読者です 読者をやめる 読者になる 読者になる

第11回東北情報セキュリティ勉強会に参加してきました

こんにちは、今回更新が遅れてしまい申し訳ございません。
今回は
第11回東北情報セキュリティ勉強会 - 東北情報セキュリティ勉強会

に参加してきました。その内容を問題ない程度に書いていこうと思います。

Togetterもありますのでぜひ

第11回東北情報セキュリティ勉強会 (#thksec) - Togetterまとめ

1.東北情報セキュリティ勉強会とは


東北情報セキュリティ勉強会

まっちゃだいふくさんが代表の東北のセキュリティ意識の向上を目的にしたイベントです。
扱う内容として、開発者向けのセキュリティやツールの紹介、CTFなどがあり、
知り合いの東北CTF仲間ともよく出会う勉強会です。

実際に東北でCTFを楽しんでいる方同士の繋がりが広がっていくのでおすすめです。


2.今回の勉強会

今回、「開発者も知るべきセキュリティ」というテーマで行われました。
会場が仙台だったので簡単に参加できてよかったです。(以前は盛岡に行きました)
参加者は場所が仙台なのにも関わらず岩手の方が12人と凄く多く、岩手のセキュリティに対する関心の高さに
凄く驚きました。
会津からは自分と友達、社会人の方を含めて3人でした。

個人的に開催地を会津により近い場所にしてほしいので
会津からもっと多くの方が参加してほしいです……



3.Lecture 1 「2014年のセキュリティ」

2014年にHotだったセキュリティの話でした。
今回紹介されたのは以下の通り。

  • OpenSSL(HartBleed, OpenSSL CCS, Poodle)
  • XP サポート終了
  • leak personal information
  • USB
  • サイバーセキュリティ基本法制定
  • Sony Pictures hacked

Strutsについて

はじかしながら今回の勉強会で初めて知りました。OSSJava Web Application frameworkとの事。

  • CVE-2014-0094
  • CVE-2014-0112
  • CVE-2014-0113

Struts: ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113) について

上の脆弱性のお話をわかりやすくお話ししていただきました。


ハニーポッドについて

今回KIPPと、Dionaeaについて紹介していただきました。

desaster/kippo · GitHub


KIPPOとは

実行すると22番,2222番portでsshの様な動作をするハニーポット
コマンド等が制限されている。
侵入者の動作のリプレイをみる事ができる。

今回、デモを見せてもらったのですが、最高に面白かったです!!!色々と

勉強会に参加していた友達が導入の記事を書いたのでぜひ、使ってみてください。

RaspberryPi - Raspberry Piをハニーポットに(kippo) - Qiita

ハニーポッドオススメページ

このサイトがよくまとめているそうです。
ENISA
https://www.enisa.europa.eu/

4.おやつタイム!!


そうです、東北情報セキュリティ勉強会にはおやつタイムがあります。
勉強の合間に甘い物を食べる事で脳を動かします。
f:id:eyesjapan:20150119202935j:plain
とてもおいしい!

5.Lecture 2 「「わかる」と「できる」はちょっと違うという話」

知識をしっかり勉強して、最新の技術情報にもしっかり触れて
もっともっと技術者は勉強会などで交流していくべき。と言う話


個人的に感銘を受けた言葉

  • セキュリティは「よそはよそ、うちはうち」という訳にはいかない
  • Webは狙われる。いつもアクセスできる。いつでも攻撃できる。

情報セキュリティの情報元の紹介

  • Kangoさんの記事がおかしいぐらい充実している


piyolog

  • 安全なウェブサイトの作り方


安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構




6.まとめ

自分は3回目の参加だったのですがほとんどの人が初参加でした。
繰り返しになりますが岩手の大学生のセキュリティに対する
関心が男女ともに凄くあると感じました。
セキュリティ系の勉強会はその場の空気とオフレコな所にかなり重要な情報があると感じていますし、
CTF仲間を増やす良い機会となりました。

セキュリティやりたい感が高まる良い機会で良かったです。
ぜひ積極的に参加してはいかがでしょうか。

=======
情報セキュリティスペシャリストの参考書はコレ