セキュリティうどんかまたま11杯目に参加してきた。

セキュリティうどんかまたまとは?

毎回毎回、技術的な話ばかりまとめているのでたまには違うことにフォーカスしてみようと思う。11杯目の今回はお菓子にしたい。*1

セキュリティうどんかまたまは毎回13;00スタートで17:00頃終了となっており、その間、

  1. セキュリティうどん かまたまについて
  2. 参加者の自己紹介
  3. メインスピーカーによるセッション
  4. ライトニングトーク✖3

となかなかハードなスケジュールになっている。そのため定期的なスパンで休憩を挟んでおり、特に15時にはいる休憩ではおやつと飲み物が振る舞われる特別な休憩である。今回はそのお菓子を紹介したいと思う。

今回私が食べたのは、以下の2つ。

まずは、プチまっ黒レアチーズケーキから食べた。
このラ・ファミーユ製レアチーズは外見が名前の通り真っ黒となっている。この真っ黒の素はブラックココアサブレで出来ており、非常にさっくりしている。その中にしっとりとしたレアチーズが入っており、この組み合わせが、さっくり&しっとりの食感を生み出していた。

次にyk_worksさんによる差し入れ観音寺まんじゅうを食べた。
毎回ありがとうございます。
このまんじゅうで前半消費した糖分を摂取して後半のセッションも何とか聞けている。多謝。

*1:お察しください。

セキュリティうどん(かまたま)10杯目に参加して来た。

本来ネットエージェントと記述するところをサイバーエージェントと誤記していました。
申し訳ございません。

セキュリティうどん(かまたま)10杯目に参加して来た。
今回はe-とぴあ香川での開催であったり、スピーカーが有名なネットエージェントの代表取締役社長であったりとしたためいつも以上にアツイかまたまであった。

セキュリティうどんかまたまとは

イントロダクションから開始。
トイレや喫煙場所や今回のおやつの紹介や話を聞く上での注意事項などなど。
毎回ほぼ同じ内容なのにグドグドしないあたり団長はさすがだと思う。

最近のセキュリティ事例から学ぶ現状と対策

今回のスピーカーは、ネットエージェントの代表取締役社長の杉浦 隆幸さんである。
香川県に来ると聞いた団長が交渉し、今回のセキュリティうどん開催となったとか。

OpenSSLのHeartbleed

ログも残さず簡単にデータを引っこ抜けるらしい。。。
また既存バージョンのアップデートだけでは対策はたりなくて、
・証明書の更新
・古い証明書の無効化
この2つも必要なんだそうで。
理由は、古い証明書のままだと過去のパケットを抜き取られておりさらに秘密鍵も盗まれたりすると過去のデータが閲覧可能になってしまうから。
(理由はちょっと記憶怪しい。)

Apache Struts 2

脆弱性をつかれてシステムへの侵入を許し、バックドアを仕込まれたりすると結構たいへんなことに。
ApacheTomcatStrutsといい依存関係が複雑なので一度構築するとメンテが面倒なのであまりおすすめはしないという。

ソフトに対する脆弱性はCVEでの点数で7.5以上であると危ないので使用には注意が必要である。

PC遠隔操作事件について

犯人が幾つかポカをしておりもしもポカがなければもう少しだけ手こずったかもしれない事件。
(一応ポカがなくても警察には切り札があったとのこと)


大変興味深い話を面白おかしく語っていただけたため3時間の長丁場であったにもかかわらず最後まで楽しんで話しを聞くことができた。

デモ用のサーバーを構築するのが案外大変というのが意外だった。

今回は、他にも貴重な話をたくさんしていただけたのだけれどオフレコだったり、これは載せないほうがと思ったりでかなり内容を曖昧に書いてる。

なので詳しい話を聞きたい思った方はぜひ参加を!

ライトニングトーク

今回のライトニングトークも興味深い内容が多く非常に楽しめた。

「誰も知らない?暗号の話、RSAからCAESAR Competitionsまで」

スパコンは決して暗号解析専門ではない。
暗号の説明にスパコンが出てきて解析に何年かかると言われても信用しないこと。
独自暗号なんて危なくて使えない。これは第二次世界大戦でも証明済み。
RSA-1024も危ない。

「「IPAセキュリティキャンプ説明会&ミニワークショップ」の紹介 」

参加したいけど年齢制限+平日開催でちょっと無理そう?

「動的メモリ確保は静かに奏でられる」

Use After Freeについて。
ついこの間問題になったIE脆弱性について?

懇親会

久しぶりにサークルの後輩と楽しめたし満足。
やっぱりたまにはセキュリティの話しないとね。

春のGoogle勉強会2014に行ってきた!

eトピア香川でGDG四国により開催された春のGoogle勉強会2014に参加して来た。
久しぶりというか実に280日ぶりにブログ更新するので簡単に行く。

お品書き

  1. Android開発 最新動向 

荒木佑一氏 グーグル株式会社 デベロッパー プログラム エンジニア

  1. Goで始める簡単Webアプリケーション

山口能迪氏 グーグル株式会社 デベロッパーアドボケイト

Android開発 最新動向

登壇者である荒木さんは香川県にもゆかりのある方。
そんな荒木さんに今回はandroid開発の最新情報をAndroid Studioを中心にお話いただいた。
AndroidStudioの機能として、
・Gradleベースのビルドシステムを統合。
・強力なリファクタリング機能。
・Gitなどのバージョン管理システム
がある。
しかし、まだお試し版なので使用はお気をつけて。
Eclipseとは違い複数の言語をまたいでのLint。

他にも様々なサポートライブラリについて。
・LocalBroadcastManager
通常のブロードキャストインテントと比較して
・送ったデータがほかアプリにもれない
・他のアプリからブロードキャストされても反応しない。
などのメリットがある。

Goで始める簡単Webアプリケーション

初心者を対象にGo言語のHelloWorld。
Go言語のメリットは、
・強い関連付け
・速いコンパイル
マルチプラットフォーム対応
・マルチCPU対応
ラズベリーパイでも動く!
ガベージコレクション
・並列プログラミングを言語仕様でサポート

開発環境を構築しなくてもA Tour of GOというサイトもある。

感想

久しぶりの勉強会参加だったけどなんとかなった(笑)。
ブログに上げるほうが大変(笑)

セキュリティうどん(かまたま) 8杯目に行ってきた!

香川大学で行われたセキュリティうどん(かまたま)8杯目に参加して来た。
なにげに社会人になってからの初勉強会参加だった気がする。
今回のテーマは"本質を見抜く眼力"ということでセキュリティの話をベースに論理的な考え方を学べる非常に有益な講演であった。

セキュリティうどんかまたまとは

毎回恒例のイントロダクションから。
今回のおやつの紹介あり、講師の紹介あり、自己紹介ありの内容。
自己紹介で、「会社の同期に映画に誘われていたのに断ってこっち来ましたw」と言えばよかったと後から思った。

本質を見抜く"眼力"

今回のスピーカーは、富士通システム東郷研究所の岡谷 貢さんである。
航空自衛隊に所属していた経歴を持つ人で、ウルトラマンをこよなく愛するため写真に映るときは必ずスペシウム光線のポーズであった。

「空飛ぶ広報室」

まずは、ドラマ「空飛ぶ広報室」の舞台訪問をした紹介から開始された。
なんと、ドラマで使われている衣装や身分証などは本物を使用しているらしく自衛隊の本気度がわかる紹介であった。

「己の手足で調べ倒し、己の頭で考え、得心が行くまで、しつこく!」

実際に韓国で起こったATMがダウンした事例を元に真相を見ぬくにはどうすればいいのかを説明していただいた。
どのようなルートで攻撃を受け、どのような方法で韓国が対処したのか。
また、その裏にはどのようなことが考えられるのか。
国の政策の本質を見ぬくにはまず、その国の文化を知り、事情に精通する必要があると岡谷さん。

その要は、
「己の手足で調べ倒し、己の頭で考え、得心が行くまで、しつこく!」
であるとおっしゃっていた。

ライトニングトーク

今回のライトニングトークも興味深い内容が多く非常に楽しめた。

「Breaking SSL/TLS --What has happened to Goo***? --」

インターネットセキュリティ最後の砦であるSSL/TLS
SSL/TLS on RC4は、軽くて動作も高速とメリットも多くGoo***も推奨していた。
しかし、意外と簡単に・・・?

「香川のIT勉強会」

昔は、香川に勉強会が少ないと言われていたがここ最近は賑やかになっている。
ということで7つの勉強会を紹介していただいた。
セキュリティうどん(かまたま)
Google Developpers Group Shikoku
・日本Androidの会 四国/香川
・word bench香川
Google DevLove四国
・えれくら!
・STLUG
また、香川の勉強会情報としてホームページの情報を掲載しているとのこと。
よく勉強会情報を逃すことがあるので大変ありがたい。
ぷち勉強会

「メシの種教えます! 明日から君もWebクリエイター!」

流石くりゅえる氏~!

懇親会

懇親会と言う名の本編。
図々しく、岡谷さんの目の前に陣取りお話をしていただいた(笑)。
岡谷さんの航空自衛隊時代のエピソードについては大変感動した。
また、Kasperskyの中の人からもスマホのセキュリティについていろいろ貴重なお話をしていただき、とても得るものの多い懇親会となった。

感想

今回もとても楽しい勉強会であった。
次回もぜひ参加したいと思う。

おいしいアプリ開発 #8 @高松 [初級サービス編] 参加報告書

概要

Androidアプリ開発の復習をするため、おいしいアプリ開発に参加した。

内容

Androidの開発環境導入からスタートした。
開発環境のダウンロード中に自己紹介を行った。
ダウンロード終了後、各種開発環境(Eclipse、ADTプラグイン、デバイスドライバー)のインストールを行った。
インストール後、Eclipseを起動し、Hello Worldを作成し、実行した。
Hello Worldによる開発環境動作テスト終了後、Buttonの実装を行った。
そして、常駐機能を実装した。

感想

開発環境のダウンロードやインストール、実機の認識等で詰まったが丁寧に指導していただいた。
お陰でスムーズにAndroidアプリ開発の入門を行うことができた。
今後も機会があれば積極的に参加して行きたいと思った。

セキュリティうどん(かまたま) 七杯目に参加してきた。

今回が初参加。
スマートフォンセキュリティという事でとても楽しかったです。
以下、まとめる元気も無いので徒然と・・・。
読み易くないのはご愛嬌ということで!

自己紹介

参加者の各自自己紹介があった。
多数の社会人や香川大学の学生の中、高専生や他校の大学生さらに遠方からわざわざお越しになっている人もいて驚いた。なかでも驚いたのは最年少が中学生だったということだろう。PCに詳しくないということだったが興味を持って参加していることが何よりすごいと思う。

AndroidやWindows Phoneの解析調査結果とAndroidマルウェアの検知

今回のスピーカーは、フォーティーンフォティ代表取締役社長の鵜飼さん。

自己紹介

学生時代に魚取りながら生活をしていたという話がなかなか印象的だった。

スマートフォンセキュリティ概要
  • iOS

アプリが公開される前の審査がすべて。ネイティブアプリの開発に用いられている言語は脆弱性をつきやすい。また、サンドボックスのような防御機構を備えていないためアプリは基本的に全てのデータにアクセス可能。さらに、appleのコードの品質はマイクロソフトより悪い。
他にも管理ツールであるiTuensにも脆弱性は存在する。

アプリ公開の前審査が無いためマルウェアが多数存在する。(去年よりBouncerがあるので無審査ではない。)
これはその他のスマフォにも言えることだが現在はマルウェアの定義が曖昧になっておりグレーウェア(マルウェアかどうか疑わしいアプリ)も多数。
AndroidはOSそのものにサンドボックスと呼ばれるセキュリティ機構を持つ。
しかし、これにはメリットとデメリットが存在する。
メリットは、アプリがアクセス可能なデータを制限して、個人情報を保護する。
デメリットは、アンチウィルスソフトも同じ土俵でしか動作できないため、windowsのようなセキュリティを確保できない。
rootを取るようなマルウェアに足して無力。

  • windows phone7

iOSのアプリ公開前事前審査とAndroidサンドボックスのいいとこ取り。
しかし、メモリ破壊攻撃であるヒープ攻撃などに対しては無力。(windows phone8などで対策済み?)

  • まとめ

今現在スマートフォンはPCのように確立された保護方法がない。

Androidマルウェアの脅威とFFRIの取り組み

亜種の製造方法や難読化技術の確立で従来のパターンマッチング方式は3年以内に役に立たなくなるだろう。

脆弱性をつく攻撃や不正な情報収集に対して現在は確立された方法が存在しない。

今まではウィルスとして認識されたデータとインストールするアプリのデータを比較することでウィルス検出を行なっていた。
しかし、この方法では

  1. Androidなどスマフォのリソースが限界
  2. ウィスルデータを大量に送信する必要があるため通信網を圧迫
  3. ポリモーフィックと呼ばれる自信を変化させるウィルスに対して無力

などの欠点があった。

そこでヒューリスティック方式が今後発展すると思われる。

ヒューリスティック方式とは、アプリの挙動に重点を置いた検出方式である。

まだ、誤検知の多い方式であるがこのようにセキュリティを確保する方法を確立することで様々な可能性のあるAndroidを支援できればと考えているらしい。

LT

堀内くんは、タイトル聞いて予想はできたけど高石先生へのラブコール。
くりゅえるさんは、HDDの復旧方法。ロケ地やかけた時間など面白かった。
dr_covaさんは、日本Androidの会 香川支部設立について。今後も活発にイベントをするそうなので期待。
もう一つなんかLTあったような気がするけど、ネット上の存在消されてはたまらないのでここには書かない。

感想

とても楽しいイベントだった。
懇親会にも参加した。
2次会ではごえもんという店の青唐辛子入のカレーうどんを食べた。
食べた後、カレースープも飲み干したためしばらく口がヒリヒリしたがとても美味しかった。
また、行きたいと思う。

Nexus7(unroot、海外モデル、ビルド番号JRO03D)を手動で4.1.2にアップデート!

概要

Nexus7(unroot、海外モデル、ビルド番号JRO03D)を手動でアップデートした。
しかし、何度もインストールまで行かずにコケたのでメモ。
(インストール自体は一発でできた)
なお、参考にする際は自己責任でお願いします。
(Nexus7のリカバリーモード起動がうまくいかないことを前提としています。)

環境
  • windows7 64bit
  • Nexus7(unroot、海外モデル、ビルド番号JRO03D)

(設定→タブレット情報でビルド番号がJRO03Dビルドであることを確認)

Nexus7(unroot、海外モデル、ビルド番号JRO03D)を手動でアップデートする。

adbがインストールされていなければここ参照してSDKをインストール。

  • Googleのサーバーからアップデートに必要なファイルをDL4.1.2

環境変数の設定に失敗している場合DLしたファイルを
C:\Users\ユーザー名\AppData\Local\Android\android-sdk\platform-tools
直下に移動。

  • Nexus7とPCを接続

この際にPCがNexus7を認識しているかデバイスマネージャーで確認する。できていない場合はここを参照

カレントディレクトリを
C:\Users\ユーザー名\AppData\Local\Android\android-sdk\platform-tools
に移動。(環境変数の設定がうまく行っていれば上と同じく不要)

ここでうまく行けばNexus7画面上に赤いトライアングルのマークが見える。
さらに、リカバリーモード中デバイスを認識できているかデバイスマネージャーで再度確認。
見つからない場合は、ここを参照さっきと違うので注意。

  • 「電源ボタンとボリュームアップボタン同時押し」でメニュー表示
  • 「apply update from ADB」にボリュームボタンでカーソルをあわせて電源ボタンで決定。

Nexus7画面上に”Now send the package・・・”というメッセージが表示されていることを確認。

コマンドプロンプト上の表示が、”sending: ‘sideload’ 100%”になっていることを確認。
アップデートが実行されている。

インストール後、Nexus7画面上の最期の行に「Install from ADB complete」と表示されていることを確認

  • (Nexus7画面上)「reboot system now」にカーソルを合わせて電源ボタンを押し再起動

お疲れ様です。
以上でアップデート作業が完了しました。