セキュリティ勉強会

2008年12月11日 (木)

12/13(土) 第14回セキュリティもみじ セミナー

12/13(土) は広島に出張します。

■第14回 セキュリティもみじ セミナー 「出張!CTFプロジェクト in 広島/ライトニングトーク 5連発」
http://d.hatena.ne.jp/sec-momiji/20081213

■ 日時 ■ 2008年12月13日(土)13時~16時30分 ■ 会場 ■ 広島県立産業技術交流センター

■ メイン講師 ■

●講演タイトル
出張!CTFプロジェクト in 広島

●講演者、プロフィール
福森大喜(http://ja.avtokyo.org/projects)
個人的な講演として、POC Korea 2007「Attacking Web 2.0」、AVTokyo 2008
「Flashを媒介したXSSワームの可能性」など。

●講演内容
毎年ラスベガスで行われるDEFCONというセキュリティカンファレンスでCTF(Capture
The Flag)というイベントが開催されています。これはチームに分かれて攻撃技術
を防御技術を競い合うゲームですが、予選はインターネットから参加可能で、バ
イナリ解析、フォレンジック、トリビア等の幅広い知識と技術が問われます。今
回はDEFCON CTF予選の類似問題を通して、バイナリ解析、Exploit作成、フォレ
ンジック、Webセキュリティ等の検査に必要な技術と手順を紹介します。アセン
ブリレベルからネットワーク、アプリケーションレベルまでを網羅して解説しま
す。ハンズオン形式も用意していますのでノートPCをお持ちいただくとより一層
楽しめると思います。

ハンズオン形式もありますのでノートPCをお持ちいただくとより楽しめます。
有線LANで接続希望の方はLANケーブルを持参してください。(先着8名)

■ ライトニングトーク ■

◆1発目:EBCDIC Binary Hacks
     竹迫良範(サイボウズ・ラボ株式会社)

古き良き汎用機時代から受け継がれるバイナリ
~EBCDICエンコーディング~の伝統を
現代のWeb2.0の技術に応用してみました。
JavaScriptをEBCDICで難読化するハックを紹介します。

◆2発目:「不正アクセス禁止法の話」
     園田道夫

不正アクセス禁止法に関する議論は、業界的には2003年~2004年あたりで落着い
てしまいましたが、当時の経緯は諸事情有ってわかりづらくたどりづらいままに
なっています。そのためか定期的にトンデモ解釈をする人が出てきては釣りとし
か思えないコンテンツを発表したりするので、誤解や危険が無いようにこの法律
について理解・対処できるよう、そろそろ一言言っておきたいと思います。

◆3発目:古き良き懐かしいセキュリティホールで遊んでみよう。
     佐名木 智貴(NTTコムテクノロジー株式会社)

古き良き懐かしいセキュリティホール MS00-057 を用いて、
・冗長な UTF8表現
・UNICODEで分離された文字を使ったサニタイズ回避テクニック
の二つの Unicode のセキュリティ・テーマを試してみよう。

◆4発目:「それ、顔で -顔認証がやってきた-」
     花田 智洋(Tomohiro Hanada)

指紋認証、静脈認証に続き、第3のメジャーなバイオメトリクス認証としての地位を築きつつある顔認証。そんな顔認証を使用してみた感想と実用の観点からの考察をいたします。

◆5発目:解析してわかるマルウェアのテクニック
     星澤裕二(株式会社セキュアブレイン)

最近のマルウェアのテクニックをかるくご紹介します。

豪華キャスト勢ぞろいなので今から楽しみです。よろしくお願いします。

投稿者 takesako 日時 2008年12月11日 (木) 18:30 セキュリティ勉強会 | | コメント (0) | トラックバック (0)

このエントリーを含むはてなブックマーク

2008年10月30日 (木)

第01回北海道情報セキュリティ勉強会(おもに札幌)(通称:セキュポロ)

今週末の11/1(土)「第01回北海道情報セキュリティ勉強会(おもに札幌)(通称:セキュポロ)」 で講演させていただくことになりました。

第01回北海道情報セキュリティ勉強会(おもに札幌)(通称:セキュポロ)
日付 	2008年11月01日(土曜日)
時間 	13時00分~16時30分
場所 	南区民センタ 視聴覚室
住所 	札幌市南区真駒内幸町2丁目2-1(南北線真駒内駅近く)
地図 	http://www1.city.sapporo.jp/map/pc/default.asp?id=28
テーマ 	開発系のセキュリティ
定員 	50名
講師
セッション1    基調講演:IT革命とは何だったのか(竹迫さん)
セッション2    100%技術者脳(まっちゃだいふく)
セッション3    Webセキュリティ:開発現場の心理と現実的なWAFの運用(竹迫さん)
セッション4    ライトニングトーク4連発

個人的な裏テーマとして「ITは人類を幸福にするか?」ということを最近考えていて、少ない時間の中ですがSFチックな話をみなさんと共有できればいいなと思っています。

函館には過去2回行ったことがあるのですが、実は札幌に行くのは人生初めてです。 先週の札幌Ruby会議01も大盛況だったようで、いま札幌のIT業界がとてもアツいです! 私も地方出身(広島)で地方の大学(広島市立大学)、地方の企業(広島にあるhpの子会社、独立系ITベンチャーの広島ラボ)で育った人間ですので、地方とITの問題についてはいろいろ考えることがあります。 札幌での勉強会の立ち上げと運営に携わっておられる皆さんに感謝です。

今回は会社の出張ではなく、自費でプライベートな旅行を兼ねて行く予定にしていますので、北海道の皆様どうぞよろしくお願いいたします。

投稿者 takesako 日時 2008年10月30日 (木) 20:33 セキュリティ勉強会 | | コメント (0) | トラックバック (0)

このエントリーを含むはてなブックマーク

2008年7月 4日 (金)

第13回セキュリティもみじ「Winnyを代表とするP2Pの傾向と対策/ライトニングトーク4連発」

明日の土曜日は、広島で開催される第13回セキュリティもみじセミナーで発表してきます。

  • 日時:2008年7月5日(土)13時~16時30分
  • 会場:広島県立産業技術交流センター
  • 参加費:(一般:2500円 学生:1000円)
  • 定員:45名(まだ座席の余裕はあるようです

■メイン講演

「Winnyを代表とするP2Pの傾向と対策」(ネットエージェント杉浦隆幸)

  • Winnyの暗号はこうして解読した。
  • Winny/Shareを使ってアップロードの証拠を確保する方法と対策。
  • WinnyなどのP2Pによる情報漏洩対策の実際と効果。
  • 情報漏洩が発生したとき企業はどう対応しているのか。

■ ライトニングトーク 4連発

  1. マルチバイトXSS攻撃等を防ぐApacheモジュール mod_wafful.c(竹迫良範)
  2. いまどきのスマートフォンとハッカーとの戦い(濱本常義)
  3. 電子マネー犯罪事例考察(花田 智洋)
  4. 野良APから書いても逮捕?(たりき)

他の方の発表も普通になかなか聞けないような内容だと思うので、興味のある方はぜひ広島まで。

投稿者 takesako 日時 2008年7月 4日 (金) 14:22 セキュリティ勉強会 | | コメント (0) | トラックバック (0)

このエントリーを含むはてなブックマーク

2008年4月10日 (木)

第14回まっちゃ139勉強会(京都女子大)で講演します

4/19(土)、京都で開催される第14回まっちゃ139勉強会(京都女子大)で講演することになりました。

 第14回まっちゃ139勉強会
テーマ開発者のためのセキュリティ勉強会
セッション1タイトル「役に立たない HTML/JavaScript Hacks 4連発」
概要「Webアプリの隙間でニッチなハックを楽しむ」
竹迫 良範 (サイボウズ・ラボ株式会社)
セッション2参加者によるライトニングトーク4連発
受付番号1番、10番、20番、30番の方に
日 付2008年04月19日(土曜日)
時 間13時00分~17時00分
場 所京都女子大学 S校舎 109 教室
地 図http://www.kyoto-wu.ac.jp/access/index.html
定 員50名程度
費 用1000円(学生、U-20:無料)
登録申込みこちらより
懇親会私も参加しますのでもしよかったらどうぞ

関西方面のみなさまと一緒に以下の内容のお話ができればと思います。

「役に立たない HTML/JavaScript Hacks 4連発」
     id:TAKESAKO(サイボウズ・ラボ株式会社)

約20年前のGIF画像フォーマット、約10年前のHTML/JavaScriptの技術を
現在のWeb2.0時代に応用することで幅が広がるAjaxハックの紹介です。
セキュリティということで最近話題のPHPの脆弱性についても語ります。
Webアプリの隙間でニッチなハックを楽しみましょう。

1. 詳細イメージファイト
- なぜPHPは避けられるのか?
- RFI脆弱性で任意のPHPコード実行
- 画像ファイルを使った攻撃例
- サニタイGIF動作原理
- mod_imagefight PoC

2. JavaScript Binary Hacks
- JS+Perl+HTML+GIF89a Polyglot
- 役に立たないJSONハック

3. 安全なクロスドメイン通信とは
- AjaxとJSONPセキュリティ
- GIF89a Ajax API PoC (32bit)

4. HTML 2.0 Hacks
- たとえば、CSSハックを避ける
- JavaScriptを使わないブラウザ判別
- ユビキタスJavaScriptの未来は?

(関東方面では今月のJNSA U40部会とI社さんの勉強会で同じ内容をお話します)

 

今まで新幹線で通過したことはありましたが、恥ずかしながら京都は人生初体験です。
どうぞよろしくお願いいたします。

投稿者 takesako 日時 2008年4月10日 (木) 19:44 セキュリティ勉強会 | | コメント (0) | トラックバック (1)

このエントリーを含むはてなブックマーク

2007年12月14日 (金)

SecurityDay2007パネルDISカッション

2007年12月18日(火)青山TEPIAにて、日本の情報セキュリティのあり方を考えるイベントSecurityDay2007が開催されるのですが、セッション2のパネルディスカッションの末席を汚すことになりました。

SecurityDay2007 <セッション2>

ソフトウェア等の脆弱性対策 ~次の一歩は?~

  • モデレータ 歌代 和正 (JPCERT/CC)
  • パネリスト 鵜飼 裕司 (フォティーンフォティ技術研究所)
  • パネリスト 竹迫 良範 (サイボウズラボ)
  • パネリスト 加藤 雅彦 (IIJテクノロジー)

脆弱性については、届出制度や開発側の対応についても仕組みが動き出し、かなり改善されてきてはいますが、まだ検討課題として残ってしまう状況がでています。脆弱性を見つけてしまったら、見つけられてしまったら、利用しているソフトに脆弱性が出てしまったら、顧客が脆弱性のあるソフトを使っていたら、等々、色々な側面から、問題点を掘り下げ、実際に起きている事例なども交えて、どう対応して行くのが良いのか、どのように考えるのが良いのかなどを検証し、より良い対策について考えてゆきたいと思います。会場からのご発言も大いに期待します。

このイベントに同席される方がスゴイ人たちばかりなので今からgkbrしています。

平日の参加費有料のイベントですが、他にも面白いセッションがありますので、もしも興味のある方はどうぞご来場ください。

続きを読む "SecurityDay2007パネルDISカッション" »

投稿者 takesako 日時 2007年12月14日 (金) 02:24 DIS, セキュリティ勉強会 | | コメント (0) | トラックバック (0)

このエントリーを含むはてなブックマーク

2006年11月29日 (水)

jcode.plの歌代さんはまだまだ現役バリバリでした

先日、チームチドリtessyさんのご紹介により、 株式会社セキュアスカイ・テクノロジー歌代さんを含む約8名のサイボウズ・ラボ見学会を開催しました。

会社紹介プレゼン

せっかくなのでプチ勉強会もやりましょうということで、有志によるハック紹介が行なわれました。 残念ながら公開されている資料は2件のみとなっております。 お察しください。

歌代さんは自宅でContessaを使っていらっしゃるということで、Cruise & Atlasの試乗会も兼ねての参加となりました。 その昔、歌代さん作のjcode.plには大変お世話になりました。ありがとうございました。 歴史を振り返ってみるとjcode.plって1992年の時点でもうあったんですね。 感慨深いものがあります。

投稿者 takesako 日時 2006年11月29日 (水) 13:49 セキュリティ勉強会 | | コメント (0) | トラックバック (0)

このエントリーを含むはてなブックマーク