セキュリティ&プログラミングキャンプ2009名古屋
23日は セキュリティ&プログラミングキャンプ2009名古屋 があるというので行ってみた。 まずキャンプの紹介。これに参加できる生徒・学生がうらやましい…正確にいうと, そういう年齢のときにこういったことに参加できる機会があることがうらやましい …私の今の年齢での勉強の仕方はそうじゃないからね。 生徒に薦めるかというと難しいところだけど, やりたいという者がいたら背中を押してもいいかなと思う。 こういうところに自分から飛び込みたいという「とんがった」やつがいれば。
OS作成やマルウェア解析の話…こういう低いレイヤの話は, 実際に自分の手でやれるかというとやれないんだけど, 大まかにイメージすることができる程度の体験は積んできたつもりだ。 就職してからパソコンをさわり始めて, なぜかアセンブラに手をだして…というのがこういうところで生きてくるとは。 それはそうと,逆アセンブルして解析する際に 制御構造を視覚的に整理してくれる便利なツールってあるのね。
脆弱性を指摘することの難しさは以前からよく問題になることではあるが, その話よりもどうしてそのようなコードを書いてしまうのかということが気になった。 XSSがヤバいことも,バッファオーバフローがヤバいこともみんなわかってる。 なのにどうしてなくならないんだろう。 まずいコードの典型例くらいは大抵の人は見てるのに…説明のために単純化された コードと,現実のコードではややこしさが相当違うから仕方ないのかな。 まあ,IRCでXSSの指摘をもらったことがある私にそんなことを言う資格が あるとも思わないのだけど。
余談:昼休みに河合さんとちょこっと統計の話。 SPSSはめちゃくちゃ高いから実物見たことがないというと, PSPP というのがある,ということを教えてもらった。 GUIを除けば言語はSPSSに近いものらしい。 これは気になるな。