ssmjpスペシャルに参加してきた

(みだと)(さみに)(ちおさん)」ということで、一ヶ月遅れですが参加レポートです。


use-after-freeについて (inaz2さん)

use-after-free攻撃をテーマに、様々な開発環境やOSにおける、具体的な防御手法に関する発表。

昨今のコンパイラ環境では普通に防衛機構が入っていることが多いので、「コンパイラオプションでデフォルト有効化されているセキュリティ機構を不用意に外すな」というのが印象的。

セキュリティ人材育成について

私自身も、セキュリティ・キャンプやSecHack365でお世話になっている(一緒に活動している)園田さんによる、現状のセキュリティ人材とその育成に関する発表。

この数年、足りない足りないと言われ揶揄されている「セキュリティ人材」だけど、その実態としては「セキュリティの専門家」は足りており、「現場でセキュリティを理解する人材」が○万人こそが不足している(○には適当な数字が入る)。ただし、その背後で本当に足りていないのは「セキュリティを教えられる先生」。

というわけで、先生を増やしたり支援するための仕組みをやっているとのこと。

  • セキュリティ・キャンプ
  • SECCON
  • SecHack365
  • 情報危機管理コンテスト
  • Hardening
  • 今日もどこかでCTF

セキュキャンや、CTFやSECCON等のコンテスト的な取り組みを、ハッカソン的な要素を入れて具現化したのがSecHack365という位置づけです。そのSecHack365は、実はこの6/4のささみスペシャルの直後に第一回のアイディアソンが開かれるというタイミングだったりします。

役に立ちそうで役に立たない、少しだけ役に立つSSL/TLSまわりの話


以下を覚えて帰ろう。


$ echo Q | openssl s_client -connect www.example.jp:443 | openssl x509 -text -noout

  • Qぶっ込むとすぐにコネクションが切れる。
  • -connectは host:port をコロン区切り
  • openssl x509は証明書ヘッダ見てそれ以外は無視してくれる
  • -text -noout で人が読める部分のみ出力

Microsoft Edgeサーバ証明書を見るインターフェースが無い!!!

TLSのPSK、滅多に見ないレアキャラなのだけれど、そういえば(みんな大好き)Zabbixで使ってました。

まとめ

圧倒的セキュリティ回