めざまし午前の部「地方エンジニアから見たセキュリティ」(芳賀さん)

CISSP定義の「セキュアなフェンスの高さ」を枕にして、「地方の」ではあるけれど多分「全国の」でもふつーに当てはまる顧客ー営業ー開発のデススパイラルな状況の解説。
正直わかってるん(はずなん)だけどね的内容の棚卸しなんだけど、やっぱり痛い。
この辺完璧に回ってる会社って全然思いつかないよなぁ。。。

わんだばツアー

夜からJSOC見学ツアーへ。
何とか定時であがったものの、特快に乗れず時間ぎりぎりという引率人にはあるまじき状況で現地到着。*1
当初は20人そこそこの予定が50人近くに膨れ上がった参加者がビルのロビーで待機という残念な光景からスタート(ぉ
まずは用意が整うまでラウンジで簡単なレクチャー&お話。
最初はちょいと聞けなかったが、アナリスト一人当りの処理割り当て数とか、
表舞台のアナリストだけじゃないよ〜て話とか、いくつかのバズワードに関するネタとかセキュリティって元締めやらないと儲からないって話とか。
で、いよいよぼーえーぐん本部見学。
injectionやGumblarの発生地点がポイントされるGoogleEarthな画面が投影されてる壁面とガラス壁の向こう側は60人からのアナリストのコンソールと中心にシニアな人たちが居座る円卓が配置された空間。
この光景ってクライアントよりむしろ中間の提案業者が見て餅は餅屋とするか、自力でやるか考えるために使うべきかなとか思った。
てか、人の苦労が無駄なものだと思ってるウチの上の連中に見せたい(ぉ
後の時間LAC・NetAgent両社のご好意によりピザとビールで懇親会。
ちとあわただしかったけど、楽しい時間をすごさせてもらいました。
色々骨折っていただいたまっちゃだいふくさんとLACの方々に多謝。

*1:申し訳ない…

LT三連発

    • ペネトレーション テスターより愛を込めて。(辻さん)

続けて辻さんに無茶振りお願い。
タイトルはPart2.Part1のUrlがPPTの最初に…いや、それ見えませんからw(検索すればトップに出てきますが)
内容はペネトレで検出されやすい脆弱性について。
パスワードにSSLXSSにと容易に想像できそうなうっかり内容がやはり非常に多いとのこと。
この辺は検査をしないでもチェックできるものなんで、ミスは兎も角チェック漏れをなくすだけでもかなり改善されるんだろうなぁ。

    • とあるシステムの脆弱性(totoroさん)

仕様よ仕様、でもちょっとだけ仕様じゃないの。
ということで脆弱性としては今のところ認められてないWindowsの挙動とこんなこと(悪用)もできるよね、というデモ。
詳細説明は特に秘す、ということで。

GoogleChromiumOSがセキュリティ的に強固になっている分、フォレンジック泣かせな造りになってますよ、というお話。
Ext4とワイプによるユーザデータの保護とGoogleアカウントによる法的なブロックでなかなかうまくいかないらしい。
2回目以降のログインにキャッシュを使うってあたりでGoogleアカウントに直アクセスしないでもHackができるんじゃないかなぁとか思わんでもないんですが。
Androidみたいにroot取れないとどうにもならんのかな。