security reject con + ssmjp参加レポ(20180914)
上記イベントに参加してきた。ssmjpのイベントは初参加。
取り急ぎレポートを書いた。⇒は私のコメント、補足。
- 0.前説
- 1.Future Architect様からのお知らせ
- 2.We regret to inform you
- 3.Your EV SSL certificate is crying -Gaps between SSL server operators and Contents designers-
- 4.サイバーセキュリティ錬金術
- 5.リジェクト・キャンプ行ってきましたヽ(´ー`)ノ
- 6.NKの内部事情
0.前説
スピーカーはとある診断員 (@tigerszk) | Twitterさん。
初参加者向けに会の説明をして頂いた。アリガタヤー。
ssmとは「新橋 Study Meeding」の略。
過去、色々な呼ばれ方をしていたようだが、
最近は「ささみ」と呼ばれることが一般的らしい。
⇒私は心の中で「ししゃも」と呼んでいたが、切り替えていく。
発表テーマはなんでもOK。
ITとも全然関係ないネタもあったようだ。
「お風呂洗剤の話」「伝説のクソゲーの話」とか。
⇒フリーダム杉。でも聞きたかった。
公式はこちら。
ssm.pkan.org
slackに約50チャンネルあってワイワイやってるとのこと。
1.Future Architect様からのお知らせ
スピーカーは四川麻婆豆腐 (@hogehuga) | Twitterさん。
採用担当からrejectされたので、急遽登壇されたらしい。
空港の看板と女子ゴルファーのCMでおなじみの会社。
⇒これまたフリーダムな会社説明。自粛
FutureVulsというVulsのSaaS版の販売をしているが、
「売れないとVulsもなくなるやで」とのこと。以下リンク。
FutureVuls - Vulsクラウドサービス [Vuls SaaS]
デモサービスがある。
使いやすさにこだわって作ったから使ってみてとのこと。
2.We regret to inform you
スピーカーはAkira Kanaoka (金岡 晃) (@akirakanaoka) | Twitterさん。
研究テーマは主に以下。
- ユーザブルセキュリティ
- 暗号の応用とシステム化
- モバイルセキュリティ
今回の資料作るために、過去のリジェクトメールを漁って、何回か心がやられたらしい。
学術=論文で評価される世界。
- 論文誌 ←評価される
- 国際会議 ←評価される
- 国内研究会
トップカンファレンスは以下4つ。
暗号界隈のカンファレンスは以下3つ。
- Crypto
- Eurocrypt
- Asiacrypt
カンファレンスにはランクがあり、トップカンファレンスを狙っておられるとのこと。
大きいカンファレンスの査読だと、
Reduttalといって査読コメントに反論するターンがあるらしい。
3~4日以内に500ワード以内で反論。
「大丈夫やで!大丈夫やで!」と説明するために文章を詰め込む。
うまい人はLinkを張って、「これで1語やろ(ドヤ」とするらしい。
⇒(一体、それは見てもらえるのだろうか?)
何度もrejectされた結果、戦略が大事なので勉強会を開催した。
そこでわかった大事なこと。
長さ、広さ、深さ
acceptされる論文はともに揃っている。
1人ではやりきれない、分業制にする必要がある。アブスト命、イントロ命
ここで落ちる、落ちないが決まる。関連研究ものすごい、20~40当たり前。
評価と考察がえげつない 。
評価で6ページ使用していたりする。
また、データ量も膨大。期間も長期。自分たちの手法や限界を書いている。
一度、RANK3の国際会議に通った! が、そこから連敗。
大量のWe regret inform you!のメール。
「ちな、sorryのケースもあるで!」とのこと。
落ちていく中でわかったこと
- とにかく新規性
- 3か月、半年といった期間がかかる
日本の時限のプレーヤー(任期付き教員、ポスドク etc)が挑戦するのは大変。 - スピード感
- 文章力
- 出さなきゃ、通らない
落ち続ける中で見えてくること
3.Your EV SSL certificate is crying -Gaps between SSL server operators and Contents designers-
スピーカーはYuji Sugaさん。
IIJのレポートを書いている。
最近だと2018-06 ROCA(RSA実装問題)。
⇒こちらですかね。
Vol.39 | Internet Infrastructure Review(IIR) | IIJの技術 | インターネットイニシアティブ(IIJ)
Real World Cryptography Conferenceに出してRejectされたものが発表テーマ。
全銀協で公開されている120の銀行のサイトを調べた。
うち、EVSSL"2"を使用しているのが一行。A銀行ェ・・・。
他、40bit暗号9行、60bit暗号25行。
銀行はちゃんとしてそうだったが、意外に、
SSL/TLS暗号の傾向をみると、一般サイトと差がない。
サイト内検索が問題になっているケースが多い。
例えば、サイト内検索の機能がhttpだったり。
EVSSL証明書なのに勿体ない。
銀行数は120銀行だが、システムベンダーの外注先が同じだからか、
同じ問題を抱えている銀行が多数。
あるベンダー1社が対応すれば、複数の銀行が救われるのに。
ちょっと話が変わって、Chromeのバグで、
EVSS証明書のOIDの順序が異なるだけで、
EVSSの判定がされないことがあった。
⇒お、8月にすみだ勉強会で聞いた話だ!以下参考。
個人でEV SSL証明書が欲しい話 - Speaker Deck
もうEVSSいらないのでは?という論議になっている。
Googleが、Symantecの証明書を排除したり、ChromeのEVSSサイト表示時のバーの色が緑から灰色になったり。
EVSS証明書の意義がなくなってきた。
4.サイバーセキュリティ錬金術
スピーカーはIsao Takaesu (@bbr_bbq) | Twitterさん。
⇒早速資料を公開されていた。
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -
インターネット上のデータを価値あるデータに錬金する手法。
HTMLのタグ仕様を元ネタに、 HTML構文の正しさや、XSSのalert発火有無を評価値にして学習させてモデルを作り、 モデルからXSSの検査値を生成する話。
[Step1. 検査値の基を収集]
HTML解説サイトからタグや属性を収集
[Step2. 遺伝的アルゴリズム(GA)で検査値を生成]
各要素をGAにおける遺伝子として定義し、
環境に適合した最適な遺伝子の組み合わせを求める。
- HTML構文として正しいか?
- スクリプトが動作するか? の手法で評価。
[Step3. 生成モデル(GAN)で大量の検査値を生成]
GANとは?
G=模倣者がお手本データから贋作を作成する
D=鑑定士がそれを見破ろうとする
これを繰り返して学習精度を高める。
徐々に訓練データに近似したデータを生成できる。
生成すると、全く新しいパターンができることもある。
また、GANを繰り返し回すことで、新しいデータを生成できる。
鑑定士をWAFにして、検出を比較してみた。
WAFがFalse Positiveなのに本手法で検出できているものもあれば、
WAFが検知したのに、本手法ではFalse Negativeのものもあった。
また、応答速度にも難がある。
今後の課題
- 生成した検査値/ブラックリストの実証実験
- 人間では思いつかない検査値の生成
- 他分野への応用
5.リジェクト・キャンプ行ってきましたヽ(´ー`)ノ
スピーカーはsonodamさん。
先日お披露目のあった日本ハッカー協会の理事。
リジェクトネタ1本目
指摘事項は以下。
リジェクトネタ2本目
1本目を改良した2本目。
指摘事項は以下。
- 検出精度を改善したほうが良いんじゃない
- SCW推しみたいなんだけどSVMのほうが良いやん
- プレゼン貧弱やろ
- 英語が・・・
おもしろい論文は英語が結構ひどい。
そればかり読んでいると英語参考サンプルが不足気味になる。
また、指摘に沿ってReject修正すると元々の論文のバランスが崩れることもある。
そもそもニッチな領域だと「評価できる専門家」が多くないのでは?
例えば、評価を依頼される側として、ものすごく頓珍漢な依頼をされたことがある。
ゴムの話とか・・・
リジェクトキャンプ
2008年に開催したことがある。
⇒これですかね。
Rejectキャンプに行ってきました | 日経 xTECH(クロステック)
当時の問題意識。
セキュリティはネットワーク系だけやっててもいかん。
(ブラックボックス製品使うだけ)
海外のイケてないサポートとやりとりするだけ。
Rejectされた人たちが集まってコード書いているのを見て、縦割り的な断絶感は大人が持っているイメージだけだった。学生にはセキュリティは選択肢の一つに見えているだけ。
6.NKの内部事情
スピーカーはととろさん。
- 2015年北朝鮮が話題に
- 一旦、会社広報は発表OK
- が、実態を知った会社から発表NG →危なすぎるやろ!という理由
RedStar・・・北朝鮮のOS
⇒Wikipediaにも普通に載っていますね。
Red Star OS - Wikipedia
ここでデモあり。(但しログイン画面まで)
ログイン画面は、Macの画面によく似てる。
2015年当時のMacOSをコピーしたのでは。
なんと、日本語のマニュアルを作成した。
社内のハングルがわかるメンバーに和訳してもらった。
インストール手順も、まんまMacOS。
FireFoxベースのブラウザが入っている。
表示したHTMLを解析し、twitterとfacebookのリンクを表示しないようにしている。
脆弱性を使用してroot取得できるようにしてiptablesを見てみると、デフォルトで諸々設定が入っている。(写真撮り漏れた、残念。)
また、isoファイルにstringsコマンドかけて"MAC"でgrepすると、ばんばんHITする。
Appleのソースパッケージを盗んで作成しているようだ。
OSはインターネット上に落ちている。
また、解析した結果が英文でのっている。