※今回写真なし
今日、IPAのファジング入門セミナーを受講した。
概要は以下の通りとなる。
【セキュリティテスト「ファジング」入門セミナー】
■2015/03/10 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス13階 IPA 会議室A、B
--------------------------------------------------
○時間:15:00-17:30
○プログラム名:セキュリティテスト「ファジング」入門セミナー
○内容:
○日付:2015/03/10(火)
○時間:15:00 ~ 17:30(受付開始 14:30)
○内容:
1. ファジングの概要と、製品開発への活用
2. ファジングツールの使い方
3. まとめ・質疑応答・アンケート
○対象者:
・組込み機器およびソフトウェアなどの製品開発を行っている企業・組織において、
製品開発や製品のテストを担当している方を対象とします。
--------------------------------------------------
ファジングとは、ロジック不良やバッファオーバーフローなどの脆弱性を発見するための技術で、基本的にブルートフォース、辞書アタックで変なデータを送り付け、プログラマの意図しない動作を探す。
(ちなみに、Fuzz balls(9)のfuzz。ファジー洗濯機のfuzz)
OWASP ZAPやFuzzgrindやその他様々なテストツールが開発されていて、プログラマはより安全なプログラムを検討する機会に恵まれている。
攻撃者は、簡便に脆弱性を探す手段に恵まれている。
バッファオーバーフローは最悪メモリ領域を破壊され、任意のコードを送り付けられて実行される危険がある。
(例えばネットワーク経由でデータを受信した時、受信バッファが適切に管理されていない場合、大量のデータを送り付けられたらバッファのサイズをオーバーして、メモリ破壊をもたらすことがある。
この時、送られてきたデータが意味のあるマシン・コードであれば、PC(プログラムカウンタ)がそのメモリ領域を指し示した時、コードが実行される。
これがよくMSのセキュリティ情報などで見掛ける『リモートで任意のコードが実行される』という現象である)
セキュリティリスクの排除は不可能であり、セキュリティ対策は利便性とのトレードオフであるが、最終的に対策を見送るとしても、検討をしないことは技術者/システム管理者としてあってはならない。
こういうことを書いている時点であまり入門者では無いような気もするが、ファジングはテスト環境で数回しかやったことが無かったので、受講することにした。
都営三田線、千石駅から徒歩4分(公称)。しかし毎回道に迷って一時間かかるので、今回は早めに向かう。
よく考えるとAndroidにナビしてもらえば良いだけの話であるが、機械に案内されるのはなんか気に食わないので、やはり目視で進む。
理研跡地、都会の真ん中に老齢の木々が立ち並ぶ区画のビルに、IPAは入っている。
セミナールームの前に『コーディング作法ガイドWG会場→』などという貼り紙もあり、そちらにも興味を引かれたが、予定通りファジングの講義を受講した。
○前半 → セキュリティの基礎的な話だったので、配布されたセキュリティ白書2014をずっと読んでいた。とても有意義な時間だった。
○後半 → ファジングツールPeachを用いた、Lighttpdに対するDoSアタックの実践。講師のデモンストレーションだが、やはり見ていて楽しい。
デモンストレーション環境はDVDで配布されたので、ハンズオンではないが実技のスキルとして身に付く。
IPAのセミナーは、全般的にレベルが高い。それは、質の良い配布資料によって興味のない講義でも有効に時間を潰せることと、講師のスキルが高いためコンピュータサイエンスの理論立った知識から質疑応答が出来ることが理由である(と私は思っている)。
無料のセミナーが多く、今回のファジングも実費?1,000円だった。
税金系組織なので、是非皆さんにも有効活用して欲しい。
今日、IPAのファジング入門セミナーを受講した。
概要は以下の通りとなる。
【セキュリティテスト「ファジング」入門セミナー】
■2015/03/10 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス13階 IPA 会議室A、B
--------------------------------------------------
○時間:15:00-17:30
○プログラム名:セキュリティテスト「ファジング」入門セミナー
○内容:
○日付:2015/03/10(火)
○時間:15:00 ~ 17:30(受付開始 14:30)
○内容:
1. ファジングの概要と、製品開発への活用
2. ファジングツールの使い方
3. まとめ・質疑応答・アンケート
○対象者:
・組込み機器およびソフトウェアなどの製品開発を行っている企業・組織において、
製品開発や製品のテストを担当している方を対象とします。
--------------------------------------------------
ファジングとは、ロジック不良やバッファオーバーフローなどの脆弱性を発見するための技術で、基本的にブルートフォース、辞書アタックで変なデータを送り付け、プログラマの意図しない動作を探す。
(ちなみに、Fuzz balls(9)のfuzz。ファジー洗濯機のfuzz)
OWASP ZAPやFuzzgrindやその他様々なテストツールが開発されていて、プログラマはより安全なプログラムを検討する機会に恵まれている。
攻撃者は、簡便に脆弱性を探す手段に恵まれている。
バッファオーバーフローは最悪メモリ領域を破壊され、任意のコードを送り付けられて実行される危険がある。
(例えばネットワーク経由でデータを受信した時、受信バッファが適切に管理されていない場合、大量のデータを送り付けられたらバッファのサイズをオーバーして、メモリ破壊をもたらすことがある。
この時、送られてきたデータが意味のあるマシン・コードであれば、PC(プログラムカウンタ)がそのメモリ領域を指し示した時、コードが実行される。
これがよくMSのセキュリティ情報などで見掛ける『リモートで任意のコードが実行される』という現象である)
セキュリティリスクの排除は不可能であり、セキュリティ対策は利便性とのトレードオフであるが、最終的に対策を見送るとしても、検討をしないことは技術者/システム管理者としてあってはならない。
こういうことを書いている時点であまり入門者では無いような気もするが、ファジングはテスト環境で数回しかやったことが無かったので、受講することにした。
都営三田線、千石駅から徒歩4分(公称)。しかし毎回道に迷って一時間かかるので、今回は早めに向かう。
よく考えるとAndroidにナビしてもらえば良いだけの話であるが、機械に案内されるのはなんか気に食わないので、やはり目視で進む。
理研跡地、都会の真ん中に老齢の木々が立ち並ぶ区画のビルに、IPAは入っている。
セミナールームの前に『コーディング作法ガイドWG会場→』などという貼り紙もあり、そちらにも興味を引かれたが、予定通りファジングの講義を受講した。
○前半 → セキュリティの基礎的な話だったので、配布されたセキュリティ白書2014をずっと読んでいた。とても有意義な時間だった。
○後半 → ファジングツールPeachを用いた、Lighttpdに対するDoSアタックの実践。講師のデモンストレーションだが、やはり見ていて楽しい。
デモンストレーション環境はDVDで配布されたので、ハンズオンではないが実技のスキルとして身に付く。
IPAのセミナーは、全般的にレベルが高い。それは、質の良い配布資料によって興味のない講義でも有効に時間を潰せることと、講師のスキルが高いためコンピュータサイエンスの理論立った知識から質疑応答が出来ることが理由である(と私は思っている)。
無料のセミナーが多く、今回のファジングも実費?1,000円だった。
税金系組織なので、是非皆さんにも有効活用して欲しい。