会場
微妙な天気の中、久々の蒲田PiO。
今回は以前使った上の階ではなく、1F奥のAB会議室。
横に広い会場となったので、リッチにスクリーンとプロジェクターは2台体制。これが後々まで根を引くことになるとは企画段階では全く想像できなかった…
めざまし勉強会
微妙に時間が押していたのでオープニングは飛ばして代表の挨拶からすぐLT開始。
- ISMSの内部監査はどうあるべきか(miryuさん)
午後のセッションは参加されず、めざましのために来ていただいたとのこと。すばらしい。
内容は「監査」=「検査」じゃないよってな話。
監査はマニュアルも含めて現状を改善するのが目的で、基本的にはクリアすべきテストではない、と。
メモが手元にないので後は帰ってから(ぉ
- うぶんつ みーつ あいぽん(yumanoさん)
久々に遅刻せず(w
Ubuntu10.4ではパスコード無しでiPhone内部のデータにアクセスできちゃうよってな話。
で、実際にはUbuntuに取り込まれているiTunes互換(を目指す)ライブラリ一度パスコード無し状態のiPhoneを繋いであると証明書がキャッシュされてその後はそれで認証されるってなことらしい。
ソシャな手段とか証明書の更新手順が公開されていないってこと考えれば脆弱性っちゃあ脆弱性だけど、そうじゃないっちゃあそうじゃない。
証明書がiTMS接続にも結びついているようだと問題ありそうだけど、さすがにそれはないよね?
- ブラウザー勉強会の報告と予告(hebikuzureさん)
第一回の報告と7月予定の第二回のお知らせ。
7月はわからんけど、第三回ころから他のブラウザネタも入るようなので、スケジュール合えば参加してみたいかも。
スピーカーとネタ提供とスタッフ絶賛募集中だそうな。
本編『「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜』
辻さんのセッション。
ペネトレーションテストの定義から始まって具体的にどんなことをするか、テストにおけるキモと問題点の説明後、幾つかの具体例紹介、そして最後に「願い」としてツールだけに頼るのではなくなく人が果たすべき役割も考えて欲しいと。
アプリ書きとしては身につまされる話だけど、セキュリティに限らずこの辺の認識ができる人間って少ないんだよね。。。
LT三連発
-
- ペネトレーション テスターより愛を込めて。(辻さん)
続けて辻さんに無茶振りお願い。
タイトルはPart2.Part1のUrlがPPTの最初に…いや、それ見えませんからw(検索すればトップに出てきますが)
内容はペネトレで検出されやすい脆弱性について。
パスワードにSSLにXSSにと容易に想像できそうなうっかり内容がやはり非常に多いとのこと。
この辺は検査をしないでもチェックできるものなんで、ミスは兎も角チェック漏れをなくすだけでもかなり改善されるんだろうなぁ。
-
- とあるシステムの脆弱性(totoroさん)
仕様よ仕様、でもちょっとだけ仕様じゃないの。
ということで脆弱性としては今のところ認められてないWindowsの挙動とこんなこと(悪用)もできるよね、というデモ。
詳細説明は特に秘す、ということで。
-
- Google Chromium OS Forensics」 Oroさん
GoogleChromiumOSがセキュリティ的に強固になっている分、フォレンジック泣かせな造りになってますよ、というお話。
Ext4とワイプによるユーザデータの保護とGoogleアカウントによる法的なブロックでなかなかうまくいかないらしい。
2回目以降のログインにキャッシュを使うってあたりでGoogleアカウントに直アクセスしないでもHackができるんじゃないかなぁとか思わんでもないんですが。
Androidみたいにroot取れないとどうにもならんのかな。