://jet-black-laver.sakura.ne.jp/RTM/nankotu.htm

 

  

opencocon : http://opencocon.org/

シンクラのためのOSらしいです。Win8を古いノートPCから操作するデモやってました。これで家のデスクトップいじれば色々幸せになれるのでは……

 

 

Piwik : http://ja.piwik.org/ 

Google Analyticsオープンソース版らしいです。Googleに情報を渡したくないならこれがいいよ、と言ってました。Google対策をしてるユーザもいるらしいですし、ビジネス用のサイトなんかを作る事になった時にでも使ってみようかなと思います。

 

 

 

 ネタ的な意味で気になったのはmikutterとかEjectとか。としぁ氏にふぁぼられたらEjectされるクラ使ってもらおうぜ!みたいな話してきました。

あとは、担当がノロという名のウイルスに感染して上下から情報流出を起こしたから無人ブースなんだ!ごめんね!って張ってあったMODX CMSもウケたw

 

 

ちょっと気になったのはCMS

色んなCMSが展示されてたんですが、CMSって何でも作れる的な方向を目指すと結局プラグインの数勝負になってWPに負けるんじゃないかなぁ、と思ってるんですが、どうなんですかね。NIIのNetCommonsとかはちょっと気になりましたが。一つの教室にまとめてCMS戦争とかしてみたら面白そう、みたいな不謹慎な事考えてました。

 

 

 

色々面白いのはありましたが、特に記憶に残ったのはこんな感じでした。

最後に貰い物の画像と紹介を張っときます。

 

f:id:kazu1130_h:20130224005300j:plain

左下から

LPICノート

PostgreSQLファイル

Apache Camelファイル+らくだ人形

UltraMonkeyファイル(3枚)+バッジ

MOGOKパンフ(何か可愛いから載せた)

MODX CMSのお土産CD

NetCommonsのキャラの名刺(緑川陽菜)

小江戸らぐ名刺

GMO AppsCloudのシール

mikkuterシール

ウサギィシール(何故かMSブースで貰った)

ボールペン(日立?)

BlackDuckの人形(押すと鳴く)+ボール(抽選であたった)+箸

Ubuntuイメージディスク*2

OpenSUSEイメージディスク

open coconイメージディスク

at-link うmy棒(検証用・障害対応用)

テストを利用したWAF

ソフトウェアテスト用のコードを利用したWAFの構築

 

ってのを寝る前に妄想したけど微妙かな……。

 テスト用のコードから、そこに入るっぽい文字列を推定して、それとは違うパターン(name=hoge でテストしてたら name=<script>みたいな物)を記録する感じ。

Rails テストでググって出てきたコードが何かFWっぽかったから閃いた。

 

そもそもテストに沿ったWAFじゃあんま意味無い?

というかテストをそんなんに使うなという話?

 

変なリクエストをはねる事を目的とせず、記録してどんな攻撃が着てるか眺めてニヤニヤする程度の物として考えれば作ってみても面白そうかな、とか思ったんですが、多分三歩歩いたら忘れてると思うので書いておきました。

 

TERMには辛そうだから結局ボツネタ行きかなぁ。

セプキャンフォーラム

フォーラムに行ってみて、改めてアウトプットしなきゃなぁ、と思う事が幾つかあったので始めてみました。

けど、殆どツイッターで呟いちゃってるから、こっちはまとまった研究の話とかが中心になる予定です。

 

 

で、話はフォーラムへ。

セキュキャンの皆に会える!!!!

て事で速攻ポチって行ってみたけどかなり楽しかったです。あとAPA飯も。こっちは酔ったノリでポチったけど、参加して良かったなと思います。結構刺激になりました(色んな意味で)

 

フォーラムでは、”無効化されないことを目指すセキュリティ機構の開発”って話が、WIP(大学でやる半期研究)でクソみたいなツール実装してた僕には結構きました。

質疑応答で「で、誰が使うの?」とか突っ込まれたら炎上確定みたいな綱渡りな発表をした後でしたしw

具体的な話は断片的にしか分かりませんが、アクセス制御を実装したけど使わないし、ユーザに余計な手間かけさせないようにしないとね、みたいな話だったと思っています。 セキュリティ機構はCIだけじゃなくAも重要だよ、みたいな。

今度の研究では評価つきのTERMに移行したいと思ってるので、この辺も少し考えなきゃなぁ……。

 

 

LTは脆弱性の話の質疑応答が面白かったですね。詳しい事は言えませんが。あと法律のも面白かったですね。

キャンパーは皆情報系かと思ってたけど、案外経済とか法律とか居て驚きました。

どっちも興味はあるんだけどなぁ……。

てか、Shibuya.XSSにスカウトとかnkysさん流石です。頑張って下さい!

http://developer.cybozu.co.jp/takesako/2013/02/securitydays.html

 

 

 とりあえず初回はこんな感じで。