Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
SecHack365 修了生LT(2018年愛媛回)
Search
友利奈緒(@K_atc)
December 01, 2018
Education
0
490
SecHack365 修了生LT(2018年愛媛回)
友利奈緒(@K_atc)
December 01, 2018
Tweet
Share
More Decks by 友利奈緒(@K_atc)
See All by 友利奈緒(@K_atc)
実装して学ぶ Symbolic Backward Execution
katc
8
2k
SecHack365 Returns 2019 修了生プレゼンテーション
katc
0
370
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation (English)
katc
0
470
Girls Meets Symbolic Execution: Assertion 2. Automated Exploit Generation
katc
9
3.9k
バイナリ萌えの彼女がシンボリック実行に恋着してますが、制約に挑む幼気な表情が最高です!(1)
katc
6
3.2k
Other Decks in Education
See All in Education
Copilotとして理解する生成AI利用の基本
gmoriki
0
130
Tangible, Embedded and Embodied Interaction - Lecture 9 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
Data Presentation - Lecture 5 - Information Visualisation (4019538FNR)
signer
PRO
0
1.8k
H5P-työkalut
matleenalaakso
3
32k
Gesture-based Interaction - Lecture 8 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
LinkedIn
matleenalaakso
0
980
Project Sprint 学生版(入門編)
copilot
PRO
0
180
「小・中・高等学校における情報教育の体系的な学習を目指したカリキュラムモデル基本方針」
codeforeveryone
0
1.4k
Часто задаваемые вопросы
pnuslide
0
23k
Data Processing and Visualisation Frameworks - Lecture 6 - Information Visualisation (4019538FNR)
signer
PRO
1
1.7k
論文の読み方 / How to survey
kaityo256
PRO
175
120k
@ngrx/signals
yannickbaron
0
170
Featured
See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
How to name files
jennybc
65
93k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Why Our Code Smells
bkeepers
PRO
331
56k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
How to train your dragon (web standard)
notwaldorf
73
5.2k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Embracing the Ebb and Flow
colly
80
4.1k
Transcript
SecHack365 修了生LT @2018 愛媛回 友利 奈緒(@K_atc)
友利 奈緒 (ともり なお) ID: @K_atc 現職 セキュリティエンジニア(研究開発部門) 趣味 脆弱性検出の研究、お絵かき 得意分野
シンボリック実行、ソフトやバイナリの静的・動的解析、 低レイヤー、組み込み、Web開発
SecHack365のテーマ①シンボリック実行 「シンボリック実行エンジンTritonのマルチアーキテクチャ対応」 マルチアーキ対応の観点では当時angrが有力。Tritonをその中に入れたい! 【悲報&吉報】本家がAArch64対応着手 @2018/11 悲しいオチ
SecHack365のテーマ②Cyship 「コンピュータが分からなくてもセキュリティの攻防を体験しながら学べる」 ゲームとしては楽しいが、学習要素が弱いのがネック(現在改良中)
SecHack365に参加して得たこと • 研究開発→成果→公開のサイクル確立 • 人権! • 海外視察参加権!
成功したこと、失敗したこと、反省点 成功したこと • 優秀修了賞2件(チーム:Cyship、個人:シンボリック実行) • Cyship(セキュリティ学習ゲーム)→今も開発中 • くぼたつ道場→個人PJの競合について相談&軽い人生相談 失敗したこと、反省点 •
シンボリック実行(Tritonのマルチアーキテクチャ対応) →設計思想違反により本家へマージ不可。やること多すぎて未完成 • チームの掛け持ち →多くの人と交流する暇無し。他チームとの意見交換も碌に出来ず
もう終盤だけどSecHack365の生かし方① 成果に囚われず、自分なりの「開発→公開→改善」サイクル確立を意識! • 開発:アイデア出し~実装 ◦ 私)設計→実装→再設計→実装→… • 公開:発表、OSS活動 ◦ 発表例)勉強会、ブログ、GitHub
• 改善:課題整理 ◦ 何がうまくいった・いかなかったか? ◦ 改善点は? 今の私のリズム)定時前退社→飯休憩→風呂→開発(2〜4時間)→睡眠→出社 フレックス勤務はいいぞ!! アイデア出し、 設計、論文調査 課題整理 発表 実装 OSSコミット
もう終盤だけどSecHack365の生かし方② 人間性を取り戻すムーブをする 普段人間性を捧げて荒んだ生活をしている方!(e.g. 私) オンサイトでは、人間的な活動をすると後々無理がない。リラックス! おすすめな人間的な活動 • 美味しいものを食べる!大きなお風呂に入る!綺麗なベットで寝る! • 人と会って話す
• 頼れる大人に相談(心理的安全性を確保する意味でも重要)
もう終盤だけどSecHack365の生かし方③ 実力 or ポテンシャルがある人(=みなさん)向けのアドバイス イベントに参加する以上、賞を貰って帰ろうな! 自分の頑張りを肯定する強力な材料を得られる。 実際はうまくいかなかったことの方が多くて気分はブルー。 優秀賞を狙う勢いで、成果物と発表の完成度を全力で高めような! ヒント:大学の研究室で学んだこと フィードバックや相談の機会を存分に活かそう【オンサイトイベントの重要性】
もう終盤だけどSecHack365の生かし方④ チーム開発を経験してほしい! 今年のトレーニーの特徴として、1人チームが多い。 ほとんどといってもよい。 まじか(もったいない)
もう終盤だけどSecHack365の生かし方④ If you want to go fast, go alone. If
you want to go far, go together. • チーム開発はレバレッジが効く:小さい労力→大きな成果 ◦ 戦略も大事だが、物資の多さはやっぱり有利 ◦ 物資の多さは手数(=戦略)の多さに直結 ◦ cf. 『失敗の本質―日本軍の組織論的研究』 • コンセプトを共有した仲間と議論し一つのものを作り上げる経験を得られる ◦ チーム開発は社会人の必須スキル ☜ここ重要 ◦ 今から高めておこうな! • 理論上 n 回優秀選抜される(n > 1) ☜わりと重要
もう終盤だけどSecHack365の生かし方④ 修士研究+個人開発+チーム開発を並行する例(修士2年の終盤での実施実績) オフライン 〇〇回 オフライン ▼2ヶ月前 ▼0日目 ▼終了 修士研究 個人開発
チーム開発 発表準 備 発表・手直し 発表 修士研究 個人開発 意見交換(適時) 発表準備・発表・議論・実装
現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest
Preconditionを用いたシンボリック実行 [Tweet] @2018/11 ◦ DevSecOpsを見据えたSASTツールgosec試用 [GitHub] @2018/11
現在の取り組み ②Cyship(セキュリティ学習ゲーム) 継続して開発中。1月公開に向けて改良中。 Mashup Awards シビテック部門 決勝進出(2018/11) キャンパスベンチャーグランプリ 最終審査(結果まだ) 学生CG コンテスト
アート部門 ノミネート(結果まだ)
None
katc
gmoriki
signer
matleenalaakso
copilot
codeforeveryone
pnuslide
kaityo256
yannickbaron
keithpitt
mraible
eileencodes
wjessup
malarkey
jennybc
schacon
bkeepers
maggiecrowley
notwaldorf
paulrobertlloyd
colly
![現在の取り組み ①シンボリック実行、静的解析 • シンボリック実行の実用化:エクスプロイト自動化 [発表資料] @2018/6 ◦ シンボリック実行(Triton)✕ファジング(AFL) • 静的解析 ◦ Weakest](https://files.speakerdeck.com/presentations/1ea758dd07f9438e8c3a436256268f1f/slide_12.jpg){kind=link}
