1. まとめトップ

2019年8月14日のtwitterセキュリティクラスタ

2019年8月14日のtwitterセキュリティクラスタです。

更新日: 2019年08月15日

0 お気に入り 470 view
お気に入り追加

この記事は私がまとめました

yousukezanさん

「セキュリティ・キャンプ 全国大会 2019」、「セキュリティ・ネクストキャンプ 2019」の2日目です。

おはようございます! 灼熱の「セキュリティ・キャンプ 全国大会 2019」、そして新たな取り組み「セキュリティ・ネクストキャンプ 2019」の2日目が始まりました。今日からは、各トラック、ゼミに分かれてワイワイ手を動かします。#seccamp

「セキュリティ・キャンプ全国大会 2019」「セキュリティ・ネクストキャンプ 2019」1 日目のダイジェスト動画が公開されました。皆さんぜひご覧ください! youtube.com/watch?v=RLSlkG… #seccamp

トラックCでは凌 翔太さん、目黒 有輝さんによる講義「制御システムのセキュリティとShinoBOTによる攻防演習」が始まりました。この講義では、実在の制御システムを模した環境を用いて演習を行っていきます。#seccamp pic.twitter.com/SI1h73HOK5

トラックA最初の講義は梨和 久雄さん、小林 稔さんによる「インシデントレスポンスで攻撃者を追いかけろ」です。仮想的なインシデントが発生した環境のデータを用いて、CTF形式で問題を解いていき、最終的にインシデントの全容を把握することを目指します。 #seccamp pic.twitter.com/h5yaeUOmqb

小中学生限定のジュニア開発ゼミも始まりました。まずは美濃 圭佑さんによる「ソケット通信でWebサーバにアクセスしよう」です。まずはNode.jsを使ってサーバとクライアントを作成します。 #seccamp pic.twitter.com/tXEzH4rv94

トラックB最初の講義は、仲山 昌宏さん、坪内 佑樹さんによる「クラウド時代における大規模分散Webシステムの信頼性制御」です。クラウド時代において、高い信頼性をもつ大規模なWebシステムをいかに構築し運用するのかを、負荷増大に対するスケーラビリティの話題を中心に議論します。 #seccamp pic.twitter.com/2l8OcnwsfI

トラックDでは松岡 正人さん、今岡 通博さんによる講義「IoTセキュリティ・チェック実機演習」が始まりました。この講義では家庭用ロボットの実機モデルを用いて、IoTセキュリティ・チェックを体験します。#seccamp pic.twitter.com/gfp9SZwcQK

セキュリティ・ネクストキャンプ 2019の2日目も始まりました。最初の講義は高江洲 勲さん、伊東 道明さんによる「攻撃検知エンジンの開発」です。攻撃検知エンジンを開発し、攻撃ベクター生成エンジンと対決をして改良していくハイレベルで実践的な講義です。 #seccamp pic.twitter.com/h6vZRKAUh8

トラックXではまず各ゼミの紹介があり、その後各ゼミごとに取り組みを開始しました。トラックXには天津 健さんによる言語自作ゼミ、緑川 志穂さんによる暗号化通信ゼミ、星野 喬さんによるデータベースゼミ、木藤 圭亮さん、村島 正浩さんによるリバースエンジニアリングゼミがあります。 #seccamp pic.twitter.com/1hMEKPzEfe

Zトラック「アンチウィルス実装ゼミ」では、「Linuxマルウェア解析と検知シグネチャー作成」と、「Linuxマルウェアの統計的特徴量を用いたマルウェア判定器の実装と評価」という2つのテーマに分かれて3日間取り組みます。 #seccamp pic.twitter.com/d7mGRywgt8

トラックYでは、OS開発とCコンパイラ自作のゼミが開講されています。事前学習で開発を進めた作品を、さらにブラッシュアップさせていきます! #seccamp pic.twitter.com/KXdLPAvlts

午後の講義がスタートしました。A1~3「インシデントレスポンスで攻撃者を追いかけろ」では、IDA基礎演習が始まりました。この講義の後、午前に引き続いてCTFが行われます。 #seccamp pic.twitter.com/V0iAtBehP4

午後のネクストキャンプ最初の講義は、坂井 弘亮さんによる「エミュレータによるCPU特殊命令の追加の実験」です。 この講義では、CPUに独自追加された特殊命令について、推測し再実装します。 #seccamp pic.twitter.com/cuS1EYat4H

B1~3「クラウド時代における大規模分散Webシステムの信頼性制御」では、午前の講義を踏まえた上で、サンプルアプリをベースに高品質なアプリを製作するハッカソンを行います。まずは自己紹介が行われました。 #seccamp pic.twitter.com/b2gMFXIIoa

トラックC「制御システムのセキュリティとShinoBOTによる攻防演習」では、ShinoBOTの動かし方をレクチャーしています。これから演習タイムが始まります。#seccamp pic.twitter.com/DiK83DAHtv

トラックD「IoTセキュリティ・チェック実機演習」では実機IoT分析演習が始まりました。前半の座学で学んだことを生かして分析を進めていきます。#seccamp pic.twitter.com/cGlxPMsGfS

トラックYのOS開発ゼミ、Cコンパイラ自作ゼミは引き続き開発を進めています。最終日の成果発表が楽しみですね! #seccamp pic.twitter.com/gUZnjqVPAS

「アンチウィルス実装ゼミ」では、午前に引き続き各自で作業を進めています。課題について受講者やチューターが活発に議論や発表をしています。 #seccamp pic.twitter.com/IXmmF8X3FC

「ジュニア開発ゼミ」では、午前の講義の知識をもとに、HTTPのヘッダなどを書き換える独自機能を追加したHTTPプロキシを作成しています。 #seccamp pic.twitter.com/X6MB7zCrSV

ネクストキャンプでは、午後と夜を使って坂井 丈泰さんより「だまされないGPS」の講義を行っています。GPSによる位置計算プログラムの改良を通して偽装(スプーフィング)対策を考えます。 #seccamp pic.twitter.com/PYstbgCaq2

トラックCでは、受講者が真剣に手を動かしています。写真だとわかりづらいですが、ロボットアームを激しく動かすデモンストレーションが行われています。#seccamp pic.twitter.com/okbwIg8ptH

はてなブログに投稿しました #はてなブログ ドロップキャッチを悪用したTwitterのっとりについてまとめてみた - piyolog piyolog.hatenadiary.jp/entry/2019/08/…

その他に気になったことはこのあたり。

「どうも。ユーザを守るために2要素認証を導入しないんですか?」ベンダー:「どうも〜。ログインする時にユーザ名もパスワードも両方知らないといけないので、実質は2要素認証ですよ〜」 なるほど〜 #2要素認証 #2FA pic.twitter.com/7A4mfZWLvh

似た話で、たまに「パスワードを2種類用意させれば安全になるのでは」という趣旨のことをいう人がいるのですが、それは単にパスワードを長くしているのと一緒ですよね、という……。 (2つのパスワードをくっつけて入れるか、分けて入れるかはUIの問題でしかない) twitter.com/yamatosecurity…

なるほどこのフレームワークはデフォルトでstate使わないっぽいぞ? #state警察 Scala & PlayFramework & pac4j での GitHub ログインの実装 qiita.com/7ma7X/items/68… #Qiita

CSRF対策のエラーの意味がわからず、provider_ignores_stateをtrueにしたら動いたってのは、無事解決ではありませんよ。 #state警察 omuniauthのGoogle認証でめちゃくちゃ詰まった話。無事解決できたよ!!! qiita.com/kt215prg/items… #Qiita

1 2