セキュリティ&プログラミングキャンプ・キャラバン東京(2009年12月23日)
会場は大久保の日本電子専門学校。昨年度は慶応のSFCだったんで、すごく近くなった。
だから、かはわからないが参加者も10倍以上いたんじゃないのかな。講師も5倍ぐらいいた気が(笑)
1. セキュリティ&プログラミングキャンプ紹介 + 基礎講義タイム
講師はおなじみ(?)の園田道夫氏(サイバー大学、id:sonodam)と吉岡弘隆氏(楽天、id:hyoshiok)。
2. 昼食
昨年度はSFCの入口にあるセブンイレブンで買ったパンを独りで食べた...
今年は2月に参加したまっちゃ445で一緒になったid:uehiroさんがいらっしゃったので、彼とほかのキャンプ卒業生(若々しい学生さんたち)とラーメンを食べた。
日本電子専門学校の向かいにある「ぼり・うむ」で食べた。二郎インスパイア系というのか、具が大量に盛られた腹にたまるラーメンだった。出てくるのが遅くて午後の最初のセッションにちょっと遅刻...
しかしながら、ギークな若者たちがお互いに交流を深めているのはいいね。就職活動中の方もいたので、一応名刺を渡しておきましたが、うちの会社じゃ尖った若者を生かし切れるかが怪しい。
3. マルチトラックセッションその1(Windowsセキュリティの歴史と進化)
講師は塩月誠人氏(セキュリティプロフェッショナルネットワーク)。
Windowsの進化に伴い、様々なバグが克服されていったことがわかった。昔のWindowsは大変だったんだな。
out of band攻撃とか、Ping of Death攻撃とか、ソースルーティングパケットとか初めて知った。
(out of band攻撃)
緊急フラグがついたパケットを送ることで、アプリケーションをクラッシュさせる攻撃。
Win NT 4.0で解決した。
(Ping of Death攻撃)
規格外(IPパケットの最大値である65,535バイト以上)のパケットを送りつけ、システムをハングさせる攻撃。
(ソースルーティングパケット)
通信経路を送信者に指定されたパケット(通常は通信経路はルータが自動的に決める)
送信元IPアドレスの詐称に使用され、XP SP2ではデフォルトで拒否するようになっている。
4. マルチトラックセッションその2(脆弱性、指摘する人される人)
講師ははせがわようすけ氏と竹迫良範氏。
脆弱性に対して「事前に巨額の対策をするよりも、後で修正した方が楽」という指摘はその通りだと思いました。どうしても仕事をしていると、目の前の工数とか、納期とかを気にしなきゃいけないんで。QCDという言葉があるけど、一番気にされているのはCですから。次がDで最後がQ。
しかし、脆弱性を指摘すると指摘者として名前がベンダのサイトに載るのね。ちょっとやる気出た。
5. マルチトラックセッションその3(ARPキャッシュポイゾニングの仕組みとその対策)
講師は吉田"James"英二氏(セキュリティプロフェッショナルネットワーク)。
ARPキャッシュポイゾニングって、情報セキュリティスペシャリスト試験の勉強で出てきたわ。それについて、今回の講義で理解が深まった(気がする)。
直接Webサーバに侵入しなくても、他の脆弱性のあるサーバに侵入することで、通信経路上でコンテンツの改ざんが可能だという話は驚いた。ARPテーブルを書き換えることで、通信経路を変えられちゃうからだね。全部のサーバについて気をつけないとダメだね。
5.卒業生の成果発表を含むライトニングトークセッション
実はこれを楽しみにしていました。セキュリティ&プログラミングキャンプに参加するような尖った若者はいったいどういう人たちのか。
「ブラッディ・マンデイ シーズン2」に備えて
講師はCNETのブログでおなじみのisidai氏。
あの現役高校生*3に会えるのかとwktkしてました。
とりあえず、ブラッディ・マンデイレンタルしてきましたんで、復習していこうと思います。
IPv4アドレス枯渇時代におけるアプリケーション開発
さて、ゆゆしき問題が出てきましたよ。本当にどうすればいいんですかね?(考えろよ)
NATは知っていたけど、NAT越えという概念があるということ、初めて知った。
ポート数の制限も今の大量データ送受信時代には痛いね。虫食いのGoogleマップは本当に衝撃でした。そのうち動画見られなくなっちゃうんだろうか。
6. 講師陣と参加者によるフリーディスカッションタイム
キャラバンの名物タイム(?)
今年もキーボードッグのTシャツあった。しかも、昨年よりデザインがいい(笑) 今回はもらいませんでしたが。
パネリストの回答では
「エンジニアは体力が大切」
と言った、上野宣氏に対して、竹迫氏(だったかな?)が
「エンジニアは体力が必要なものを省力化させるのが仕事なんだから、それを言っちゃったらおしまいだ」
と応酬したところが一番面白かった。
また、吉岡氏が「エンジニアはIT以外の素養を持つことが大切」と言っていたのもぐっと来た。
特に僕みたいに学生時代ITやっていなかった人間は技術だけでは勝てないからね。ただ、仕事に役立ちそうな素養が身についているとは思わないんですが。やはり体力か(をぃ) 2月に森林公園でやる10kmマラソン勢いで申し込んでみましたが、大丈夫か? 俺。
まとめ
昨年度よりも規模が拡大し、非常に充実したイベントでした。講師陣、それからキャンプ卒業生の方々はみんな技術力高いだけじゃなくて、話も面白いので、またどこかで交流できればと思います。
あと、飲み会に行けなかったのは残念。母の誕生日で食事に行かなきゃいけなかったので...