Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SecHack365 修了生LT(2018年愛媛回)
Search
友利奈緒(@K_atc)
December 01, 2018
Education
0
550
SecHack365 修了生LT(2018年愛媛回)
友利奈緒(@K_atc)
December 01, 2018
Tweet
Share
More Decks by 友利奈緒(@K_atc)
See All by 友利奈緒(@K_atc)
実装して学ぶ Symbolic Backward Execution
katc
8
2.2k
SecHack365 Returns 2019 修了生プレゼンテーション
katc
0
450
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation (English)
katc
0
500
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation
katc
9
4.5k
バイナリ萌えの彼女がシンボリック実行に恋着してますが、制約に挑む幼気な表情が最高です!(1)
katc
6
3.5k
Other Decks in Education
See All in Education
リバースバケットリスト 〜 「死ぬまでにやることリスト」の欠点と対処法
takibi333
0
110
脳卒中になってしまった さあ、どうする
japanstrokeassociation
0
1.4k
BEM FASILKOM UNEJ Navaratna
bemilkomunej24
0
130
Unraveling JavaScript Prototypes
debug_mode
0
130
COO's Perspective : Code for Everyone 2020-2024
codeforeveryone
0
240
Nodiレクチャー 「CGと数学」講義資料 2024/11/19
masatatsu
1
280
MySmartSTEAM2425
cbtlibrary
0
110
<学びの作品化>を促す 学習環境デザインの検討―表現方法の多様さが保障された授業に着目して― /jaet2024
kiriem
0
300
The Task is not the End: The Role of Task Repetition and Sequencing In Language Teaching
uranoken
0
270
1216
cbtlibrary
0
260
A Chatbot is Not a Search Engine (it's more like a roleplaying game)
dsalo
0
110
2024年度秋学期 統計学 第7回 データの関係を知る(2)ー 回帰と決定係数 (2024. 11. 6)
akiraasano
PRO
0
140
Featured
See All Featured
Building Applications with DynamoDB
mza
93
6.2k
Music & Morning Musume
bryan
46
6.3k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Designing for humans not robots
tammielis
250
25k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Making the Leap to Tech Lead
cromwellryan
133
9k
Six Lessons from altMBA
skipperchong
27
3.6k
What's in a price? How to price your products and services
michaelherold
244
12k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Statistics for Hackers
jakevdp
797
220k
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
How STYLIGHT went responsive
nonsquared
96
5.3k
Transcript
SecHack365 修了生LT @2018 愛媛回 友利 奈緒(@K_atc)
友利 奈緒 (ともり なお) ID: @K_atc 現職 セキュリティエンジニア(研究開発部門) 趣味 脆弱性検出の研究、お絵かき 得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、 低レイヤー、組み込み、Web開発
SecHack365のテーマ①シンボリック実行 「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」 マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい! 【悲報&吉報】本家がAArch64対応着手 @2018/11 悲しいオチ
SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」 ゲームとしては楽しいが、学習要素が弱いのがネック(現在改良中)
SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権! • 海外視察参加権!
成功したこと、失敗したこと、反省点 成功したこと • 優秀修了賞2件(チーム:Cyship、個人:シンボリック実行) • Cyship(セキュリティ学習ゲーム)→今も開発中 • くぼたつ道場→個人PJの競合について相談&軽い人生相談 失敗したこと、反省点 •
シンボリック実行(Tritonのマルチアーキテクチャ対応) →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず
もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識! • 開発:アイデア出し~実装 ◦ 私)設計→実装→再設計→実装→… • 公開:発表、OSS活動 ◦ 発表例)勉強会、ブログ、GitHub
• 改善:課題整理 ◦ 何がうまくいった・いかなかったか? ◦ 改善点は? 今の私のリズム)定時前退社→飯休憩→風呂→開発(2〜4時間)→睡眠→出社 フレックス勤務はいいぞ!! アイデア出し、 設計、論文調査 課題整理 発表 実装 OSSコミット
もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする 普段人間性を捧げて荒んだ生活をしている方!(e.g. 私) オンサイトでは、人間的な活動をすると後々無理がない。リラックス! おすすめな人間的な活動 • 美味しいものを食べる!大きなお風呂に入る!綺麗なベットで寝る! • 人と会って話す
• 頼れる大人に相談(心理的安全性を確保する意味でも重要)
もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人(=みなさん)向けのアドバイス イベントに参加する以上、賞を貰って帰ろうな! 自分の頑張りを肯定する強力な材料を得られる。 実際はうまくいかなかったことの方が多くて気分はブルー。 優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような! ヒント:大学の研究室で学んだこと フィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】
もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい! 今年のトレーニーの特徴として、1人チームが多い。 ほとんどといってもよい。 まじか(もったいない)
もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く:小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数(=戦略)の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな! • 理論上 n 回優秀選抜される(n > 1) ☜わりと重要
もう終盤だけどSecHack365の生かし方④ 修士研究+個人開発+チーム開発を並行する例(修士2年の終盤での実施実績) オフライン 〇〇回 オフライン ▼2ヶ月前 ▼0日目 ▼終了 修士研究 個人開発
チーム開発 発表準 備 発表・手直し 発表 修士研究 個人開発 意見交換(適時) 発表準備・発表・議論・実装
現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet] @2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub] @2018/11
現在の取り組み ②Cyship(セキュリティ学習ゲーム) 継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門 決勝進出(2018/11) キャンパスベンチャーグランプリ 最終審査(結果まだ) 学生CG コンテスト
アート部門 ノミネート(結果まだ)
None
katc
takibi333
japanstrokeassociation
bemilkomunej24
debug_mode
codeforeveryone
masatatsu
cbtlibrary
kiriem
uranoken
dsalo
akiraasano
mza
bryan
keavy
tammielis
keithpitt
cromwellryan
skipperchong
michaelherold
smashingmag
jakevdp
addyosmani
nonsquared
![現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest](https://files.speakerdeck.com/presentations/1ea758dd07f9438e8c3a436256268f1f/slide_12.jpg){kind=link}
