ssmjp.connpass.com

上記イベントに参加してきた。ssmjpのイベントは初参加。

取り急ぎレポートを書いた。⇒は私のコメント、補足。

• 0.前説
• 1.Future Architect様からのお知らせ
• 2.We regret to inform you
• 3.Your EV SSL certificate is crying -Gaps between SSL server operators and Contents designers-
• 4.サイバーセキュリティ錬金術
• 5.リジェクト・キャンプ行ってきましたヽ(´ー｀)ノ
  • リジェクトネタ1本目
  • リジェクトネタ2本目
  • リジェクトキャンプ
• 6.NKの内部事情

0.前説

スピーカーはとある診断員 (@tigerszk) | Twitterさん。

初参加者向けに会の説明をして頂いた。ｱﾘｶﾞﾀﾔｰ。

ssmとは「新橋 Study Meeding」の略。
過去、色々な呼ばれ方をしていたようだが、
最近は「ささみ」と呼ばれることが一般的らしい。
⇒私は心の中で「ししゃも」と呼んでいたが、切り替えていく。

発表テーマはなんでもOK。
ITとも全然関係ないネタもあったようだ。
「お風呂洗剤の話」「伝説のクソゲーの話」とか。
⇒フリーダム杉。でも聞きたかった。

公式はこちら。
ssm.pkan.org

slackに約50チャンネルあってワイワイやってるとのこと。

1.Future Architect様からのお知らせ

スピーカーは四川麻婆豆腐 (@hogehuga) | Twitterさん。

採用担当からrejectされたので、急遽登壇されたらしい。

空港の看板と女子ゴルファーのCMでおなじみの会社。

⇒これまたフリーダムな会社説明。自粛

FutureVulsというVulsのSaaS版の販売をしているが、
「売れないとVulsもなくなるやで」とのこと。以下リンク。

FutureVuls - Vulsクラウドサービス [Vuls SaaS]

デモサービスがある。
使いやすさにこだわって作ったから使ってみてとのこと。

2.We regret to inform you

スピーカーはAkira Kanaoka (金岡 晃) (@akirakanaoka) | Twitterさん。

研究テーマは主に以下。

• ユーザブルセキュリティ
• 暗号の応用とシステム化
• モバイルセキュリティ

今回の資料作るために、過去のリジェクトメールを漁って、何回か心がやられたらしい。

学術＝論文で評価される世界。

• 論文誌　←評価される
• 国際会議　←評価される
• 国内研究会

トップカンファレンスは以下4つ。

• IEEE S&P
• USENIX Security Symposium
• ACM CSS
• もう一つ(見逃した)

暗号界隈のカンファレンスは以下3つ。

• Crypto
• Eurocrypt
• Asiacrypt

カンファレンスにはランクがあり、トップカンファレンスを狙っておられるとのこと。

大きいカンファレンスの査読だと、
Reduttalといって査読コメントに反論するターンがあるらしい。
3～4日以内に500ワード以内で反論。
「大丈夫やで！大丈夫やで！」と説明するために文章を詰め込む。
うまい人はLinkを張って、「これで1語やろ(ﾄﾞﾔ」とするらしい。
⇒(一体、それは見てもらえるのだろうか？)

何度もrejectされた結果、戦略が大事なので勉強会を開催した。
そこでわかった大事なこと。

• 長さ、広さ、深さ
  acceptされる論文はともに揃っている。
  1人ではやりきれない、分業制にする必要がある。

• アブスト命、イントロ命
  ここで落ちる、落ちないが決まる。

• 関連研究ものすごい、20～40当たり前。

• 評価と考察がえげつない 。
  評価で6ページ使用していたりする。
  また、データ量も膨大。期間も長期。

• 自分たちの手法や限界を書いている。

一度、RANK3の国際会議に通った！ が、そこから連敗。

大量のWe regret inform you!のメール。
「ちな、sorryのケースもあるで！」とのこと。

落ちていく中でわかったこと

• とにかく新規性
• 3か月、半年といった期間がかかる
  日本の時限のプレーヤー(任期付き教員、ポスドク etc)が挑戦するのは大変。
• スピード感
• 文章力
• 出さなきゃ、通らない

落ち続ける中で見えてくること

• 圧倒的サーベイ
• 新規性
• スピード感
• 長さ、広さ、深さ
• アブスト・イントロ命
• 文章力

3.Your EV SSL certificate is crying -Gaps between SSL server operators and Contents designers-

スピーカーはYuji Sugaさん。

IIJのレポートを書いている。
最近だと2018-06 ROCA(RSA実装問題)。
⇒こちらですかね。
Vol.39 | Internet Infrastructure Review（IIR） | IIJの技術 | インターネットイニシアティブ(IIJ)

Real World Cryptography Conferenceに出してRejectされたものが発表テーマ。

全銀協で公開されている120の銀行のサイトを調べた。
うち、EVSSL"2"を使用しているのが一行。A銀行ｪ・・・。
他、40bit暗号9行、60bit暗号25行。

銀行はちゃんとしてそうだったが、意外に、
SSL/TLS暗号の傾向をみると、一般サイトと差がない。

サイト内検索が問題になっているケースが多い。
例えば、サイト内検索の機能がhttpだったり。
EVSSL証明書なのに勿体ない。

銀行数は120銀行だが、システムベンダーの外注先が同じだからか、
同じ問題を抱えている銀行が多数。
あるベンダー1社が対応すれば、複数の銀行が救われるのに。

ちょっと話が変わって、Chromeのバグで、
EVSS証明書のOIDの順序が異なるだけで、
EVSSの判定がされないことがあった。
⇒お、8月にすみだ勉強会で聞いた話だ！以下参考。
個人でEV SSL証明書が欲しい話 - Speaker Deck

もうEVSSいらないのでは？という論議になっている。
Googleが、Symantecの証明書を排除したり、ChromeのEVSSサイト表示時のバーの色が緑から灰色になったり。 EVSS証明書の意義がなくなってきた。

4.サイバーセキュリティ錬金術

スピーカーはIsao Takaesu (@bbr_bbq) | Twitterさん。

⇒早速資料を公開されていた。
サイバーセキュリティ錬金術 - ノイズから価値あるデータを生成する技術 -

インターネット上のデータを価値あるデータに錬金する手法。

HTMLのタグ仕様を元ネタに、 HTML構文の正しさや、XSSのalert発火有無を評価値にして学習させてモデルを作り、 モデルからXSSの検査値を生成する話。

[Step1. 検査値の基を収集]

HTML解説サイトからタグや属性を収集

[Step2. 遺伝的アルゴリズム(GA)で検査値を生成]

各要素をGAにおける遺伝子として定義し、
環境に適合した最適な遺伝子の組み合わせを求める。

• HTML構文として正しいか？
• スクリプトが動作するか？ の手法で評価。

[Step3. 生成モデル(GAN)で大量の検査値を生成]

GANとは？
G＝模倣者がお手本データから贋作を作成する
D=鑑定士がそれを見破ろうとする
これを繰り返して学習精度を高める。

徐々に訓練データに近似したデータを生成できる。
生成すると、全く新しいパターンができることもある。
また、GANを繰り返し回すことで、新しいデータを生成できる。

鑑定士をWAFにして、検出を比較してみた。
WAFがFalse Positiveなのに本手法で検出できているものもあれば、
WAFが検知したのに、本手法ではFalse Negativeのものもあった。
また、応答速度にも難がある。

今後の課題

• 生成した検査値/ブラックリストの実証実験
• 人間では思いつかない検査値の生成
• 他分野への応用

5.リジェクト・キャンプ行ってきましたヽ(´ー｀)ノ

スピーカーはsonodamさん。

先日お披露目のあった日本ハッカー協会の理事。

リジェクトネタ1本目

指摘事項は以下。

• サンプルが100しかない。
• SVMとかとちゃんと比べて説得力を。
• テストベッドとリアルなデータセットを使ったの？
• 英語がいまいち

リジェクトネタ2本目

1本目を改良した2本目。
指摘事項は以下。

• 検出精度を改善したほうが良いんじゃない
• SCW推しみたいなんだけどSVMのほうが良いやん
• プレゼン貧弱やろ
• 英語が・・・

おもしろい論文は英語が結構ひどい。
そればかり読んでいると英語参考サンプルが不足気味になる。

また、指摘に沿ってReject修正すると元々の論文のバランスが崩れることもある。

そもそもニッチな領域だと「評価できる専門家」が多くないのでは？

例えば、評価を依頼される側として、ものすごく頓珍漢な依頼をされたことがある。
ゴムの話とか・・・

リジェクトキャンプ

2008年に開催したことがある。
⇒これですかね。
Rejectキャンプに行ってきました | 日経 xTECH（クロステック）

当時の問題意識。
セキュリティはネットワーク系だけやっててもいかん。
(ブラックボックス製品使うだけ)
海外のイケてないサポートとやりとりするだけ。

Rejectされた人たちが集まってコード書いているのを見て、縦割り的な断絶感は大人が持っているイメージだけだった。学生にはセキュリティは選択肢の一つに見えているだけ。

6.NKの内部事情

スピーカーはととろさん。

• 2015年北朝鮮が話題に
• 一旦、会社広報は発表OK
• が、実態を知った会社から発表NG　→危なすぎるやろ！という理由

RedStar・・・北朝鮮のOS
⇒Wikipediaにも普通に載っていますね。
Red Star OS - Wikipedia

ここでデモあり。(但しログイン画面まで)
ログイン画面は、Macの画面によく似てる。

2015年当時のMacOSをコピーしたのでは。

なんと、日本語のマニュアルを作成した。
社内のハングルがわかるメンバーに和訳してもらった。

インストール手順も、まんまMacOS。

北朝鮮製CAのルート証明書入っている。
情報抜かれ放題。

FireFoxベースのブラウザが入っている。
表示したHTMLを解析し、twitterとfacebookのリンクを表示しないようにしている。

脆弱性を使用してroot取得できるようにしてiptablesを見てみると、デフォルトで諸々設定が入っている。(写真撮り漏れた、残念。)

また、isoファイルにstringsコマンドかけて"MAC"でgrepすると、ばんばんHITする。
Appleのソースパッケージを盗んで作成しているようだ。

OSはインターネット上に落ちている。
また、解析した結果が英文でのっている。