Hatena::ブログ(Diary)

こずみっくきゅーぶ。 RSSフィード

とっぷ 雑記帳

2010-05-29 第12回 まっちゃ445勉強会

会場

微妙な天気の中、久々の蒲田PiO。

今回は以前使った上の階ではなく、1F奥のAB会議室。

横に広い会場となったので、リッチにスクリーンとプロジェクターは2台体制。これが後々まで根を引くことになるとは企画段階では全く想像できなかった…

準備

ドアをあけると既にスクリーン2枚とプロジェクター1台、分配機が設置してあった。すばらしい。

ひとまず演台と照射場所の調整をしてテスト・・・VGAケーブルが足りないのでもう一本ケーブルを借り…なんか接触悪くて安定せず、はぎたさんの手持ちケーブルを使ってなんとか設置とテストを完了。

めざまし勉強会

微妙に時間が押していたのでオープニングは飛ばして代表の挨拶からすぐLT開始。

  • ISMSの内部監査はどうあるべきか(miryuさん)

午後のセッションは参加されず、めざましのために来ていただいたとのこと。すばらしい。

内容は「監査」=「検査」じゃないよってな話。

監査マニュアルも含めて現状を改善するのが目的で、基本的にはクリアすべきテストではない、と。

メモが手元にないので後は帰ってから(ぉ

久々に遅刻せず(w

Ubuntu10.4ではパスコード無しでiPhone内部のデータにアクセスできちゃうよってな話。

で、実際にはUbuntuに取り込まれているiTunes互換(を目指す)ライブラリ一度パスコード無し状態のiPhoneを繋いであると証明書がキャッシュされてその後はそれで認証されるってなことらしい。

ソシャな手段とか証明書の更新手順が公開されていないってこと考えれば脆弱性っちゃあ脆弱性だけど、そうじゃないっちゃあそうじゃない。

証明書がiTMS接続にも結びついているようだと問題ありそうだけど、さすがにそれはないよね?

第一回の報告と7月予定の第二回のお知らせ。

7月はわからんけど、第三回ころから他のブラウザネタも入るようなので、スケジュール合えば参加してみたいかも。

スピーカーとネタ提供とスタッフ絶賛募集中だそうな。

本編『「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜』

辻さんのセッション

ペネトレーションテストの定義から始まって具体的にどんなことをするか、テストにおけるキモと問題点の説明後、幾つかの具体例紹介、そして最後に「願い」としてツールだけに頼るのではなくなく人が果たすべき役割も考えて欲しいと。

アプリ書きとしては身につまされる話だけど、セキュリティに限らずこの辺の認識ができる人間って少ないんだよね。。。

おやつ

今回は森半のまっちゃ/ほうじ茶のだいふく/どら焼き。

北の大地に行ってしまった前代表分を補充。

ああっ森の妖精が最後のまっちゃだいふくをっ(w

※写真は捏造です

f:id:sagami:20100531130608j:image

LT三連発

    • ペネトレーション テスターより愛を込めて。(辻さん)

続けて辻さんに無茶振りお願い。

タイトルはPart2.Part1のUrlがPPTの最初に…いや、それ見えませんからw(検索すればトップに出てきますが)

内容はペネトレで検出されやすい脆弱性について。

パスワードSSLXSSにと容易に想像できそうなうっかり内容がやはり非常に多いとのこと。

この辺は検査をしないでもチェックできるものなんで、ミスは兎も角チェック漏れをなくすだけでもかなり改善されるんだろうなぁ。

仕様よ仕様、でもちょっとだけ仕様じゃないの。

ということで脆弱性としては今のところ認められてないWindowsの挙動とこんなこと(悪用)もできるよね、というデモ。

詳細説明は特に秘す、ということで。

GoogleChromiumOSがセキュリティ的に強固になっている分、フォレンジック泣かせな造りになってますよ、というお話。

Ext4ワイプによるユーザデータの保護とGoogleアカウントによる法的なブロックでなかなかうまくいかないらしい。

2回目以降のログインキャッシュを使うってあたりでGoogleアカウントに直アクセスしないでもHackができるんじゃないかなぁとか思わんでもないんですが。

Androidみたいにroot取れないとどうにもならんのかな。

反省

今回はプロジェクタ接続がどうにも不安定だったことに尽きたかな。特にThinkpadが全て繋がらないとか(w

そろそろ分配器とVGAケーブル(長め)を備品に入れておくべきかも。