セキュリティ&プログラミングキャラバン、セキュメロ合同勉強会
行ってきました。
圧倒されたのが川井さんの自作OSのライブ。
「30日でできる! OS自作入門」という本があることは知ってたし、本屋で見かけたこともあったけど、正直、今さら新しいOS作ってもしかたないと思ってました。
そんな昨日までの俺に言ってやる。
おもしろいんだよ。
おもしろいってだけで十分だよ。
十分すぎてお釣りがくるよ。
エディタ、コンパイラなど必要なツールのコピーまでやってます。
FDイメージへの書き込みツールから自作してコンパイルしてます。
アセンブラの知識なんてほとんど無いし、どこまでついていけるかわかんないけど、
やってみたい。
勢いのあるうちにやらなきゃまたズルズルなっちゃいそうなのでさっさと注文。
Twitterの説明についてはかなり苦労されていました。
情報を出す範囲の制限が不十分。原則的に全世界に公開されているものとして扱うべき。
ディスカッションは、まとまらずにあせる。
Twitter独自の問題というよりも、これまでのブログ、mixiの問題の敷居が低くなっているだけで、
以前から指摘されている問題のような気がしました。
豪華絢爛な講師陣に囲まれて、今時の若い人たちはうらやましい。
22歳未満ででそっち系に興味のある人ならキャンプ申し込むべきですよ。
本当はグロいマクロスフロンティア?
三連休中、映画でも見に行こうと google で上映中の映画調べる。
マクロスフロンティアやってるらしい。
レビューを見ると
「フロンティア ストーリーがどうとかの話じゃない。 とにかくグロい。 それだけでした…」
「フロンティア う〜ん、ほとんど女ランボーと化すラストを除けば、それなにり楽しいスプラッター作品。ああ 、ちなみにジャケット見て勘違いする方もいると ...」
え? グロい? スプラッタ? 女ランボー? 何それ? テレビ版見てたけど全然想像できないんですけど。
「似たような題名でレイトン教授と永遠の歌姫があるから注意だ」みたいなことをtwitterか何かで読んでいたのですが、レビューにちゃんと「フロンティア」って書いてあるので間違いは無い。
見るつもりは全くなかったのですが、これ以上の情報シャットアウトして、ビックリするつもりで行ってきました。
......どこもグロくない。ちゃんとテレビ版を下敷きにしてるじゃないですか。
どうやらgoogleのレビューのリンクが違っていて
フロンティア(http://pia-eigaseikatsu.jp/title/23565/)という映画ののレビューが表示されているみたいです。
良かった、グロいマクロスは無かったんだね。
でも微妙に釈然としないというか、モヤモヤする。
いったい何を期待してたんだろうオレ?
第9回神戸情報セキュリティ勉強会(セキュメロ#9)
今回は ikepyon さんのWebアプリの話と森井先生の話。
ディスカッションがなかったのですが、話題いっぱいでした。
いつもながら森井先生の話はおもしろい。
Webアプリケーションセキュリティ対策は難しい(ikepyon)
携帯のセッション管理について
森井先生の話
WPAの脆弱性を発表してわかったこと
- 声の大きい人の意見が広がる
- 不正確な理解の人の方が声が大きい。
WEPについての常識の修正
- 誤:WEPは危険な暗号。
- 正:WEPは暗号システムではない。
WEP解読ソフト
- 解読ソフトは社会的な影響を考慮し公開していない。
- しかし、作ろうと思えば誰でも作れる
- 発表してだいぶ経っているので、たぶん、どこかで作られているんじゃないか?
森井先生のやっていることアレコレ
- OTP
- ワンタイムパスワードといっているが、あまり理解されていない。
- ランポートの方法があるが使いにくい。
- 今普及しているアレはマスタパスワードを保持しているため本当のワンタイムパスワードでない。(時刻同期のチャレンジレスポンス方式)
- X.Cybief
- 相互認証
- 現金引き出すとき、ATMで認証されるが、そのATMが偽物でないとの確認はどうするの?
- 疑似人格
- 自動応答のお姉さん作ったら変なこと教え込まれてヒドいことになった。
- (なつかしい。アレって森井先生のところだったのか!)
- 自動応答のお姉さん作ったら変なこと教え込まれてヒドいことになった。
- IDS
- 役に立たないが、管理者の暇つぶしにはよい。赤青黄色と色ついて画面きれいだし。
- (いや、そんなことは....ないと言い切れないのが悔しい)
- 役に立たないが、管理者の暇つぶしにはよい。赤青黄色と色ついて画面きれいだし。
無線LANについて
- WEP鍵解読の歴史
- 2001年:FMS攻撃。特定の条件を満たすIVによって鍵が漏れる。条件を満たさないようにIVに注意しておけばよかった。
- 2007年:PTW攻撃。IVの条件関係なく、大量に集めれば解ける。ARPパケットでもよい。必要なのは10万パケット程度
- 2008年:TeAM-OK攻撃。3万パケットで解ける。ニコ動であれば10秒以内に3万パケットとれる。パケット収集したら解読も1秒以内
- WPAの脆弱性について
- ニンテンドウDSがWEPにしているのは理由がある。
- 現代暗号を作るのは全パラメータに根拠が必要であり非常に難しい
- WEPは事実上暗号になってないが、法律上は暗号であり、破ると不正アクセス禁止法の対象となる。
(2009.9.4追記)「ならない。電波法第109条の2」との指摘が高木先生から。電波法の109条の2にある
前2項において「暗号通信」とは、通信の当事者(当該通信を媒介する者であつて、その内容を復元する権限を有するものを含む。)以外の者がその内容を復元できないようにするための措置が行われた無線通信をいう。
の解釈でWEPはこの「暗号通信」の条件を満たしていないと指摘なのだろう。
kansai.pm#11
申し込もうとしたら既に定員だった。
前回の kansai.pm で予告されてから、すごく楽しみにしてたのに残念。
ただ、今回は学生さんが申し込んでくれているので、ちょっとだけうれしかったりする。
地球深部探査船「ちきゅう」に行ってきました
セキュリティ&プログラミングキャンプ・キャラバン2008 京都に参加
2/7 セキュリティキャンプキャラバンに参加してきました。
プログラミング基礎 by吉岡弘隆(id:hyoshiok)さん
学生向けプログラミングの紹介。
初心者にも分かりやすいようにアルゴリズムとは何かの説明からされていました。
「特許は技術を開発者に独占させるためでなく、社会に公開するための方法。
著作権も独占を奨励するためでなく、公開して、社会の価値にするため。
オープンソースはさらにラディカル」
目から鱗的な視点の逆転でした。
その他印象に残ったポイントは
「就職活動なんて、会社側も学生側もどちらもタテマエでしか話さない。勉強会は本音で話せる」
「セキュリティキャンプはアルゴリズム萌え、スタック萌えみたいな人たちどうしで熱い話ができるよ」
「ブログを書こう」
Webプログラミングの未来について by 竹迫良範(id:TAKESAKO)さん
いきなり、ささきいさおのボウズマンのテーマで開始。
あっちでもこっちでもjavascriptを動かしてみよう的な話。
正しい情報セキュリティを学ぶ by 園田道夫(id:sonodam)さん
パスワードについて。
- 複雑なパスワードを覚えるのは無理なのでメモに書いたほうが良いのでは。ただし、どこのパスワードなのかはわからないようにすること。
- 盗まれている可能性を考慮して1年に1回は変更
文字コードとセキュリティ by はせがわようすけ(id:hasegawayosuke)さん
仕様なのか脆弱性なのかは微妙なラインの話。
やる夫プレゼン最高。非常に分かりやすい
制御コードの挿入って凄く複雑なコトをするのかと思ってたらとても簡単でした。
「Unicode制御文字の挿入」なんて初めて使った。
いろいろ遊んでみると面白い。メッセージやタイトルが左向きに変わってる。
入力した文字が左から右へ。なんか変。
勉強会カレンダーのずきんさん(id:hanazukin)へ感謝状 by 吉岡さん&pasta-kさん
気張らず、いつもままーりとされているのがとてもカッコイイ。
毎週土曜日を充実させていただいてます。
フリーディスカッション
- 勉強会は幹事力重要
- ソース読めというが読みやすいソースとしてどんなのがあるか?
- 大学生だが、まわりのモチベーションが低い。3年にもなってCのfor文すら書けない。
- こんなこと言っちゃダメなんだろうけど、勉強するのに大学に頼っちゃダメです。
- 本気で勉強したいならスタンフォードとか、MITとかの教材はインターネットに転がってる(オープンコースウェアでググろう)
- できるヤツがやればいいんじゃない?
プログラミングに限らず、勉強ってまず「おもしれー!」「すげー」って思うのが第一歩なんじゃないかな?
面白かったら苦労を感じずにどんどん勉強できるし。
面白がってもらうためにはどうしたらいいんだろ?
でも、本来、面白がってる人が行くのが大学なんじゃないのかなぁ....
セキュリティキャンプキャラバンの個人的思い出
もう、すでにおっさんなのでセキュリティキャンプには参加できないのですが。
3年ぐらい前は九州に住んでいたのですが、そのころは九州で勉強会なんてあまりやってなかったんです。
そのころ近所の工業大学でセキュリティキャンプキャラバンをやっていると聞いて参加したのが最初でした。
ジェームスさんのパケット工作で凄い衝撃を受けたのが忘れられません。
今後、大分でもキャラバンをやるそうですが、あまり勉強会をやっていないような、地方でキャラバンをやって欲しいなあと思うのです。
やる気さえあれば行動力を発揮できる学生たちにきっかけを与えて欲しいのです。
もちろん、大都市のキャラバンは不要という意味ではなく、今後も田舎のほうでも開催してね。というお願いです。