セキュリティ・ネクストキャンプ

# セキュリティ・ネクストキャンプ ## 目次 - [N1](#N1) - [N4](#N4) - [N5](#N5) - [N6](#N6) - [N7](#N7) - [N10](#N10) - [N11](#N11) - [N12](#N12) - [N13](#N13) ``` ■セキュリティ・ネクストキャンプ2022 オンライン「ネクストキャンプ」 2022年8月8日(月)19:30～20:30 [N1] Linux Networking Programmability入門 (Zoom) ID:955 1791 1091 pass:779492 2022年8月9日(火)08:30～10:30 [N2] CanSatをはじめよう (Zoom) ID:995 4215 8314 pass:718442 2022年8月9日(火)10:30～12:30 [N3] TDD+モブプログラミング (Zoom) ID:927 6725 3648 pass:442466 2022年8月9日(火)13:30～15:30 [N4] プログラミング言語を自作しよう (Zoom) ID:976 3066 4738 pass:270176 2022年8月9日(火)15:30～17:30 [N5] バイナリ生物学入門 (Zoom) ID:997 8232 3445 pass:707053 2022年8月9日(火)18:30～20:30 [N6] ソーシャルとマンガを活用した持続可能なセキュリティ啓発 (Zoom) ID:928 0224 0929 pass:708620 2022年8月10日(水)08:30～10:30 [N7] RF(電波)攻防戦演習 (Zoom) ID:929 2436 6535 pass:559264 2022年8月10日(水)10:30～12:30 [N8] CanSatをはじめよう (Zoom) ID:983 6056 8505 pass:668434 2022年8月10日(水)18:30～20:30 [N9] バイナリ生物学入門 (Zoom) ID:960 1256 6903 pass:949868 2022年8月11日(木)08:30～10:30 [N10] RF(電波)攻防戦演習 (Zoom) ID:964 0457 8160 pass:797625 2022年8月11日(木)10:30～12:30 [N11] CanSatをはじめよう (Zoom) ID:973 7891 9295 pass:985022 2022年8月11日(木)13:30～15:30 [N12] プログラミング言語を自作しよう (Zoom) ID:981 8199 4304 pass:256680 2022年8月11日(木)15:30～17:30 [N13] ソーシャルとマンガを活用した持続可能なセキュリティ啓発 (Zoom) ID:967 3075 7896 pass:792358 2022年8月11日(木)19:30～20:30 [N14] Linux Networking Programmability入門 (Zoom) ID:991 5568 9804 pass:142404 2022年8月12日(金)08:30～10:30 [N15] TDD+モブプログラミング (Zoom) ID:994 6489 0146 pass:975105 ``` ## N1 - genev はvxlanとほぼ一緒 ## N4 ### 選ばれたプログラミング言語 - 作るもの(PHP) - OS - 実行環境 - 時代(本が売れたとか) ### 自作する意義 - 好きなプログラミング言語 - 実行環境 - 何を作るか - 誰にとっても，自分に最適な言語を開発する意義はある ### 夢がある日本のプログラミング言語 - Ruby - Gauche - HSP - 日本人は細部に拘り，カイゼンを美徳とし，勤勉に開発dけいる - 言語設計のバランス感覚に優れている - 向いている ### 言語開発 - それ自体はすばらしい体験 - 自分おために，勉強のために，自己満足のために， - 他人が使わない事を気にしない ### 車輪の再発明 - 物事の仕組みの理解 - 既存ライブラリを使う場合も，一歩深い活用 - トラブル時に自分で解決 - 優れたプログラマになるには，知識だけでなく経験 - プログラマが知るべき97のこと ### 有名プログラマでも - hashやmapを知らなかった - 変数はFORで実装していた - 自作プログラミング言語や自作OSの開発うには，プログラマレベルのレベルアップ ### どうすれば誰かに使ってもらえるか - 教科書 - 本の出版 - Webコラムの継続執筆 - これまでに得た知見の共有 ### 人気言語の作り方 - 時代の先取り ### 近道 - 特定の分野を開拓し，分野のデフォルトに - オンリーワン戦略 - アプリを開発し，それを自動化する言語 - ExcelのVBA - WebブラウザのJavaScript - VimのVim Script，Emacs Lisp，秀丸マクロ - 特定用途に特化した言語を作り，環境を提供する - 組み込み - Lua言語 - マイクラ，Apache，Vim，VLCプレイヤー - プログラミング入門用 - Scratch - Webアプリの需要拡大時にWeb開発に特化 - PHP - 日本語というニッチな分野に特化 - なでしこ ### 基本を大切に - マニュアル - デモ - 基本ライブラリ - 開発支援ツール ### ライバル言語を見つけrう - Java vs C# - Common Lisp vs Scheme - Python vs Ruby - Shift vs Kotlin - Go vs Rust - VB vs Delpho ### なでしこのライバル - なでしこ vs 日本語BASIC，ぴゅう太，マインド，プロデル，ドリトル，言霊 - メリットは？ - より日本語らしく - 事務処理 - オープンソース - いろんな環境 ### マイナー言語 - 言語がマイナーでも劣っていることではない ### Haxeに学ぶ言語の拡張戦略 - Flashに影響を受けた - ゲーム開発に特化 - ゲームプラットフォームごとのVMや言語変換をサポート - Flashにフォーカスしていたが，後にHTML5やモバイル機器にシフト ### MML - ABC記法とも - 音楽をプログラミングをする専用言語 ### オルゴールも - パンチカードを使っていた - 音楽はプログラミングと相性が良い ### GML - 図形描画専用言語 ### MSX BASIC - MMLもGMLの原型の組み込みコマンドがあった ### ENIC - 世界初のスパコン - ダイヤルとケーブルのソースコード - ### その後 - パンチカード ### WhiteSpace - スペースタブ改行で - 目に見えない ### BlainFuck - チューリング完全 ### ビジュアル言語Scratch ### PowerAutomate ### 企画書 - どんな言語 - コンパイル型 - `#define`のようなマクロを持つ - `{}`に当たる部分は`BEGIN END`かその類似 - 文字列型を持つ - シェルスクリプトのように書きやすい - catでファイルを開くとか？ -　誰に - 自分用 - 革新的，分野 - マクロを持つ - CUIアプリで使える - 戦略 - シェルスクリプトのように事務処理とかできる ### 言語実行の手順 - 字句解析 - 文字列をトークン分割(意味のある最小単位) - 構文解析(Parse) - トークンを1つずつ読んでいって，構文木を作成 - プログラムを実行する順番 - 実行(コンパイル) ### 最近は，コンパイル型もインタプリタも区別が少なくなっている ### altJS - 最終的にJSに変換される - CoffeScriptやType Script ### 実用的にはWebAssemblyに ### 気に入らないなら作る - 最後にJSを出力すれば良い． - 言語→言語はそれほど難しくない - altCなど ## N5 - cell...セル命令 - code...コード化合物 - ここからとってきて食べる - data...不使用 - samples...サンプルスクリプト - bin/dsy-name...名前付け ## N6 ### 偽造メール・偽造サイト - メールアドレス宛 - Eメール，キャリアメール，スケジューラ - 電番宛 - ショートメッセージ - アカウント宛 - SMSのDN - Discord・Slackのメッセージ - SMSのメッセージ - 埋め込みリンク ### 対策 - 体制，ルール - 対策委員会の策定 - インシデント発生時のルール規定 - セキュリティ教育 - 自己啓発 ### 利用者への注意喚起 - セキュリテイ教育を促すような組織にいない - セキュリティに関する情報収集の手段をしらない - セキュリティリテラシー向上の機会がいない - 情報発信 - メール，SNS - 文字だけだと認識されにくい - 目立つもの「アイキャッチ」 - 漫画，イラスト ### 情報発信課題 - 単発 - 一度切りでは埋もれてしまう - 発信間隔が長い - 一度きりと変らない - 見てもらえない - 見逃されている - 認識されていない - 発信先の人に興味が穴井 - 興味を惹かせられない - 見てもらえても... - 継続的な発信，継続的な課題 - 持続可能なセキュリティ啓発 ### 情報発信 - 何を - どうやって ### - セキュリティ・キャンプ参加者はセキュリティへの意識は高い - 普通の人はどうでしょうか - 詐欺被害は減らない - 新たな手口が増える - QRコード(PayPay)などアナログの手口も - 高齢化により今まで大丈夫だった人も ### 企業の非セキュリティ - 定期的なセキュリティ - 通り一遍になりがち - セキュリティ教育をしたことが重要 - 教材のアップデート程度 - インシデント事例のぼかし - 定期的なセキュリティ状況の確認 - 業務PCのチェック(ウイルス，メール) - 可搬型記憶デバイスの管理(USBメモリ，DVDメディア) - 物理ポートを塞いでいることも - モバイル機器(スマホ，タブレット) - 定期的な注意喚起，意識向上になっているか？ - ### 個人への働きかけ - 継続して意思できない - 誰かが定期的に喚起 - 人間がやるべきか - 機械的な仕組みでやるか(ロボット) - 同じ文面が定期的に来ても反応するのは最初だけ - 見えているのに見えない - ゲシュタルト崩壊の一種 - 刺激に反応しない - 危機への対応が遅くなっている - インシデントへの対応が遅れる - Emotetとか？ - 刺激を新たにリフレッシュさせる方法は？ ### 啓発の対象 - ターゲット，伝えたいものによって変わる - 一般の人:ソーシャルメディア - 企業内:+Teams，Google - NW部門:+Discord,Slack ### 漫画やイラスト - 漫画やイラスト，写真・動画の効果 - 事前学習の資料を参照 - 文字のみ情報より目立つ - 底上げを図る - 目を引く要素 - 目出つ要素 - トリック，ショッキング，あれ？って言う感じ - はてなと思わせる要素 - 画像の一部だけを見せて興味を引く - 連載の要素を継続 ### セキュリティ啓発の場合 - 絵や写真だけでは表現しにくい - 啓発内容にってキーワードは違う - 説明が長いものを如何に短くするか - 一発でわかるアイキャッチ - 現場猫 - 危機感だけではなく，安心させるアイキャッチ - 正しい道を示す ### 効果的な演出 -　Twitterでは - 縦長の図版を使うと真ん中の部分が表示 - タイムラインで - インパクトのある動画だけ載せて，もとの動画に誘導する - 掴みを良くする - 話を短くまとめるときは，掴んで誘導する ### 何が大変か - 発信するアイデアを考える - 基本 - 何を伝えるのか - どうやって情報発信を継続的にやるか，の前に - 一般的な人からわかり易い例 - どうやって見てもらうようにするか - キャッチーさを盛り込むのは前提 - 発信の仕方に工夫が必要 - 繰り返しメッセージを流す - 素材をどうやって準備するか - 1つでは足りないか - 同じものを何度も流す以下 - 継続的にできるか ### 素材作成について - 素材の準備 - 個々をどのように作るかは昨年の講義資料 - 毎日は難しい - 100ワニ - 予め作っておく - 目的は啓発なので，毎回全部が新作でなくても良い - 目に触れる機会を増やす - 例えば10個つくるには - 全てオリジナルで10個 - ベースを1個作ってバリエーションを増やす - 展開を変える - RTしてくれるかも？？ - オチを変える - サムネイルの見える場所を変える ### 動画系の難しさ - YoutubeやTikTok - 動画自体は難しくはない - Twitterに動画を投稿するのもあり - 本気でやるなら - 実際のインシデント要素を見せる？ - 危ない - 材料が揃えにくい - セキュリティ上隠す部分の加工が手間 - 効果があるが真面目にやると手間が大変 - 観てもらえるかのハードル - お笑い芸人とか，知名度があっても観てもらえない - SNSからの誘導 - タイトル詐欺を活用 - 観る側の拘束時間と対応する価値があるか？ - ゆっくり動画のように字幕だけ飛ばし飛ばし - Space ### 自分なりの案(課題) (1) どうやって継続的に情報発信を行うか(自分自身にさせるか) ある程度(1週間程)毎に，締切を設ける．その締切は，暇なときに設定することで無理なく発信する． SNSで情報発信したこと自体を発信する．手段と目的を入れ替え，発信を自動化することを目的とする． (2) 効果的な表現アイディアの案(人目を引く物) ### 啓発のゴールとは - 効果測定がしにくい - 理解したか - Twitterでは一定数以上のエンゲージメント - 「効果」とはフィッシングならば，うっかりクリックが減ったか - 悪魔の証明 - 主観的，定性的 - ある程度の期間でアンケートとか ## N7 - BlackHat USA(ラスベガス) - ハッカーの出来ること自慢大会 - 入場料40万円程 - 電波は国によって管理されており，勝手に出しては行けない - 同軸ケーブルを使う - 電波は第3者にも届くめ，傍受は用意である - 戦時中の日本軍の艦隊への指令は，アメリカ軍に傍受されていた，など - 傍受への対策は歴史が長い - エニグマ - 日常茶飯事 - 攻撃手法 - 妨害(Jamming) - 改竄(Tampering) - なりすまし(Poofing) - RTL - チップの名前 - 蟹 - rtl-tcpはRTL-SDRに対応したもの - チャット - 英国は国営放送を受信しているかどうか捜査する車が走っているとの都市伝説 - [SDR（ソフトウエアラジオ）が面白い](https://www.metabanium.com/electric-work/rtl-sdr/) - [RTL - What does RTL stand for? The Free Dictionary](https://acronyms.thefreedictionary.com/RTL) - [Raspberry PiのGPIOピン配置を確認する - BioErrorLog Tech Blog](https://www.bioerrorlog.work/entry/raspberry-pi-pinout) - ラズパイのピンアサインを確認すると、GPIO 2,3 が、I2C としても使えるピンとなっています。それぞれSDA(データ)とSCL(クロック)信号です - SDR - 各国にある機器に接続できる？ß - 16番目のレジスタ4bitを切り替えることで，位相を180度ずらし，切り替える - stanag 4284ß - RFハッキング - 如何に情報の学生に，このレイヤーや内容の興味をもたせるのか． ## N10 - stanag4285 はHFで運用 - 短波帯HFでは民間軍用色々流れている - SDR#とSpyServerがあれば，家にいながらにして世界の波形を受信できる ## N11 - オフライン時の関数 ## N12 - オープンソースもお金ではなく，感謝やバグ報告の反応でモチベーションを保つ． ## N13 - 留意すべきこと - 受け取る側が継続的に感じる - 情報発信を継続的に行うための契機 - 動機づけができないのか - 行動原理パターン(拒否系は含まない) - 褒賞 - アルバイトをすることで自分に給料(利益)が直接はいる - 承認 - バズる→欲求 - インプレッション，発信したことの評価が高い，いいね - 強制 - 給料払わないという脅し - 習慣 - 依存 - ツイ廃 - 誘導 - ハッシュタグ - 流行りに載る -　間接 -　間接的に仕向ける -　ナッジ -　行動科学の概念の1つ -　個人の行動と意思決定に働きかける -　陽性強化 -　間接示唆 -　禁止ではなく，行う側へのインテンシブ -　あからさまなメリットではない -　小便器にはられたターゲット -　習慣的な行動はなかなか変えられない -　習慣づいてない行動は身につかない -　LINEには反応する -　Twitterでは投稿しない -　自分の行動への動機づけに応用できないのか -　映画のフィルムに飲み物をワンカットずつ入れると，飲みたくなる -　サブリミナル効果 -　一種の人権侵害など，賛否有り -　情報発信の習慣化 -　目的はセキュリティの注意喚起，啓発 -　手段はSNSによる情報発信 -　どうやって習慣的に行うか -　人によって違うはず -　状況，考え方 -　特定の良い仕方はない -　課題1 -　コーヒーを買うとセキュリティ関係の情報をもらえる -　コーヒー屋によって情報を変える -　エレベータにポスター貼る -　ポスターの張替えタイミング -　エレベータの↑↓に混ぜて情報発信 - 自分で連載する．下書きを貯めない - 途中(1/2)でも投稿する - 発信を自動化する - ものを作って発信 - 過程を小出しにする - Gnuのデバック募集のための現状リソース公開 - セキュリティのキャラクタ - セキュリティ大会 - 大喜利で失敗談とか - サラリーマン川柳 - 基礎英語を習慣にしている人ととか - 発信自体を習慣にする - 定期的な発信 - Twitterの予約投稿 - アラート・カレンダ - 周期は - 毎回同じ時間のほうが目に付きやすい - アクティブユーザの多い時間 - エンゲージメントの多い時間 - フォロワーの活動時間 - 同じ属性ならば，自分の利用する時間 - 漫画家なら深夜(夜型) - 汎用的な素材を用意 - LINEスタンプのような - 少しずつ一部だけ変える - 言葉，オチ - 負担なく - 情報とあまり関係のない写真 - 見た人が余り反応しない - おすすめしない - ネットミーム(著作権危ない) - 猫画像 - モチベーション向上 - うなく行かないとやめてちまいがち -　ちょっとしたバズリ(承認) -　インプレッションをあげるための試行錯誤 -　行動をパターン化 -　発信できたらおやつ，など -　タイマーを書けて行動を促す -　苦痛にならないように -　効果のある情報発信 -　目的はセキュリティの注意喚起，啓発 -　手段はSNS -　どうやれば，効果的に注意喚起できるか？認識できいるか -　人によって違うはず -　効果的な表現アイディア -　講師 -　最近話題のVR(アンチチート)の世界と絡める -　食堂とかの紙コップとかに書く - ダジャレ - 尼崎のけん - Twtterでは図版は不必要 - instagramは最初の1枚 - ヒットしそうな話題に寄せる - コバンザメ - トレンドの利用 - ハッシュタグ - TLでは届かない人に情報を受信してもらえる - 素材がすぐに揃わなければテキスト - 手間のかからない素材を事前に用意 - リアルタイムなので速さと目利きが重要 - どうトレンドに結びつけるのか - まとめ - 実践したあとの効果測定 - Twiiterはアナリティクスの数値を刑事で記録してグラフに - 持続可能な，が重要 - 継続できているか - 手法を見直したか - その後も継続できているか - 自分から，しようと思っている場合 - 継続できなかった・しなかった場合の振り返り - 理由は - できなかったので見直す余地はあるはず - 試行と割り切る - いいねとかで再度やる気になれば良い． ## N - BGP - ipv4 only - MultiProtocol BGP -　マルチになった -　ipv4だけどL3VPN,L2VPNなどの複数プロトコル(ipv4,unicat , ...,ipv6 multicast ) -　4と6を同じプロトコルで動かす -　マルチ -　4と4++ -　`update` -　`open messaage`