Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SecHack365 修了生LT(2018年愛媛回)
Search
友利奈緒(@K_atc)
December 01, 2018
Education
0
540
SecHack365 修了生LT(2018年愛媛回)
友利奈緒(@K_atc)
December 01, 2018
Tweet
Share
More Decks by 友利奈緒(@K_atc)
See All by 友利奈緒(@K_atc)
実装して学ぶ Symbolic Backward Execution
katc
8
2.2k
SecHack365 Returns 2019 修了生プレゼンテーション
katc
0
450
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation (English)
katc
0
490
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation
katc
9
4.4k
バイナリ萌えの彼女がシンボリック実行に恋着してますが、制約に挑む幼気な表情が最高です!(1)
katc
6
3.5k
Other Decks in Education
See All in Education
LLMs for Social Simulation: Progress, Opportunities and Challenges
wingnus
1
120
2409_CompanyInfo_Hanji_published.pdf
yosukemurata
0
630
Unraveling JavaScript Prototypes
debug_mode
0
110
Design Guidelines and Models - Lecture 5 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
720
Zero to Hero
takesection
0
130
AWS All Certが伝える 新AWS認定試験取得のコツ (Machine Learning Engineer - Associate)
nnydtmg
1
690
Образцы вооружения и техники ВС РФ
obzr
0
110
Master of Applied Science & Engineering: Computer Science & Master of Science in Applied Informatics
signer
PRO
0
640
The Task is not the End: The Role of Task Repetition and Sequencing In Language Teaching
uranoken
0
220
Ch2_-_Partie_1.pdf
bernhardsvt
0
120
Informasi Program Coding Camp 2025 powered by DBS Foundation
codingcamp2025
0
120
HCI Research Methods - Lecture 7 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
750
Featured
See All Featured
Adopting Sorbet at Scale
ufuk
73
9.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
810
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Visualization
eitanlees
146
15k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
Typedesign – Prime Four
hannesfritz
40
2.4k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Transcript
SecHack365 修了生LT @2018 愛媛回 友利 奈緒(@K_atc)
友利 奈緒 (ともり なお) ID: @K_atc 現職 セキュリティエンジニア(研究開発部門) 趣味 脆弱性検出の研究、お絵かき 得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、 低レイヤー、組み込み、Web開発
SecHack365のテーマ①シンボリック実行 「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」 マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい! 【悲報&吉報】本家がAArch64対応着手 @2018/11 悲しいオチ
SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」 ゲームとしては楽しいが、学習要素が弱いのがネック(現在改良中)
SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権! • 海外視察参加権!
成功したこと、失敗したこと、反省点 成功したこと • 優秀修了賞2件(チーム:Cyship、個人:シンボリック実行) • Cyship(セキュリティ学習ゲーム)→今も開発中 • くぼたつ道場→個人PJの競合について相談&軽い人生相談 失敗したこと、反省点 •
シンボリック実行(Tritonのマルチアーキテクチャ対応) →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず
もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識! • 開発:アイデア出し~実装 ◦ 私)設計→実装→再設計→実装→… • 公開:発表、OSS活動 ◦ 発表例)勉強会、ブログ、GitHub
• 改善:課題整理 ◦ 何がうまくいった・いかなかったか? ◦ 改善点は? 今の私のリズム)定時前退社→飯休憩→風呂→開発(2〜4時間)→睡眠→出社 フレックス勤務はいいぞ!! アイデア出し、 設計、論文調査 課題整理 発表 実装 OSSコミット
もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする 普段人間性を捧げて荒んだ生活をしている方!(e.g. 私) オンサイトでは、人間的な活動をすると後々無理がない。リラックス! おすすめな人間的な活動 • 美味しいものを食べる!大きなお風呂に入る!綺麗なベットで寝る! • 人と会って話す
• 頼れる大人に相談(心理的安全性を確保する意味でも重要)
もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人(=みなさん)向けのアドバイス イベントに参加する以上、賞を貰って帰ろうな! 自分の頑張りを肯定する強力な材料を得られる。 実際はうまくいかなかったことの方が多くて気分はブルー。 優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような! ヒント:大学の研究室で学んだこと フィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】
もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい! 今年のトレーニーの特徴として、1人チームが多い。 ほとんどといってもよい。 まじか(もったいない)
もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く:小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数(=戦略)の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな! • 理論上 n 回優秀選抜される(n > 1) ☜わりと重要
もう終盤だけどSecHack365の生かし方④ 修士研究+個人開発+チーム開発を並行する例(修士2年の終盤での実施実績) オフライン 〇〇回 オフライン ▼2ヶ月前 ▼0日目 ▼終了 修士研究 個人開発
チーム開発 発表準 備 発表・手直し 発表 修士研究 個人開発 意見交換(適時) 発表準備・発表・議論・実装
現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet] @2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub] @2018/11
現在の取り組み ②Cyship(セキュリティ学習ゲーム) 継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門 決勝進出(2018/11) キャンパスベンチャーグランプリ 最終審査(結果まだ) 学生CG コンテスト
アート部門 ノミネート(結果まだ)
None
katc
wingnus
yosukemurata
debug_mode
signer
takesection
nnydtmg
obzr
uranoken
bernhardsvt
codingcamp2025
ufuk
honnibal
chrisshort
eitanlees
aleyda
chriscoyier
hannesfritz
jnunemaker
danielanewman
thekraken
addyosmani
soudai
![現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest](https://files.speakerdeck.com/presentations/1ea758dd07f9438e8c3a436256268f1f/slide_12.jpg){kind=link}
