Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SecHack365 修了生LT(2018年愛媛回)
Search
友利奈緒(@K_atc)
December 01, 2018
Education
0
540
SecHack365 修了生LT(2018年愛媛回)
友利奈緒(@K_atc)
December 01, 2018
Tweet
Share
More Decks by 友利奈緒(@K_atc)
See All by 友利奈緒(@K_atc)
実装して学ぶ Symbolic Backward Execution
katc
8
2.2k
SecHack365 Returns 2019 修了生プレゼンテーション
katc
0
440
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation (English)
katc
0
480
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation
katc
9
4.3k
バイナリ萌えの彼女がシンボリック実行に恋着してますが、制約に挑む幼気な表情が最高です!(1)
katc
6
3.4k
Other Decks in Education
See All in Education
Nodiレクチャー 「CGと数学」講義資料 2024/11/19
masatatsu
2
190
Qualtricsで相互作用実験する「SMARTRIQS」実践編
kscscr
0
290
1030
cbtlibrary
0
300
Web Architectures - Lecture 2 - Web Technologies (1019888BNR)
signer
PRO
0
2.7k
The Gender Gap in the Technology Field and Efforts to Address It
codeforeveryone
0
210
Kaggle 班ができるまで
abap34
1
190
お仕事図鑑pitchトーク
tetsuyaooooo
0
2.3k
Medicare 101 for 2025
robinlee
PRO
0
240
HCI Research Methods - Lecture 7 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
710
Zoom-ohjeet
matleenalaakso
7
7.2k
HCL Domino 14.0 AutoUpdate を試してみた
harunakano
0
1.7k
Introduction - Lecture 1 - Web Technologies (1019888BNR)
signer
PRO
0
4.9k
Featured
See All Featured
What's new in Ruby 2.0
geeforr
343
31k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Code Reviewing Like a Champion
maltzj
520
39k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Happy Clients
brianwarren
98
6.7k
RailsConf 2023
tenderlove
29
900
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
A better future with KSS
kneath
238
17k
4 Signs Your Business is Dying
shpigford
180
21k
Music & Morning Musume
bryan
46
6.2k
Transcript
SecHack365 修了生LT @2018 愛媛回 友利 奈緒(@K_atc)
友利 奈緒 (ともり なお) ID: @K_atc 現職 セキュリティエンジニア(研究開発部門) 趣味 脆弱性検出の研究、お絵かき 得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、 低レイヤー、組み込み、Web開発
SecHack365のテーマ①シンボリック実行 「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」 マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい! 【悲報&吉報】本家がAArch64対応着手 @2018/11 悲しいオチ
SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」 ゲームとしては楽しいが、学習要素が弱いのがネック(現在改良中)
SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権! • 海外視察参加権!
成功したこと、失敗したこと、反省点 成功したこと • 優秀修了賞2件(チーム:Cyship、個人:シンボリック実行) • Cyship(セキュリティ学習ゲーム)→今も開発中 • くぼたつ道場→個人PJの競合について相談&軽い人生相談 失敗したこと、反省点 •
シンボリック実行(Tritonのマルチアーキテクチャ対応) →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず
もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識! • 開発:アイデア出し~実装 ◦ 私)設計→実装→再設計→実装→… • 公開:発表、OSS活動 ◦ 発表例)勉強会、ブログ、GitHub
• 改善:課題整理 ◦ 何がうまくいった・いかなかったか? ◦ 改善点は? 今の私のリズム)定時前退社→飯休憩→風呂→開発(2〜4時間)→睡眠→出社 フレックス勤務はいいぞ!! アイデア出し、 設計、論文調査 課題整理 発表 実装 OSSコミット
もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする 普段人間性を捧げて荒んだ生活をしている方!(e.g. 私) オンサイトでは、人間的な活動をすると後々無理がない。リラックス! おすすめな人間的な活動 • 美味しいものを食べる!大きなお風呂に入る!綺麗なベットで寝る! • 人と会って話す
• 頼れる大人に相談(心理的安全性を確保する意味でも重要)
もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人(=みなさん)向けのアドバイス イベントに参加する以上、賞を貰って帰ろうな! 自分の頑張りを肯定する強力な材料を得られる。 実際はうまくいかなかったことの方が多くて気分はブルー。 優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような! ヒント:大学の研究室で学んだこと フィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】
もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい! 今年のトレーニーの特徴として、1人チームが多い。 ほとんどといってもよい。 まじか(もったいない)
もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く:小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数(=戦略)の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな! • 理論上 n 回優秀選抜される(n > 1) ☜わりと重要
もう終盤だけどSecHack365の生かし方④ 修士研究+個人開発+チーム開発を並行する例(修士2年の終盤での実施実績) オフライン 〇〇回 オフライン ▼2ヶ月前 ▼0日目 ▼終了 修士研究 個人開発
チーム開発 発表準 備 発表・手直し 発表 修士研究 個人開発 意見交換(適時) 発表準備・発表・議論・実装
現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet] @2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub] @2018/11
現在の取り組み ②Cyship(セキュリティ学習ゲーム) 継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門 決勝進出(2018/11) キャンパスベンチャーグランプリ 最終審査(結果まだ) 学生CG コンテスト
アート部門 ノミネート(結果まだ)
None