第12回 まっちゃ445勉強会 (まっちゃ445勉強会)(情報元のブックマーク数)
5月29日に、まっちゃ445勉強会が開催されます。
今のところ、脆弱性検査とかそんなネタになる予定です。
日時 2010年5月29日(土) 13:00頃〜
第12回 まっちゃ445勉強会 - まっちゃ445勉強会
会場名称 大田区産業プラザPiO
会場住所 東京都大田区南蒲田1丁目20-20
参加した人のBlogとか
ぇぇぇぇーーー!やまがたさんが、女性と親しげにしゃべってただと!!!
お、いろいろレスもらってた。でも正直、まっちゃ445にまっちゃさんが居ないことへの違和感より、ヤマガタさんが女性と親しそうに喋っていたことへの違和感の方が大きいな。俺の中では(笑)。
Sonoda Michio on Twitter: "お、いろいろレスもらってた。でも正直、まっちゃ445にまっちゃさんが居ないことへの違和感より、ヤマガタさんが女性と親しそうに喋っていたことへの違和感の方が大きいな。俺の中では(笑)。"
資料ありがとうございますた!
@vulcain @ikepyon URLが違ったので直しました。渡した資料アップしてもいいよ まっちゃ445 午前中LT資料 うぶんつみーつあいぽん http://bit.ly/bPDqGK #matcha445
yumano on Twitter: "@vulcain @ikepyon URLが違ったので直しました。渡した資料アップしてもいいよ まっちゃ445 午前中LT資料 うぶんつみーつあいぽん http://bit.ly/bPDqGK #matcha445"
さすが、まーさん、そんなネタを用意していたとはw
代わりにまっちゃだいふくがおやつでしたw RT @sonodam しかし、まっちゃさんが「まっちゃ445」に居ないってシュールだな(笑)。
さがみ/たはら 移行完了 on Twitter: "代わりにまっちゃだいふくがおやつでしたw RT @sonodam しかし、まっちゃさんが「まっちゃ445」に居ないってシュールだな(笑)。"
確かに実際検査している人の声って、聞こえてきづらいのかな。聞きたかったなぁ・・・
「まっちゃ445勉強会第12回」に参加してきました。今回はペネトレーション テストについてのセッションがメイン。テストを実施する側の立場からの生の声が聞けて有意義でした。
まっちゃ445勉強会第12回 - Hebikuzure’s Tech Diary
手動と自動うまく使い分けるか。。。。
本編:
ptlabo.net [14]
メインゲストの辻さんから、ぺネトレーションテストの話。
1.情報収集
2.攻撃方法の考察
3.ツールでテスト
4.結果の考察
5.手動で追加テスト
6.全体の考察
という流れみたいでした。
アンチウイルスソフトと同じように、
・パターンファイルが用意できていない攻撃方法はテストされないし、その場合脆弱性は見つからない
・誤検出もある
・ツール(ソフトウェア)によって得意・不得意がある
・ツールによっては、バグもある。
・報告される結果も、赤(危険)と青(安全)だけでなく、黄色に相当するグレーゾーンがあり、それは個別の判断が必要。
という関係で、使うツールのことをよく知るプロが、その結果を読んだり、追加で手動のテストをしたりする必要があるとのこと。
健康診断にたとえて、
・ツールでの検査結果はレントゲン写真と同じ。
・読み解くには医者の知識と経験が必要
とのこと。・中村さん。
ptlabo.net [14]
お菓子は、「まっちゃだいふく」「ほうじ茶どら焼き」をいただきました。おいしかったです。そりゃそうだ、ReadOnlyとReadWrite権限しかプロパティないですからね。
TwitterからOAuthで外部サイトに認可を承諾するということは、
ptlabo.net [14]
自分の情報ではない他人からの「DM」の閲覧も許可しているということだ。
すごく気になりました。
構造としては、
gmailが、他者からのメールをgoogleに閲覧させて(googleいわく、機械的に自動的に見て)適切な広告を出している、という気味悪さに似ていたと思いました(そしてgmailよりずっと怖い)。
ありゃぁ、現場結構大変だったんだ。
ドアをあけると既にスクリーン2枚とプロジェクター1台、分配機が設置してあった。すばらしい。
第12回 まっちゃ445勉強会 - こずみっくきゅーぶ。
ひとまず演台と照射場所の調整をしてテスト・・・VGAケーブルが足りないのでもう一本ケーブルを借り…なんか接触悪くて安定せず、はぎたさんの手持ちケーブルを使ってなんとか設置とテストを完了。ちょっwwwwwwwwwwwwwwwww
今回は森半のまっちゃ/ほうじ茶のだいふく/どら焼き。
北の大地に行ってしまった前代表分を補充。
ああっ森の妖精が最後のまっちゃだいふくをっ(w※写真は捏造です
第12回 まっちゃ445勉強会 - こずみっくきゅーぶ。確かに延長ケーブルは静岡でも必要なので、勉強会毎に購入しておいた方が良いかも・・・
今回はプロジェクタ接続がどうにも不安定だったことに尽きたかな。特にThinkpadが全て繋がらないとか(w
第12回 まっちゃ445勉強会 - こずみっくきゅーぶ。
そろそろ分配器とVGAケーブル(長め)を備品に入れておくべきかも。
ISMSでの内部監査とISO9001の内部監査で目線がちょっと変わるかもね。
ルールとマニュアル、手順と操作マニュアル、このあたりの言葉の統一が一番難しかったりw
第12回 まっちゃ445勉強会 - 車輪を再発明 / koba04の日記内部監査
1. 「規格が情報セキュリティ要求事項に適合しているかどうか」、「期待したとおりに実施されているかどうか」以外にも、「方針に合致したマニュアルが作られているかどうか」とマニュアルを疑うことも重要とされていました。(現場無視のマニュアルは改善していく必要がある)
2. 確かにこれを出来るのは業務を知っている内部の人間だと思いますので、そこに内部監査の重要性があるというのはとても納得できました。
3. ですので、内部監査を行う事務局は現場の視点をしっかり持ち、「経営層」と戦う覚悟が必要とされていました。(空気作りとトップダウンが必要)
4. 今回話を聞いて、一番の感想は内部監査大変だなぁということでした。社員からは検査をされているように思われ、経営層からは煙たがられる。誰にとっても悪いことを言っていないのに。。ですが、ただ評価するだけでなく、改善案も考えていくプロセスはとても面白そうに感じました。聞きたかったよーーー
報告、対策
1. 報告会での話しや対策についての話もとても興味深かったです。「これ確かに脆弱性かもしれないけど、、コストをかけてまで対策する必要がある??」という脆弱性はよくあると思いますが、その扱い方や報告の仕方についてのお話もありとても参考になりました。
第12回 まっちゃ445勉強会 - 車輪を再発明 / koba04の日記全体を通して
1. ひとつひとつ丁寧に説明をしてくださり、さらに実際に検査をされている中での経験談なんかもありとても面白いセッションでした。対象のシステム以外にも、組織や人とも向かい合うことが求められることに面白さや難しさを感じました。
実際に検査している人が多数あつまって、同じ話をできるのは勉強会のだいご味ですね。
現役ペネトレーションテスター 辻さんの経験に基づく生の声を聞くことができて、とても興味深かったです。ペネトレーションテストに関する最低限の知識は持っているつもりですが、「どんな点に注意してペネトレすればよいか」とか、「実際にどんなトラブルを経験しやすいのか」等は経験してみなければ分かりません。辻さんのセッションを聞くことで、このあたりを少しは吸収できたかなーと感じます。また辻さんが講演されたためか、ペネトレ界隈の方々も参加されていたので、休憩中や懇親会等でお話できたのも楽しかった。セッションのみならず、色々な方々と話ができるのが勉強会の魅力なのかなと感じました。
第12回まっちゃ445勉強会に参加してきた - 思い立ったら書く日記
親しげに誰と喋ったんだろ。誰ですか?
辻さんの話も、ゆまのさんの話も、ととろさんの話も面白かった。 ととろさんの話は、具体的なことが分からなくて少し残念だったけど。 / 今日、(ほぼ)初めてつれづれさんと話した♪ やっぱり萌えるー。 / ニーハオ、さんざん食べて、ごま団子(デザート?)を食べた後になって、チャーハンと蒸し餃子が出て来た。 チャーハン美味しいんだけどさ、そのタイミングじゃあもう入らないじゃん?(^−^;
a threadless kite - 糸の切れた凧(2010-05-29)
@ntsuji フォローありがとうございます。まっちゃ445勉強会で@ntsujiさんのすぐ後ろにいたものです。ペネトレテストの話どうもありがとうございました。それから、私はバイナリ解析にも興味を持っています。@yumanoさんや@ucqさんにご指導いただいています。
mathema on Twitter: "@ntsuji フォローありがとうございます。まっちゃ445勉強会で@ntsujiさんのすぐ後ろにいたものです。ペネトレテストの話どうもありがとうございました。それから、私はバイナリ解析にも興味を持っています。@yumanoさんや@ucqさんにご指導いただいています。"
知り合いをお誘いしてくれるとか、本当にうれしいですね。勉強会主催冥利に尽きます。
久しぶりに参加。小柄だけれども華奢じゃないJavaな方をお誘いした*1のですが、別件*2があるとのことで、ご一緒できませんでした。
久しぶり - Ikegamiの日記
自社以外の状況とかヒアリングするためにもIT勉強会に参加とか確かに良いかも!
仕事でセキュリティ担当をしている人となかなかお話しする機会がなかったけれど、勉強会という場で他社のセキュリティ業務の話などざっくばらんにできて楽しかった!社内だと、セキュリティ担当者は限られているし、ネガティブな話題になりがちなので。また参加したいなー。
2010-06-27
参加事前発言等
是非めざましから!!!
セキュリティといえば、まっちゃ445勉強会も5/29にあるんだよな。目覚まし勉強会は行けるようにしたいな。
Takashi Kakoi on Twitter: "セキュリティといえば、まっちゃ445勉強会も5/29にあるんだよな。目覚まし勉強会は行けるようにしたいな。"
一覧にして撮影してもらいたいですw
5/28までに着くらしいけど、要は5/28到着ってことですね。まっちゃ445には持ち込めますねe& 当日何台のiPadが会場にあるのかなw
しーにゃ♪ on Twitter: "5/28までに着くらしいけど、要は5/28到着ってことですね。まっちゃ445には持ち込めますね♥ 当日何台のiPadが会場にあるのかなw"
すみません、僕が・・・当日北海道・・・
参加申し込みました。 RT @vulcain: 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d
かいと(kaito834) on Twitter: "参加申し込みました。 RT @vulcain: 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d"
あれそうなんだ、OSCかな?
今回は残念ながら…ぅぅぅぅ RT: @vulcain: みんなRTするがいーよ(ぉぃ QT @vulcain: 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。
石川@驚きの白々しさ on Twitter: "今回は残念ながら…ぅぅぅぅ RT: @vulcain: みんなRTするがいーよ(ぉぃ QT @vulcain: 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。"
ありがちwwwwwwwwww
一度はマシンの電源を切ったものの、虫の知らせがして携帯でTwitterを見たら・・・まっちゃ445の募集が始まってた。@@;
やまざきkei5 on Twitter: "一度はマシンの電源を切ったものの、虫の知らせがして携帯でTwitterを見たら・・・まっちゃ445の募集が始まってた。@@;"
そのネタ聞きたい・・・orz
今回は、ペンテストがテーマのようですね。私も、LTを申し込んでみました。参加者を「あっ」といわせられるネタを仕込んでおきます。
2010-05-15 - TOTOROの自堕落 日記
さて、肝心の申し込み先及び案内ですが、下記になります。
私は当日別のセキュリティ勉強会・・・
私用が無ければ行きたかったのですが・・・涙 @vulcain 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。
think-t on Twitter: "私用が無ければ行きたかったのですが・・・涙 @vulcain 【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。"
募集開始!
【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。 #matcha445
ヴァルカン on Twitter: "【開催告知】第12回まっちゃ445勉強会 http://tinyurl.com/34wjt4d 今回はペネトレーションテストがテーマです。 #matcha445"
色々よろしくお願いしますm(_ _)m
まっちゃ445参加募集始まっていたんですね。初参加ですが、しゃべらせていただきます。 http://bit.ly/92uOdB #matcha445
辻 伸弘 de Japón (nobuhiro tsuji) on Twitter: "まっちゃ445参加募集始まっていたんですね。初参加ですが、しゃべらせていただきます。 http://bit.ly/92uOdB #matcha445"
マネジメントシステムと内部監査の現状と課題(仮題)って面白そうだな!
QT @miryu 【適当に告知】5/29のまっちゃ445目覚まし勉強会で「マネジメントシステム内部監査の現状と課題(仮題)」みたいな事をLTでちょろっとしゃべります。Twitterでちょこちょこ喋ってたことの纏めみたいな感じを考えてます。都合がつけば是非 #matcha445
ヴァルカン on Twitter: "QT @miryu 【適当に告知】5/29のまっちゃ445目覚まし勉強会で「マネジメントシステム内部監査の現状と課題(仮題)」みたいな事をLTでちょろっとしゃべります。Twitterでちょこちょこ喋ってたことの纏めみたいな感じを考えてます。都合がつけば是非 #matcha445"
ありゃぁ。。。残念。。。
参加しようと思ったけど、予定が入ってた… RT @ntsuji まっちゃ445参加募集始まっていたんですね。初参加ですが、しゃべらせていただきます。 http://bit.ly/92uOdB #matcha445
hiro-t on Twitter: "参加しようと思ったけど、予定が入ってた… RT @ntsuji まっちゃ445参加募集始まっていたんですね。初参加ですが、しゃべらせていただきます。 http://bit.ly/92uOdB #matcha445"
間に会ったかな?!
まっちゃ445に申し込んでみたが、どう見ても間に合ってません。本当にありがとうございました。
yousukezan on Twitter: "まっちゃ445に申し込んでみたが、どう見ても間に合ってません。本当にありがとうございました。"
なんか数回しか会ったことないような気がする・・・
@vulcain まっちゃ445に1度も行ったことがない件についてw
moton on Twitter: "@vulcain まっちゃ445に1度も行ったことがない件についてw"
ぉーーー!面白そうなんだよなぁ・・・
お、サイトに載ってた。まっちゃ445目覚ましRT。タイトルの「(仮)」は取れてこのタイトルで喋ります。目覚まし勉強会は予約不要の先着なので是非。資料はまだ70%くらい… http://ow.ly/1Qwtw
かたづけがかり。 '18 (@miryu) | Twitter「LT1:ISMSの内部監査はどうあるべきか」 miryuさん
第12回 まっちゃ445勉強会 - まっちゃ445勉強会参加後のBlogとか
辻さんの発表は分かりやすかった!という感想がおおいですね、本当に辻さんありがとうございます。
それにしても、やっぱりツールとその弱点はツールの使用技術が高度になればなるほど、色々なんでしょうね。
【Session1:「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜(NTTD 辻さん)】
(matcha445)まっちゃ445勉強会#12 雑感 - Garbage Script on Goo BLOG
「ペネトレーションテスト」とは何か、そして何をする(している)のかからスタートし、作業の省力可に用いるツール(脆弱性スキャナ)の紹介と、ツールの弱点(False PositiveとFalse Negativeの発生)と、それを踏まえた上での対策(意志と思考を持つ人の力)について紹介されていました。ここ重要ですねぇ、人が人が作ったものを調査する。評価とかにも関係して難しいですね。
最後に「調査するのは『人』である」という事、結局ある程度ツールでの自動化が図れるようになったとは言え、ツールは「自分の判断で任意に調査項目・方法をツール自身が変更する」というのは出来ない事から、調査漏れというのはどうしても発生してしまいます。そこは人の英知と柔軟性でカバーしましょうという事で。
(matcha445)まっちゃ445勉強会#12 雑感 - Garbage Script on Goo BLOG
(この事を「攻める側も守る側も、システムの後には人が存在している」という言葉でまとめていました。)メモメモ、Joeアカウントとか多そうだよなぁ。
1位は「推測されやすいパスワード」として「パスワードが空」「Joeアカウント」「デフォルトパスワードのまま」というのを挙げられていました。対象はSSH、Telnet、SNMP(コミュニケーション名)、SMB、VMC、DBMSなどと様々。
(matcha445)まっちゃ445勉強会#12 雑感 - Garbage Script on Goo BLOG
2位は「SSL関係」という事で「今更ながらSSL2.0が有効になっている」「鍵長が128bit未満」というのを挙げられていました。なお特に128bit長未満の鍵の件についてはPCIDSS 要求項目4.1が関連します。
3位は「Apache関係」という事で「Expect リクエストヘッダにおけるXSS」413エラーメッセージにおけるHTTPメソッドを適切に処理しない問題」を挙げられていました。Apacheについてはプロダクトの中に含まれているにも関わらず、システム運用側がそれを把握していないというケースがあるとの事……皆さんご注意を……。まっちゃ445でお菓子は、俺は1回しか選んでない。
最後に、いつもながらですが「美味しかった」です(笑)。
(matcha445)まっちゃ445勉強会#12 雑感 - Garbage Script on Goo BLOG
相変わらずスタッフ(まーさん)が選ぶお菓子は美味しいという事で(ヲ
募集開始されました!
うはぁ、6時間で40名超えか・・・・さすが東京・・・
毎度遅くなりましたが、第12回まっちゃ445勉強会の案内を送付します。 WASForum2010の翌週になりますが、皆さんの参加をお待ちしております! ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 第12回 まっちゃ445勉強会 http://matcha445.techtalk.jp/saturday-workshop/12th-workshop ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ コンピュータやネットワークのセキュリティを考証する場合、 システムに対して実際に攻撃手法を試しながら、安全性の検証を行なう 方法「ぺネトレーションテスト」があります。 今回は、この「ぺネトレーションテスト」を主題に、豊富なご経験 に基づいたお話しを伺いつつ、情報交換できればと思います。 -------------------------------------------------------------------- ■開催概要 -------------------------------------------------------------------- 日 付:2010年5月29日(土曜日) 時 間:13時00分〜17時00分(受付開始:12時30分頃) 場 所:大田区産業プラザ PiO 1F 地 図:http://www.pio-ota.jp/plaza/map.html 定 員:60名 費 用:1,000円 予定(学生・未成年は無料) テーマ:「Penetration Test」 概 要:1)メインセッション: 『「願い」〜ペネトレーションテスターからセキュリティ担当者へ〜』 NTTデータ・セキュリティ株式会社 セキュリティ診断本部 NW診断部 課長代理 辻 伸弘 氏(TwitterID:ntsuji) 2)ライトニングトークセッション: 手法、事例、疑問など、ご紹介ください! 「LT1:登壇者募集!」 「LT2:登壇者募集!」 「LT3:登壇者募集!」 ※ライトニングトークでお話しいただける方は、 後述の参加お申込フォームよりご連絡ください。 (持ち時間:10分程度を予定) -------------------------------------------------------------------- ■お申込方法 -------------------------------------------------------------------- 申込受付開始: 2010年5月15日(土) 登録申込みフォーム:http://bit.ly/12th-matcha445entry にアクセスして頂き、記入して送信下さい。 正常に送信されましたら、http://bit.ly/12th-matcha445confirm にハンドルネームが追加されますのでご確認ください。 後日、メールにて受付番号を連絡させて頂きます。 (お申込受付時点での受付通知メールは、送信されません。) また、ご新規枠や学生枠を設けているため、受付番号が前後する可能性が ございます。ご了承ください。 なお、今回の募集での優先枠は以下のとおりです。 ・ご新規枠(まっちゃ445に2回まで参加の人)10名 ・学生枠10名 -------------------------------------------------------------------- ■目覚まし勉強会 -------------------------------------------------------------------- 早起きは三文の徳! 今回も、希望者によるライトニングトークを予定しています。 ※ライトニングトークでお話しいただける方は、前述の登録フォームより 申し込み下さい。 テーマ:特に指定はありません(2,3名程度を予定) 時 間:10時30分〜11時30分(開場:10時20分) 場 所:大田区産業プラザ PiO 1F 定 員:60名 費 用:無料(申し込みなしで参加頂けます) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■懇親会情報 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 時 間:17時30分頃開始予定 会 場:ニーハオ(別館) 地 図:http://www.nihao.co.jp/map.htm 定 員:50名 費 用:4,000円(U-20/学生は2,000円) ※学生の方は当日学生証を拝見させて頂く場合がございます。 申込方法:前述の登録フォームより申し込み下さい。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━