田舎高専生のメモ置き場

技術ブログとかではないです。

CygwinからAnacondaを使いたいときにありがちなトラブル

cygwinからAnaconda(というかconda)で仮想環境作って使いたいときありますよね。
すでにWindows用のインストーラを使ってAnacondaをインストールしていたので、これをそのまま使います。

Windowsで[システム]→[システムの詳細設定]→[環境変数]ボタンをクリックして、ユーザー環境変数のPathを選んで[編集]ボタンを押すとAnacondaへのPATHが出ます。
これをcygwinのbashrcなどに

export PATH=/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~:$PATH

に追加します。

次に conda create コマンドで仮想環境を構築します。

% conda create -n py2 python=2.7 anaconda

あとは

% source activate py2

でactivateするだけ…
だと思っていたんですが、いざ起動してみると

% python -i
Python 3.5.1 |Anaconda 4.1.0 (64-bit)| (default, Jun 15 2016, 15:29:36) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>>

どうやらちゃんとactivateされていないみたいです。

echo $PATH すると
/C/Users/ユーザー/Anaconda3/envs/py2:/C/Users/~省略~:/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~

のように仮想環境までのパスをWindowsのフルパスで追加していました。
この /C/Users/~ を /cygdrive/c/Users/~ にしてほしいですね。というわけでactivateをいじります。
which activate して、activateというスクリプトが置かれているディレクトリ(おそらくAnaconda3/Scripts内)に移動し、cpでactivateを別名でコピーします。
コピーしたものをエディタで開きます。これを読むと61行目の _NEW_PART という変数に仮想環境までのパスが格納され、67行目でPATHに追加されるみたいです。
export PATHされる前に、

_NEW_PART=${_NEW_PART//C/cygdrive/c}

という処理を追加します。

% source <コピーしたactivate> py2

echo $PATH すると
/cygdrive/c/Users/ユーザー/Anaconda3/envs/py2:/cygdrive/c/Users/~省略~:/cygdrive/c/Users/ユーザー/Anaconda3:/cygdrive/c~省略~
ちゃんと変わっていました。今度からactivateしたいときはこちらを使用すると出来るようになります。

第15回セキュリティさくらに参加しました

H28年7月30日に開催されたセキュリティさくらの第15回に参加させていただきました。
第15回セキュリティさくら : ATND
メモや感想を書いていこうと思います。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

クラウド不安、とか言ってる場合じゃない最近のクラウドセキュリティ」(松本 照悟氏)

【評価の分かれるクラウドセキュリティ】

世間の”クラウドの不安”はセキュリティ
情報漏えいなどセキュリティに不安がある

  • 一方
    • 同じ調査の中で23.7%の利用者は”セキュリティが高くなる”ことを評価
    • クラウドセキュリティの積極的な評価も
    • クラウドは既存のアプローチよりもセキュアである” 米国CIA技術主任
    • クラウドを評価する人、クラウドに不安を持つ人の間に大きなギャップ
      • そのギャップをどう埋める(埋めてきた)のか

【そもそも、クラウドってどんなもの?】

  • そもそも、なんでクラウドなの
    • クラウド・コンピューティングの時代
    • キャパシティ計画の考え方
      • 一時期必要な物を一気に調達 → その後無駄に ⇒ クラウド
    • 環境の考え方
      • 調達時間ゼロ、いつでも好きな環境、停止すればコスト削減
    • コストの考え方
      • CAPEX(設備投資)モデル ↔ CPEX(運用コスト)モデル
    • クラウドの評価
      • 早く、簡単、安く
      • 良しとされてきた価値を無にする(ニューノーマル)
    • ニーズに柔軟に応じられるインフラに価値がある
    • 例) Instagram : 最初は位置情報を使ったサービス、写真共有は機能の一つだった

クラウドセキュリティの不安を除くために】

"認証"はわかりやすいセキュリティの評価基準


スイーツタイム

NOJI さんのケーキ。チョコレートケーキ美味しかったです


クラウドセキュリティの常識が変わる】

  • 従来型の”ノーマル”なセキュリティ
    • セキュリティ=機密性・完全性・可用性の維持
    • アクセスコントロール、暗号化、冗長化などを”当たり前"にすること
  • クラウドがもたらすITの恩恵
    • 改善 : ビッグデータ、分析インテリジェンスが簡単に手に入る
    • 革新 : すべての社内リソースが可視化される
  • セキュリティの「ノーマル」な悩み
    • 今行っているセキュリティ対策は有効なのか
    • どこまでセキュリティへ投資したら良いのか
    • コスト最適なのか
  • 「ROI」から「変化適応」へ
  • クラウドが適応型セキュリティを加速
  • 変化適応度に応じたセキュリティの種類分け
  • セキュリティ・ベストミックス
  • 安全なクラウド利用から、クラウドだからこその変化に応じたセキュリティ、が実現できるようになってきた

クラウドならでは、のセキュリティへ】

  • 固定的なセキュリティ -> 企業米の構成・設定によるセキュリティ -> 利用者毎・状況毎のセキュリティ
  • Netflixの場合
    • 自分たちの本番サービスのサーバを勝手にシャットダウン(Chaos Monkey)したり、地域自体を使用不能(Chaos Kong)にするツール群を開発、実装
      • 止まらない、故障しないシステムなんてない!
      • 止まっても大丈夫な仕組みを作り出す
  • “本来やるげきこと”に集中するためのセキュリティ
    • ビジネスの要求に答えられるサービス構築・運用
    • より深いログ分析やリアルタイムな対応
    • 少人数でも規模を拡大化できる仕組み
  • Security By Design
  • DevSecOps
  • ガバナンスの観点からみた課題
    • 管理をする始点からすると、勝手な利用は好ましいものではない
    • 環境バラバラは監査をする方も大変
  • 利用者側の視点からみた課題
    • 自分たちのニーズにそった環境がすぐに用意できないとビジネスが立ち上げられない
  • 望ましい解決策とは
    • 組織としての管理要件を満たしたサービスを、利用者側がすみやかに立ち上げられる環境を提供すること
  • 今時のクラウドの出来ること
    • 環境をテンプレートにできる - サーバ単体だけでなく、ネットワークの構成なども
    • 実行を自動化 - 手作業のミスや操作のばらつきを排除
    • 実行の証跡を確保できる - 誰が何をやったのか追跡
  • SbDの狙い
    • お客のガバナンスポリシーを技術的にスクリプト
    • 制御を確実に実行できるようにする
    • 継続的でリアルタイムな監査を実現できる
    • 結果としてセキュリティ要件を満たす環境の構築を自動化し維持

【終わりに】

  • クラウドがセキュリティにもたらす価値
    • “出来なかったこと”が出来るようになりつつある
    • “変化や要求”に応じること
    • “本当にやるべきこと”に集中できる環境を作ること

LTタイム

TeslaCryptを焼肉に変えた話(李 充根氏)

  • 状況確認
    • 現場
      • 小規模な塾のような環境、かなりアカンNW構成
      • ファイルがTeslaCryptによって暗号化される
  • 復旧方法
    • GitHub上にTeslaCrackというツール
    • 通常、拡張子が.vvvになり暗号化されるはずが、.mp3になってた
    • TeslaCrypt3という改良版による暗号化
  • 作者が降参しマスターキー公開
  • 原因として考えられるもの
    • FlashJavaのバージョンが古い
    • セキュリティソフトの期限切れ

ビギクラ!開発入門者向け脆弱性学習アプリ(政倉氏)

ビギクラ!
SQLインジェクションとか勉強出来ます

パスワード管理ソフトの有用性と危険性について比較してみた(CyberForce3373氏)

  • 有用性
    • 覚えるパスワードが減る
    • パスワードの使い回しが減る
    • ランダムなパスワードの利用
    • 持っているアカウントの把握
    • パスワード以外の情報も管理
    • 自動入力
    • 同期
    • セキュリティレポート
  • 危険性
    • すべてを一度に盗まれる
    • すべてを一度に失う
  • 考察
    • すべてを一度に盗まれる
    • 2段階認証を併用する
    • 下手な管理よりは圧倒的に安全
      • 数パターン程度を使い回す
      • ブラウザのパスワード保存機能を使うくらいならパスワード管理ソフトを使うべし
    • 使い方を工夫する
      • 何を管理対象にするか : (例)Microsoftアカウントは管理対象にしない
    • データの保存場所・同期方法

CSIRTって知ってますか?(powhei氏)

  • CSIRTとは
  • 機能
    • インシデント検知、対応、教育、外部との連携
  • 必要なわけ
    • 小さなインシデントのうちに対応、大きなインシデントを防ぐ
    • あらかじめ対応を準備することで、発生時に冷静に対応
  • 実装形態の例
    • 独立部署
    • 部署横断
    • 個人
  • 見える化
  • まとめ
    • 組織内CSIRTは必要
    • 名ばかりのCSIRTダメゼッタイ

タイピングチューブの紹介(竹森氏)

Typing Tube (タイピングチューブ)

感想:
クラウド、名前知ってるくらいで自分で使ったことはないんですが、お話聞いてる限りすごく便利で安全ですね(小並感)。
"本当にやるべきこと"に集中できる環境を作ることが出来るクラウドは流行るのも納得です。

懇親会

お酒美味しい!加減しなかったせいで帰りの電車で揺られてめちゃ気持ち悪くなりました。勉強になりました。
じゃんけん大会で勝ったのでHITCONのマスキングテープ頂きました!めっちゃかっこいいです

第14回セキュリティさくら と Qemb #04 に参加しました

H28年1月16日に開催されたセキュリティさくらの第14回とQemb #04に参加させて頂きました。
第14回セキュリティさくら : ATND
ハードウェア・組み込み系勉強会 Qemb » ハードウェア・組み込み系勉強会「Qemb」#04
同会場で、午前はQemb、午後はさくらという感じです。
※間違い、意図と違う等ある場合お手数ですがご連絡ください。

Qemb #04

組み込み系の勉強会で初参加でしたが、毎回勉強会としてのスタイルは違うようで、今回はアイデアソン形式で「教育とコンピュータ」というテーマで最初は全体、あとからグループ単位で他の参加者とグループワークを行いました。
私たちのグループでは「Lチカの先」と「モチベーション」を主に話し合いました。

「Lチカの先」

  • 電子工作で何か実現したいものがある・アイデアがあるといいが、まずそこが大変
  • 「ぶっちゃけ実装より考えるほうが大変」
  • Lチカからインターネットにいるすごい人たちが作っているものはいきなり作れない
  • 実現したいものがある・思いついた -> 何が必要か細分化(無線通信、センサー、プログラム など)
  • 細分化した単位でまずググって真似るとこから
  • 完成しなくてもいい -> 勉強にはなっているし、後日また電子工作するときに昔つけた知識が役に立ったりする
  • 便利なライブラリを探そう -> インターネットのすごい人たちが結構作ってたりする

「モチベーション」

  • インターネットのすごい人たちも裏で結構時間かけてたり
  • 少し進捗があるとブログ書いたり知り合いに見せたり(注:全く興味ない人に見せると「で?」で終わる可能性)
  • あえて作る宣言(ブログ、Twitter等)して自分を追い込むのも手

知らない方とグループワークをする機会など滅多にないので、お話出来て楽しかったです。いい刺激になりました。

第14回セキュリティさくら

今回は技術などの話ではなく、「マネジメントシステム」という「人」がメインでそこにセキュリティが関わってくるものでした。
以下、メモ書きになります。

講演1-1「今だから考えるマネジメントシステムな話-過去-」(greenz 氏)

伝えたいこと
to 学生
「何を守るかを考えること。技術を現実に起こすもの」がマネジメント
to 社会人
「企業内のセキュリティの雑事をさせられることが多いが、その背景となるものをきちんと見定めること。これが出来ると適切な提言も可能となる」

「マネジメントシステム」のバズワード

語る人によって定義が異なる
【言葉の整理】

マネジメントの定義

  • 経営などの管理をすること
  • 経営者。管理者

wikipediaでは:
経営管理論(マネジメント)
管理についての実践的な技法の確率を目指す学問

なぜ、セキュリティ分野で利用されるのか?
  • 目標設定を行い、それに対する達成アプローチとしての考え方
  • それを体系的にルール化したもの「マネジメントシステム」
  • リスクの管理
  • それらの中で「情報セキュリティ」に特化したもの ->「情報セキュリティマネジメント(システム)」
わかりづらいのはなぜ?
  • 「経営」と密接に結びついているもので、その点がわかりづらい模様
  • 「マネジメントシステム」がわからないというより、その一つ前である「仕事の仕組み」とのつながりが分からないのが原因っぽい
  • 一人で行う開発と異なり、複数にで行う仕事には多くの登場人物がいる
長いお仕事フロー ->「マネジメントシステム」の必要性
  • 現代における企業組織体としての「仕事」は個人で管理できている範囲を超越している
  • 目標設定して効率的かつ確実に実行するにはフレームワークが必要
  • 多くの人間に役割を与えて協力体制で行うことで対処している
  • ただし、人が2倍=作業量2倍とならない
  • 認識漏れ、連絡漏れなどを除くためにも社内で共通認識できるルール、記録が必要
情報セキュリティマネジメントシステム
  • 更に「マネジメント」を行う上でセキュリティ分野などで無手勝手にやるのは難しい
  • 規格が必要になってくるなど
JISとは
  • JIS Q 15001
  • ISO9001, ISO2700
  • 「ルールの作り方」のルール
  • 規格はあくまでルールであり認証制度には関与しない。それを使って商売するのが認証制度側。混同されやすい
  • 企画に基づき体制を撮ることは有効だが、現状において審査制度には難があるため、取得していること自体が安全な証明にはならない
  • 一定の蓋然性として見れる
PDCAサイクル(不幸のマニ車
  • 回せば回すほど不幸に
リスクアセスメント
  • 計画を立てるにはまず予測が必要
  • 自社の業務内容や所有する情報などを分析しリスクを洗い出す
  • リスクに対する対策を行うことで発生可能性を抑える
  • リスクを「管理」することが目的であり、ゼロにすることが目的ではない
  • 正義かどうかではなく、効率的かどうか

何が可能になるのか?

  • 限られたリソースの最適化
  • 特に重要と思われる箇所への優先的な対策
  • 更に運用結果からフィードバックを行うことによりダメだった箇所は更に強化する事が可能
  • 足し算だけの対策だけでなく引き算の対策
ここまでのまとめ


講演1-2「今だから考えるマネジメントシステムな話-過去-」(松尾秀樹 氏)

情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構

  • 手強い相手と仲良く
  • 事業
    • システム用語は通じない、ビジネス用語に変換
    • -> 厚い信頼関係が必要

技術担当だけ長い間続けていると、本業のビジネスを理解していないことがある

どんな順番でセキュリティ業務を組み立てるか
  • 情報資産、情報資産の管理責任者の確認
  • 情報資産に対する脅威の確認
  • 脅威に対する弱点の確認
  • 影響度の確認
  • セキュリティ障害の発生は起こるか(確率)
  • 対応策の選択 -> 実施へ
リスクを認識させる、責任を持っていただきたく
  • 先ずリスクの確認をしていただきたく
  • ソリューション案の提供
  • 責任を持っていただきたく


スイーツタイム

ケーキ美味しい!アップルパイ美味しい!焼きプリンクッキー的なの美味しい!


講演2-1「今だから考えるマネジメントシステムな話-現在-」(greenz 氏)

ここから「マネジメントシステム」は「情報セキュリティマネジメントシステム」に読み替え
プライバシーマークISMSともに取得数は上昇 -> しかし、いずれの取得事業者数も数位では伸び率が鈍化
個人情報保護法の制定がターニングポイント -> ただし、その状況を今に引きずっている
マイナンバー、改正個人情報保護法が控えるが大きな変化はない模様
本来取得すべき事業者数を超えて過剰になっている印象がある -> 重要な個人情報を扱わない企業が取得しているなど

マネジメントシステムへの批判
  • 取得したのに売上に貢献しない
  • 取得した事業者から漏洩が発生する。だから役に立たない
  • 制度が技術的進歩に追随していない

※公がやっているから批判しやすいという側面がある。これらが全て事実というわけではなく、何らかの問題が存在することを示している

プライバシーマークが腐っていった原因

とあるブログより(削除されている模様)

  • JIS Q 15001を始めとした認定基準、審査基準がアレ
  • 質の悪い審査員

意味がないと言われる原因

  • 取得事業者サイド
    • (なにもしないで)取れれば良い
    • 悪徳コンサルタントを利用する
    • 一部に残存する苦労=セキュアという考え
  • 制度・審査員再度
  • 圧倒的高齢化
    • ビジネスに対する不理解
    • 変化速度を追えていない
    • 紙束と印鑑に頼りきった審査員
  • 「マネジメントシステム」の規格とは開発におけるところのフレームワーク
  • それに従って作れば何も考えずともある程度安全が担保される
  • ところがフレームワークの開発が停滞している状態
  • そのため本質を理解しないで楽しようとするととんでもない作りこみを招く
形骸化の実態と原因
  • これらのことが重なりあうことで目標を見失ってしまう
  • 「マネジメントシステム」とは目標あってこそであり、ここで意味を失っている
  • やがて日本の会社文化にありがちな「手段の目的化」という袋小路に陥っている
形骸化の具体的事例
  • ルールの硬直化
    • 「ルールを変えるルール」という認識がない
    • それで合格を貰ったから変える必要が無い
  • 非合理的な運用
    • 何のためにやるのかを考えないルール
    • 紙の「入退出記録」の運用
まとめ
  • マネジメントシステムの認証を求める事業者は伸び止まりの壁にぶつかっている
  • (特にプライバシーマークに)様々な批判が出てる
  • 認定を受けた企業内に形骸化の問題を抱えている
  • 形骸化の問題は自浄作用が弱いため劇的に環境が変化しないから停滞が続く


講演2-2「今だから考えるマネジメントシステムな話-現在-」(松尾秀樹 氏)

経営者は認証を取るのが大好き
形骸化してきたの? -> いいえ最初から
Pマーク:2年ごとに再審査がある

セキュリティ組織のモデル

大企業型

  • 巨大セキュリティ組織ができる
    • セキュリティ担当者が100名くらいいる
    • ロシアのハッカーを筆頭に20名の専属検査チーム
    • 入室は金属探知機で持ちものチェック
    • 施策検討は、大手コンサル率いる20名のエキスパート
    • あらゆるコンリスを吸い込んで抜け漏れなく検討
    • 開発は規定の試験を受け、認定されてから参画可能になる
  • 潤沢な治験、技術員多数で推進すると
    • 現状の業務を知らないまま施策の検討、一見して too much
    • 事業コスト負担が絶大、金も手間も時間
    • 組織のパワーバランスでものが決まっていく

中小企業型

  • 意識はあるけどお金がない
    • なんとか会社の規定(セキュリティポリシー)は作った -> そこで安心
    • Web診断は高額でウケられない、少数に絞って実施
    • 現場は業務の安全性について不安
    • 標的型にやられてるかも…監視をする金もないし
  • いいこともおおい
    • 決断が早い
    • スクテイク

大企業だけど意識が高くない

  • お金はあるけど意識は低い
    • 「ウチには守るべき個人情報はない」
    • 「メールアドレスは個人情報ではないとして規定書きなおしてもらえますか」
    • プライバシポリシーは「うっかり漏らしたら許してね」と書いておく


講演3-1「今だから考えるマネジメントシステムな話-未来-」(greenz 氏)

  • 語りたいこと
    • 未だ「現場」の問題が解決することがない
    • 「規格」も様々な問題を内包している
    • 「規格」の解釈で言葉遊びをするのではなく、本質を考える
    • その上で「マネジメントシステム」の仕組みの良い形を探り、提言したい
    • それらに至る思考過程も説明するのでそこで非仮想体験して欲しい
現状の問題点のおさらい
  • マネジメントシステムの認証は形骸化のフェーズに入っている

【企業サイド】

  • 導入費用だけでなく、説明、教育などの人的な負荷が高い
  • 現実と乖離したルール、社内申請の二重化

【制度サイド】

  • 規格の更新が行われず技術変化に追従できていない
  • 審査員の教育問題を解決できてない
  • この点はISMS側の比較的水準が高い
    • 専門性を持った担当業種方式の審査などを行っている
    • 画一基準による不要な対策の要求 -> 「よそもやっているから」
    • 紙を大前提にした審査方式の行き詰まり

※この領域は努力で解決できない。世界を個人で変えることが出来ないので出来る範囲で

あるべき姿の提言
  • 部署単位でなく、企業組織単位でセキュリティに限定しない管理
  • 効率よく必要なことを必要なことだけ行う仕組みへの「最適」へのアプローチ
  • 経営層の判断と現場の乖離の改善
「マネジメントシステム」の改革する
  • 「マネジメントシステム」の概念を使って「マネジメントシステム」の改善など

PDCA
KPT
なぜなぜ分析

  • マネジメントシステムというより思考法に近い
  • PDCA, KPTなどの分析手法でも原因をうまく抽出できないと誤った解決に至るという問題がある -> whyをたくさん出す

解決案の模索

  • 業務フローの整理、可視化
  • 各業務フローにある問題を認識、対策を講じる
  • 更に業務手順にフィードバックする
まとめ
  • 業務手順と対策が一体となった「最適化」
  • 経営と一体になった対策、ガバナンスという概念
  • セキュリティのためのセキュリティなんて意味が無い
  • ビジョンのない経営者はNG


講演3-2「今だから考えるマネジメントシステムな話-未来-」(松尾秀樹 氏)

日本企業のものの決め方

  • 人事に関しての習慣
    • 歴史の浅い「最先端技術」に関しては、若い世代に任せる
    • 古くからある業務「コンプラ、監査、経営」に関して外部のプレーンを登用、歴史の長いデキル部下を用いない
  • エンジニアの習慣
    • 自分がいちばん技術力がある、リスペクトされるべき
    • 他のやつがきらい、言葉を選ばない
    • 勢力争い、自分の部下であっても相手を選ばない
  • マネジメントシステムが本質を失っていく
    • 取り入れ方が間違っているかも
結論
  • セキュリティ施策は会社を愛している人 -> 俯瞰し尽くせる人が考えて作るべき?
  • セキュリティ施策は、必ずしも認証を得なくても実施できるし、効率的なリスク削減ができる
  • しかるべきあとに、体外アピールのため、更に社内施策を推進する根拠としてマネジメントシステム、または認証を利用することは経営的・営業的にいいんじゃないか
  • 現場の施策 => 現場がつくるべき
  • 施策の推進 -> マネジメントシステム名を根拠に利用
  • マネジメントすることそのものが目的になってしまったとき
    • コンサル会社の術中にかかっている
    • Pマークを維持していたら顧客に安心してもらえる
    • Pマークの審査官 -> 本当にわかっているのか
    • 非合理的な運用が延々続く
    • 新技術に対応していない

メモ:
スピン経済の歩き方:CIAの“サボりマニュアル”は、なぜ「日本企業あるある」なのか (1/4) - ITmedia ビジネスオンライン


LT

「HAPPY ENGINEERRING」(@kummassi 氏)
  • 「良いチーム」でないと楽しくない
  • 転職 -> 踏みとどまっている理由
    • ある程度大きな組織であれば「あるある」
    • 周囲をハッピーにできたら自分もハッピー?
  • 他人・組織を変えられるか
  • 楽しく働くための実験
    • ウォータフォールからスクラム
    • 味方を少しずつ増やす
    • 他社への介入についての学習
  • 動機付け
    • 外発的、内発的、親和的
「見に染みた中小企業のセキュリティ ~冬~」上村英樹 氏 (@securitybutton)
  • 営業ウイルス
    • ふるまい:標的型電話攻撃
  • 電話攻撃対策
    • 「席を外しています」など
  • 訪問攻撃対策
    • 「会議中です」
  • 『中小企業のセキュリティは弱い』
    • 名言1:うちは漏洩して困るような情報はない
    • 名言2:ウイルスが悪くて私たちは悪くない(責任は問われない)
    • 名言3:自分でできるから大丈夫 -> 「IPアドレスって何?」

添付ファイル付きメール危ない拡張子は表示しましょう

「Azure, AWSで出来るセキュリティ対策」じゅんくどう 氏
  • クラウドでセキュリティって実際に何が出来るのか
  • オンプレで出来ることはクラウドでも大半出来る
    • しかし、工夫がいるところも
    • リスクを理解して利用しよう

懇親会

運営のお手伝いをして遅れて合流しました。参加者の昔話や高専の話などしました。
名刺を作る必要性アリ…
じゃんけん大会で、セキュリティのすごい人たちが集まって書かれたセキュリティの薄い本頂いちゃいました…大切にしたいと思います!
f:id:solismb:20160117205617j:plain



感想
一日中、とても濃い時間を過ごせました。またいろんな方とお話出来て楽しかったです!

高専プロコン2015 競技部門に少し参加しました

こんにちは,@solis_mbです.

この度、熊本高専 熊本キャンパスとして高専プロコン2015 競技部門に少し参加しました.
結果は準決勝で敗退と悪い結果でしたが、ソースコードが公開されてます.
https://github.com/knct-densan/procon26

(注) ここから別に技術的な話は一切しません

私はairi.exeを担当しましたが、今から見苦しい言い訳を書いていきます。
今回プロコンに参加するにあたって、メンバー(@y1r96)にはGUIをやってほしいと言われ「いいぜ」と言ったものの、プログラムの勉強はほとんどしていません(興味はあるが勉強するとは言ってない)し、GUIC#で実装が楽ということでC#使ったんですが、学校の授業で30分くらい触った程度でした。ましてオブジェクト指向なんて4年生になって「オブジェクト指向とは〜クラスとは〜」というテキスト序盤の数十ページ程度しか勉強していません。
ですが、「本番で使う三台のマシンはローカルなサーバーを使って協調して解を提出して〜〜」というものを要求されたので、正直なとこ無理だろう思ってたら本当に無理でしたごめんなさい……
全然わからなかったので去年のプロコンでwasaなんとか先輩が書いたプログラムとか大阪高専様が公開しているプログラムをパクらせていただきました大変申し訳ございません。

準決勝敗退という結果でしたが、メンバーの@lmdexprくんのツイートの通り
https://twitter.com/lmdexpr/status/652730646813503488
シンガポール研修終わり深夜の便で帰国(福岡) -> 飛行機で熊本から東京へ -> 東京から新幹線で長野へ(全て10日土曜日)
という鬼畜日程だったので許してくれという感じではあります…プロコン移動距離部門だとダントツ1位だと思います…

[1日目] AM1時ほどからなんとかシステムを完成させようと徹夜して書いたんですが、いかんせん疲れていて何をしているのか全く分からなくなり追加したコードはほぼ破棄しました。
結局、協調して解を提出というものは実装できませんでしたが、ボタン押したら 問題DL、ソルバに投げる、競技サーバーへ提出 という最低限度の機能はまあなんとか動いてくれたのでそれを使いました。ソルバーのパラメータを変えたやつをそれぞれ走らせて、メンバーと口頭で返ってきたスコア読みあげて「スコアOOでましたポストします」みたいなアナログなことしてました。

[2日目] 1日目の晩御飯に美味しい信州味噌ラーメンをご馳走になって、PM8時半あたりで「よし、協調は無理でももう少しまともなシステム作ろう」と意気込んでたんですが、ホテルに帰って仮眠をとると言ってベッドに横になってしまったのが間違いでした。気が付いたら朝の7時すぎで状況を飲み込むのに10秒ほどかかり、「ヤバイヤバイ」と急いで会場に向かいました。
敗者復活戦が行われている間Visual Studioとずっとにらめっこをしていて、試合開始10分前に「よっしゃ出来た!」と予選より断然使い勝手の良いものが出来たんですが、5分前にバグを踏んで(恥ずかしいミスだったので書きません)、結局予選と全く変わらない旧airi.exeを使いました…新airi.exeは無駄になりました…
f:id:solismb:20151013033736p:plain
(↑本来動くはずだったairi.exe)

メンバーに非常に迷惑をかけてしまい申し訳なさしかありません。ほんとは私のソースもきったないので公開したくないのですがこれも処刑だと思って我慢します…

反省としてはちゃんと計画的にコードを書こう、プログラムの設計まわりをちゃんと勉強しようなど挙げたらキリがないです。
グダグダと書きましたが、なんだかんだ楽しかったです。
プロコンに関する質問は@y1r96まで。

[小ネタ] Q : airi.exeって名前なに?
A : 白鹿愛莉ちゃんかわいいよ

CTF for ビギナーズ2015 熊本 に参加させて頂きました

9月12日(土)に東海大学(熊本キャンパス)で行われたCTF for ビギナーズ2015 熊本に参加させて頂きました。
CTF(Capture The Flag)と呼ばれるコンピュータセキュリティの知識や技術を使って隠されたflagを探し出す、という競技を初心者向けに講習や実践を行っている勉強会です。
講師が有名な方ばかりで、参加者一覧もあんた初心者じゃないでしょみたいな方がたまにいて、ほんとに初心者だったのでビクビクでしたがとてもためになりました。

今回は以下の通り行われました。

  • 情報理論、CTFとは
    • 情報やCTFについての簡単な説明、またルールや気をつけないといけないことなど
  • ネットワーク講義
    • ネットワーク分野で必要な知識や技術(ツールの使い方なども)、出題されるネットワーク問題はどのような問題があるか、実際に問題を見てみるなど
  • Web講義
    • Web問題を解くにあたっての注意事項、Webの基礎知識、調査方法(ブラウザのデベロッパツールの使い方等)、具体的な攻撃方法など
  • CTF
    • 運営が用意した問題を実際に解いてみよう
  • 答えあわせ

CTFで私が解けたのは、練習問題(スコア100)、web100、web200、net100の4つ(実質3つ)で500点でした。参加する前は全部3問ずつくらい解けるやろw思ってたので悔しい限りです……頑張ろうと思いました。慢心ダメ。
今回の教訓は、binだとfileコマンドちゃんと使え、nwだとWiresharkとにらめっこばかりしてないでサーバに接続出来ないかも確認する、webだとデベロッパツールちゃんと使え、全体的には「とりあえずなんでもしてみろ」などでした。

CTF4bを通して問題を解くにあたって何をすればいいか、(初歩的な)具体的な攻撃方法なんかがわかり初心者の私にとってとても良かったです。また参加出来たらと思います。将来的には脱ビギナーしたいですね…

※注
脆弱性っぽいものを見つけても攻撃しちゃダメ。法律で罰せられます。IPAに届け出て、攻撃はCTFでしましょう。

gisty導入メモ

gistを簡単に利用出来るgistyを導入したときのメモを置いときます。
開発者様のページで導入方法が詳しく書かれています
gistコマンドよりちょっと便利なgisty - SWDYH
が、ちょっと補足も。(MacBook Pro使ってます)

  • インストール方法

ターミナル起動して

gem install gisty

gemがインストールされてる前提です。(gem導入は省略)

  • 初期設定

postしたgistをcloneしてくるディレクトリを指定します。(私は .zshrcで指定)

export GISTY_DIR="$HOME/src/gists"

GISTY_DIRは環境変数です。
OAuthのアクセストークンを取得します。下のURLから取得できます。
https://swdyh-gisty.heroku.com/
ブラウザから警告されると思いますが無視しましょう。
取得したアクセストークンをそのまま .zshrcにペタリします。

以上で動いたと思います。(忘れてる過程があるかも)
※もし動かなかったらgisty側がなぜ動かないか教えてくれます。

第10回セキュリティさくらに参加しました

今回参加2回目となる第10回セキュリティさくらに参加させて頂きました。
第10回セキュリティさくら : ATND
そこで今回聞かせて頂いた講演やLTについてメモしておきます。

講演「最新のスマートフォンセキュリティ事情」(竹森 敬祐 氏)

セキュリティさくらで初めて扱う内容であるスマートフォンセキュリティ(Android)についての講演でした。KDDI研究所に勤めていらっしゃる竹森氏のマシンガントークはとても面白く、濃いお話が聞けました。詳細は書きませんが、スマートフォンセキュリティについてWebからハードウェアまでの広い範囲でのお話で、圧倒されました。WebView危ない。PIZZA-LAの偽アプリのお話や、ワインプロトコルのお話も笑わせて頂きました。

LT 「今更聞けないCMSのセキュリティ」(@Shizumi0705 氏)

コンテンツマネージメントシステム - Wikipedia
今回Wordpressというブログソフトウェア(CMSでないという意見も)についてのLTで、Webセキュリティについてのお話が聞けました。
第三者によるユーザーサイトの改ざん被害に関するご報告 - 2013年08月29日 10時57分 / 新着情報 / お知らせ - レンタルサーバーならロリポップ!
ロリポップレンタルサーバー上にインストールされたWordPressを利用したWebページに改ざん被害があったことを今回初めて知り、原因に 1.WPインストールでの設定に不備があった 2.サーバー側のディレクトリパーミッションに不備があった ということでした。

  • サーバ側の対策
  1. レンタルサーバーを利用している場合管理出来ない部分に関しては対策が不可能
  2. wp_config.php というWPの環境設定を行うファイルのパーミッションを400に
  1. DBのテーブルプレフィックスを複雑に
  2. インストールディレクトリ名を複雑に

ファイルやディレクトリのパーミッションに気をつけよう。

LT 「身近に起こるセキュリティ問題」(9SQ 氏)

PCから少しでも離れる時はロックをかけよう!
2014年版 情報セキュリティ10大脅威:IPA 独立行政法人 情報処理推進機構
今後はスマートフォン周りのセキュリティが重要な課題になるなと思いました。

LT 「プログラミング言語とセキュリティ」(@wasao 氏)

定理証明支援系言語のCoqを用いた型証明あたりのお話でした(?)
セキュアで理想的なコンピュータを実現するためにカリー=ハワード同形対応でコンパイラやプログラムを考えるというもの(?)でした。

数理論理学 - Wikipediaのお話で、全く知識がない私には難しかったので、参考になるURLを貼っときます。
Coq - Wikipedia
カリー=ハワード同型対応 - Wikipedia
LLVM フレームワークで実用的なコンパイラーを作成する: 第 1 回
Idris (programming language) - Wikipedia, the free encyclopedia
IdrisでWebアプリを書く
Vellvm: Verified LLVM
英語読めるようにならないとなあ……

LT 「社内セキュリティ組織を作るのに必要なこと[BBAI]」(@greenz_greenz 氏)

あくまでフィクションのお話を聞かせて頂きました。セキュリティの為に周りの協力を得ることで力になる
が……
心証をよくする力。人間を見極める力。大切。人間ってこわい。


濃い、充実した時間を過ごせました。主催者、講師陣に感謝です。竹森氏の講演でスマホのWebアプリ危ないということでしたが、Webアプリが主体となるFirefox OSはどうなるんだろうと個人的に思った次第です。
また、ハードウェア面の知識が著しく欠けているのでそこらへんも頑張らないとなと思いました。