Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SecHack365 修了生LT(2018年愛媛回)
Search
友利奈緒(@K_atc)
December 01, 2018
Education
0
530
SecHack365 修了生LT(2018年愛媛回)
友利奈緒(@K_atc)
December 01, 2018
Tweet
Share
More Decks by 友利奈緒(@K_atc)
See All by 友利奈緒(@K_atc)
実装して学ぶ Symbolic Backward Execution
katc
8
2.2k
SecHack365 Returns 2019 修了生プレゼンテーション
katc
0
430
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation (English)
katc
0
480
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation
katc
9
4.3k
バイナリ萌えの彼女がシンボリック実行に恋着してますが、制約に挑む幼気な表情が最高です!(1)
katc
6
3.4k
Other Decks in Education
See All in Education
(2024) Couper un gâteau... sans connaître le nombre de convives
mansuy
2
120
1030
cbtlibrary
0
290
Introduction - Lecture 1 - Web Technologies (1019888BNR)
signer
PRO
0
4.8k
ACT FAST 20240830
japanstrokeassociation
0
260
week@tcue2024
nonxxxizm
0
510
セキュリティ・キャンプ全国大会2024 S17 探査機自作ゼミ 事前学習・当日資料
sksat
3
810
Master of Applied Science & Engineering: Computer Science & Master of Science in Applied Informatics
signer
PRO
0
420
【COPILOT無料セミナー】エンゲージメントと自律性の高いプロジェクト型人材育成に向けて~プロジェクト・ベースド・ラーニング(PBL)という選択肢~
copilot
PRO
0
110
不登校予防・再登校支援プログラムを提供するToCo (トーコ) の会社紹介資料 toco.mom
toco3week
0
330
The Blockchain Game
jscottmo
0
3.6k
Human Perception and Cognition - Lecture 4 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
680
世界のオープンソースロボットたち #1
shiba_8ro
0
130
Featured
See All Featured
Building an army of robots
kneath
302
42k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
How to Think Like a Performance Engineer
csswizardry
19
1.1k
Music & Morning Musume
bryan
46
6.1k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
22k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Code Reviewing Like a Champion
maltzj
519
39k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
We Have a Design System, Now What?
morganepeng
50
7.2k
For a Future-Friendly Web
brad_frost
175
9.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Typedesign – Prime Four
hannesfritz
39
2.4k
Transcript
SecHack365 修了生LT @2018 愛媛回 友利 奈緒(@K_atc)
友利 奈緒 (ともり なお) ID: @K_atc 現職 セキュリティエンジニア(研究開発部門) 趣味 脆弱性検出の研究、お絵かき 得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、 低レイヤー、組み込み、Web開発
SecHack365のテーマ①シンボリック実行 「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」 マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい! 【悲報&吉報】本家がAArch64対応着手 @2018/11 悲しいオチ
SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」 ゲームとしては楽しいが、学習要素が弱いのがネック(現在改良中)
SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権! • 海外視察参加権!
成功したこと、失敗したこと、反省点 成功したこと • 優秀修了賞2件(チーム:Cyship、個人:シンボリック実行) • Cyship(セキュリティ学習ゲーム)→今も開発中 • くぼたつ道場→個人PJの競合について相談&軽い人生相談 失敗したこと、反省点 •
シンボリック実行(Tritonのマルチアーキテクチャ対応) →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず
もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識! • 開発:アイデア出し~実装 ◦ 私)設計→実装→再設計→実装→… • 公開:発表、OSS活動 ◦ 発表例)勉強会、ブログ、GitHub
• 改善:課題整理 ◦ 何がうまくいった・いかなかったか? ◦ 改善点は? 今の私のリズム)定時前退社→飯休憩→風呂→開発(2〜4時間)→睡眠→出社 フレックス勤務はいいぞ!! アイデア出し、 設計、論文調査 課題整理 発表 実装 OSSコミット
もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする 普段人間性を捧げて荒んだ生活をしている方!(e.g. 私) オンサイトでは、人間的な活動をすると後々無理がない。リラックス! おすすめな人間的な活動 • 美味しいものを食べる!大きなお風呂に入る!綺麗なベットで寝る! • 人と会って話す
• 頼れる大人に相談(心理的安全性を確保する意味でも重要)
もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人(=みなさん)向けのアドバイス イベントに参加する以上、賞を貰って帰ろうな! 自分の頑張りを肯定する強力な材料を得られる。 実際はうまくいかなかったことの方が多くて気分はブルー。 優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような! ヒント:大学の研究室で学んだこと フィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】
もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい! 今年のトレーニーの特徴として、1人チームが多い。 ほとんどといってもよい。 まじか(もったいない)
もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く:小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数(=戦略)の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな! • 理論上 n 回優秀選抜される(n > 1) ☜わりと重要
もう終盤だけどSecHack365の生かし方④ 修士研究+個人開発+チーム開発を並行する例(修士2年の終盤での実施実績) オフライン 〇〇回 オフライン ▼2ヶ月前 ▼0日目 ▼終了 修士研究 個人開発
チーム開発 発表準 備 発表・手直し 発表 修士研究 個人開発 意見交換(適時) 発表準備・発表・議論・実装
現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet] @2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub] @2018/11
現在の取り組み ②Cyship(セキュリティ学習ゲーム) 継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門 決勝進出(2018/11) キャンパスベンチャーグランプリ 最終審査(結果まだ) 学生CG コンテスト
アート部門 ノミネート(結果まだ)
None
katc
mansuy
cbtlibrary
signer
japanstrokeassociation
nonxxxizm
sksat
copilot
toco3week
jscottmo
shiba_8ro
kneath
sstephenson
csswizardry
bryan
cassininazir
stephaniewalter
maltzj
palkan
morganepeng
brad_frost
irinanazarova
hannesfritz
![現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest](https://files.speakerdeck.com/presentations/1ea758dd07f9438e8c3a436256268f1f/slide_12.jpg){kind=link}
