Soumettre la recherche
Mettre en ligne
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
•
1 j'aime
•
473 vues
Asuka Nakajima
Suivre
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 私とセキュリティと過去と未来
Lire moins
Lire la suite
Carrière
Signaler
Partager
Signaler
Partager
1 sur 25
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Asuka Nakajima
セキュキャンまとめ
セキュキャンまとめ
shutingrz
第03回まっちゃ139勉強会
第03回まっちゃ139勉強会
Tatsuya Ueda
enPiT学生発表2019 電機大(抜粋)
enPiT学生発表2019 電機大(抜粋)
Yuki Nihei
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
coinsLT #0
coinsLT #0
Yutaka Watanabe
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
良徳 齋藤
Recommandé
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Asuka Nakajima
セキュキャンまとめ
セキュキャンまとめ
shutingrz
第03回まっちゃ139勉強会
第03回まっちゃ139勉強会
Tatsuya Ueda
enPiT学生発表2019 電機大(抜粋)
enPiT学生発表2019 電機大(抜粋)
Yuki Nihei
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
coinsLT #0
coinsLT #0
Yutaka Watanabe
従業員が知っておくべき新三大情報セキュリティ事故
従業員が知っておくべき新三大情報セキュリティ事故
良徳 齋藤
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
改ざん検知の分類資料
改ざん検知の分類資料
Kouji Uchiyama
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
Kouji Uchiyama
情報セキュリティCAS 第二十一回放送用スライド
情報セキュリティCAS 第二十一回放送用スライド
Kumasan, LLC.
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
情報処理学会 情報システム教育委員会
先端技術 セキュリティ最前線
先端技術 セキュリティ最前線
聡 中川
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
Shinichiro Kawano
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
ssuser6c19e1
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
Shinichiro Kawano
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
今日からはじめるセキュリティセミナ
今日からはじめるセキュリティセミナ
金沢工業高等専門学校
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
OWASP Kansai
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
Shinichiro Kawano
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
CTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
Mki2013
Mki2013
Koichi Ise
JAWS-UG クラウド専業SIer(CIer)になってみた結果
JAWS-UG クラウド専業SIer(CIer)になってみた結果
Serverworks Co.,Ltd.
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
Kazuhisa Sakamoto
情報セキュリティ講習会2016
情報セキュリティ講習会2016
Naoki Kato
Contenu connexe
Tendances
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
改ざん検知の分類資料
改ざん検知の分類資料
Kouji Uchiyama
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
Kouji Uchiyama
情報セキュリティCAS 第二十一回放送用スライド
情報セキュリティCAS 第二十一回放送用スライド
Kumasan, LLC.
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
情報処理学会 情報システム教育委員会
先端技術 セキュリティ最前線
先端技術 セキュリティ最前線
聡 中川
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
Shinichiro Kawano
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
Tomohiro Nakashima
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
ssuser6c19e1
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Shinichiro Kawano
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
satoru koyama
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
Shinichiro Kawano
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
今日からはじめるセキュリティセミナ
今日からはじめるセキュリティセミナ
金沢工業高等専門学校
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
OWASP Kansai
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
Shinichiro Kawano
Tendances
(16)
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
改ざん検知の分類資料
改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
関西セキュリティ 合同セミナー改ざん検知の分類資料
情報セキュリティCAS 第二十一回放送用スライド
情報セキュリティCAS 第二十一回放送用スライド
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
先端技術 セキュリティ最前線
先端技術 セキュリティ最前線
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
2019 0223 jawsdays2019_slideshare
2019 0223 jawsdays2019_slideshare
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
今日からはじめるセキュリティセミナ
今日からはじめるセキュリティセミナ
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
「enPiT-Pro×大阪大学:安全なデータ利活用のためのプロフェッショナル人材育成コース」
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
Similaire à [セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
CTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
Mki2013
Mki2013
Koichi Ise
JAWS-UG クラウド専業SIer(CIer)になってみた結果
JAWS-UG クラウド専業SIer(CIer)になってみた結果
Serverworks Co.,Ltd.
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
Kazuhisa Sakamoto
情報セキュリティ講習会2016
情報セキュリティ講習会2016
Naoki Kato
デバイスをセキュアにつないで可視化する – Azure Sphere、Digital Twin紹介_IoTビジネス共創ラボ 第10回 勉強会
デバイスをセキュアにつないで可視化する – Azure Sphere、Digital Twin紹介_IoTビジネス共創ラボ 第10回 勉強会
IoTビジネス共創ラボ
危機管理コンテスト1次予選ver2016
危機管理コンテスト1次予選ver2016
Takumi Ishibashi
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
2014年第3回DCC産学交流フォーラム:gacco事務局
2014年第3回DCC産学交流フォーラム:gacco事務局
CHES_waseda_univ
名古屋アジャイル勉強会「モダンアジャイルの導入:安全を必須条件にする」
名古屋アジャイル勉強会「モダンアジャイルの導入:安全を必須条件にする」
You&I
(Ja) A unified feature disentangler for multi domain image translation and ma...
(Ja) A unified feature disentangler for multi domain image translation and ma...
Yamato OKAMOTO
NeurIPS2018読み会@PFN a unified feature disentangler for multi domain image tran...
NeurIPS2018読み会@PFN a unified feature disentangler for multi domain image tran...
Yamato OKAMOTO
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
michiaki ito
誰のためのリモートアクセスか
誰のためのリモートアクセスか
Koji Kanazawa
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
Shinichiro Kawano
Decode報告(提供版)
Decode報告(提供版)
Kazunori Hamamoto
Windows女子部 IT Girl's Talk〜Xmas Special
Windows女子部 IT Girl's Talk〜Xmas Special
Mami Shiino
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
Shinichiro Kawano
Similaire à [セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
(20)
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
CTFというハッカーイベント+α
CTFというハッカーイベント+α
Mki2013
Mki2013
JAWS-UG クラウド専業SIer(CIer)になってみた結果
JAWS-UG クラウド専業SIer(CIer)になってみた結果
20120507 ncwg-goto1-ho 20140528 1115
20120507 ncwg-goto1-ho 20140528 1115
情報セキュリティ講習会2016
情報セキュリティ講習会2016
デバイスをセキュアにつないで可視化する – Azure Sphere、Digital Twin紹介_IoTビジネス共創ラボ 第10回 勉強会
デバイスをセキュアにつないで可視化する – Azure Sphere、Digital Twin紹介_IoTビジネス共創ラボ 第10回 勉強会
危機管理コンテスト1次予選ver2016
危機管理コンテスト1次予選ver2016
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
2014年第3回DCC産学交流フォーラム:gacco事務局
2014年第3回DCC産学交流フォーラム:gacco事務局
名古屋アジャイル勉強会「モダンアジャイルの導入:安全を必須条件にする」
名古屋アジャイル勉強会「モダンアジャイルの導入:安全を必須条件にする」
(Ja) A unified feature disentangler for multi domain image translation and ma...
(Ja) A unified feature disentangler for multi domain image translation and ma...
NeurIPS2018読み会@PFN a unified feature disentangler for multi domain image tran...
NeurIPS2018読み会@PFN a unified feature disentangler for multi domain image tran...
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
誰のためのリモートアクセスか
誰のためのリモートアクセスか
2019 1107 fin-jaws_5min
2019 1107 fin-jaws_5min
Decode報告(提供版)
Decode報告(提供版)
Windows女子部 IT Girl's Talk〜Xmas Special
Windows女子部 IT Girl's Talk〜Xmas Special
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
Plus de Asuka Nakajima
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Asuka Nakajima
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
Asuka Nakajima
技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
Asuka Nakajima
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
第二回CTF勉強会資料
第二回CTF勉強会資料
Asuka Nakajima
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
Asuka Nakajima
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
Asuka Nakajima
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
Asuka Nakajima
Plus de Asuka Nakajima
(8)
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
Reverse Engineering Dojo: Enhancing Assembly Reading Skills
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
[Dagstuhl Seminar 17281] Similarity Calculation Method for Binary Executables
技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
第二回CTF勉強会資料
第二回CTF勉強会資料
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[CSS×2.0 2014] Polyglotシェルコードの最高記録に挑戦しよう☆
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[ROOTCON13] Pilot Study on Semi-Automated Patch Diffing by Applying Machine-L...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
[AsiaCCS2019] A Pilot Study on Consumer IoT Device Vulnerability Disclosure a...
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
1.
Security Camp Forum
2014 私と セキュリティと 過去と未来 日本電信電話株式会社 NTTセキュアプラットフォーム研究所 中島 明日香 2014年2月15日
2.
#whoami 中島明日香 セキュリティキャンプ2009卒業 バイナリ解析コース NTTセキュアプラットフォーム研究所 1年目 慶應義塾大学
環境情報学部 2013卒業 様々なセキュリティコンテストに参加等
3.
Hardening Project 2012
2大会連続優勝 IWSEC Cup 2013 優勝 MWS Cup 2009,2013 芸術部門優勝 セキュリティコンテスト CODEGATE CTF 2011 本選 参加 DEFCON CTF 2011,2012 本選 参加 国内大会[チーム戦] 国際大会[チーム戦]
4.
今日のテーマ 私とセキュリティ
5.
なぜセキュリティなのか
6.
2005年 14歳 米国滞在
7.
小説 Project Seven ハッカーが サイバーテロリストから 世界を救う話 「パソコン一つで世界を転覆 出来るし、救う事も出来るんだ! すごいカッコいい!!」
8.
「そんなカッコいい人に私もなりたい!!」 漠然とした憧れ! IT知識がまったくの0からスタート
9.
セキュリティとの出会い編 -完-
10.
憧れを現実へ
11.
セキュリティキャンプ2009 将来セキュリティ業種に就職することを決意 大学入学4日目 セキュリティの研究室に所属 [村井純合同研究室/武田圭史研究室所属]
12.
DEFCON CTF 2011,2012 日本のチームsutegoma2に参加 自分の覚悟の足りなさを自覚 2011年ラスベガスにて
13.
最近達成したことのご紹介
14.
脆弱性発見 累計7000万ダウンロード 画像ビューアIrfanview3.36 未知の脆弱性を発見 2013年12月24日JVN掲載 CVE-2013-6932
15.
発見の経緯 脆弱性探索の動機 ソフトウェアセキュリティ関係を研究する予定 研修明けで時間があった 検査対象の選定方法 小規模or個人が開発 有名なソフトウェア/商用版があること ファイルの読み込み機能があるもの[画像ビューア] 過去に脆弱性が[数件以上、十件以下]見つかってるもの 今年は脆弱性の夏にしよう!
16.
脆弱性の仕組み[1/2] 脆弱な部分 サムネイル表示時の画像のツールチップ機能 ファイル名表示部にスタックバッファオーバーフローの脆弱性
17.
脆弱性の仕組み[2/2] 前提 日本語/英語問わずファイルパスは最大259文字 ファイルパスのために260バイト分確保している C:¥TEST¥AAAAAAAAAAA ~~~~~~~~~~~~ AAAAAAAAAAAAA.JPG¥0 ファイルサイズ その他・・ ヒープ領域 スタック領域 strcpy strcpy リターンアドレス C:¥TEST¥AAAAAAAAAAA ~~~~~~~~~~~~ AAAAAAAAAAAAA.JPG¥0 C:¥テスト¥AAAAAAAAAAA ~~~~~~~~~~~~ AAAAAAAAAAAAAAAAAA ファイルサイズ
その他・・ ファイルサイズ C:¥テスト¥AAAAAAAAAAA ~~~~~~~~~~~~ AAAAAAAAAAAAAAAAAA 仕組み
18.
検証[1/2] 任意のコード実行にむけて 任意のコード実行方法 ファイルサイズでシェルコードの 開始地点を指定 ファイル名をシェルコードにする C:¥テスト¥ シェルコード AAAAAAA AAAAAAA AAAAAAA AAAAAAA AAAAAAA AAAAAAA [リターンアドレス] スタック領域
19.
検証[2/2] LLLLYhffffk4diFkDqo 02Dqp0D1FuEE0v3r 2D0a7p1P5K2E4q3c 2A01 xor edx,edx push edx push
edx push edx push edx call MessageBoxA シェルコード Alpha3を使用してalphanumeric shellcodeに変換 任意のコード[MessageBox表示]実行に成功 任意のコード実行
20.
デモ
21.
22.
報告の流れ ① 脆弱性探索開始 8月10日 ③
検証終了 8月26日 ④ IPAに報告 8月27日 ⑤ 脆弱性関連情報としてIPAに受理 9月2日 ⑥ JPCERT/CCと開発者との調整開始 9月6日 ② 脆弱性発見 8月12日 1 2 3 4 5 6 7 8 9 ① 11 ② 13 14 15 16 17 18 19 20 21 22 23 24 25 ③ ④ 28 29 30 31 8月 1 ⑤ 3 4 5 ⑥ 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 9月 2013年12月24日JVN掲載
23.
自分が住んでる世界を、 良い方向に変える事が出来たので満足 「便利になった/生活が変わった」では無い・・・・
24.
Past 就職 目指す先 研究所/セキュリティ研究者 自分の「好き」を追求しつつ研究で 世界を良い方向へ トップレベルのカンファレンスで発表 日本のセキュリティ業界に貢献 ソフトウェアセキュリティ
25.
ご清聴ありがとうございました!
Télécharger maintenant