ただのにっき

■ Web Appsec Night 2012に行ってきた #wasnight2012

六本木で開かれた「Web AppSec Night 2012」へ行ってきた。セキュリティ関連のイベントには隙あらば出かけるのだ。ちなみにまたもやアルコール付き。最近こんなんばっかし。

会社を出るのが遅くなってしまったので会場着が20分ほど遅れてしまったのだけど、入ってみると立ち見が出るほどの盛況ぶりで「弱ったなー」と思いつつ隣を見るとチェアの @okdt さんが立っていたので挨拶したらステージの真ん前かぶりつきの席を作ってくれた(ありがたや)。で、隣には2番手の発表者 @TAKESAKO さんが座っていたり、でかいレンズで写真を撮ってる公式カメラマンが @koyhoge さんだったりして、今日はぼっちじゃない(笑)。そうそう、ネット上では交流のあった @ockeghem さんにもようやく対面できたのだった。

テーマが今年の総括だったので技術的に突っ込んだ話は多くなかったのだけど、個人的に興味深かったのが「地方公共団体における情報システムセキュリティ要求仕様モデルプラン」の話(とその次の徳丸さんの「サポートライフサイクルポリシー入門」)。全国に1800もある地方自治体・公共団体にあまねくWebセキュリティを浸透させるにはという命題に対して「RFPのひな形を作ってしまえ」という発想、結果としてできたガイドライン……と、これはWAICがWebアクセシビリティに関して取り組んできたのとまったく同じ。自治体担当者のスキルが期待できない中で「安かろう悪かろう」を排除するには、やっぱりそれしかないよねぇ。ちなみにWebアクセシビリティサイドの取り組みについては最近植木さんが書いたコラムとその中のリンクをたどると成果が見られる。

その他、(途中からしか聴けなかったけど)Hardening Projectの報告や、Androidの話が興味深かった。というか酒が入っているせいかみんなテンションがおかしかった(笑)。次もなにかあれば参加したい。

■ Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際(Jon Erickson)

オンラインCTFをやるようになって、いろいろとバイナリアン的な技能が必要になったので、知人に紹介してもらった本書を読んだ。最近読書メモがなかったのはずーっとこいつを読んでいたからなんだけど、それでも咀嚼しきれてないという。ムズカシー。

年寄りのプログラマが集まると「最近の若いプログラマはコンピュータの動作原理も知らない」的な話になることが少なくないのだけど(自分は年寄りだけど知らない方なので肩身が狭い)、本書は半導体レベルまでは下りないまでもアセンブラ・マシン語レベルまではがっつりと低レベルな話ばかりだ。

冒頭はプログラムの基本的な制御構造なんかの話から入るので「なんだ初心者向けか、楽勝じゃん」と甘く見ていたら、基礎的なプログラムをC言語で書いたら即座にデバッガにかけて、コンピュータの中で何が起きているのか追いかけるという、いきなりハードな内容になる。

以降、自作のプログラムに潜むスタックオーバーフローに対して攻撃をしかけるコードを書き、実際にrootのシェルをとってみたり、最近のセキュアなカーネールの裏をかいたり、ネットワークプロトコルの穴をついたりやりたい放題。Perlなんかも登場するけど、あくまでシェルコードを生成するために使うツールに過ぎなかったりして。網羅性があって、実用度も高い。攻撃者の手口をひととおり知るにはかなり良い教科書だと思う。

それにしても、スクリプト言語で鈍った頭にはきわめて難しい。ちゃんと理解するには念入りな写経が必要だなぁ。

■ グラコロ同盟2012、終了です

グラコロ同盟の2012年シーズン、本日をもって終了です。同盟員の胃袋におさまったグラコロは887個、マクドナルド本体の後押しもあった昨年の944に比べると減少しましたが、いやはやたいした数でしょう。

ランキングはついに1人で100個超え(!!!)を果たした @naritamasahiro さんが3連覇、2位には新星 @kurenai_ageha さんが61個で入りました。なりたさん、あいかわらずおかしいです(笑)。以下、TOP5まではみなさん40個以上です。スゲー。

個人的にはあんまり食べられなかった感はあるけど(それでもTOP10には入ったよ)、けっこうデミコロLOVEだったな。いい歳してああいうジャンクフードは濃い味が良い。

ではまた来年。