2023年度のSecHack365に採択されスタートした
ぼやぼやしていたら夜中にこんな通知が...
2023年度の SecHack365 に参加することになりました。関係者の皆さんよろしくお願いいたします #sechack365 pic.twitter.com/iAEcu3PBqc
— 👏asu_ para👏 (@ultrasupara) 2023年5月24日
感想:ほー、まじすか...
思索駆動コースというところに参加します。コース概要?
#SecHack365 思索駆動コース、スポークスパーソン(下っ端)のかしわざきです。思索駆動は「ものづくりは目的ではなく、思索するためにものづくりするのだ。思索することが目的で、ものづくりは手段。」という頭のおかしいコースです。思索駆動に来る人もまた例外なく頭おか (ry https://t.co/05qRyRTdpv
— Hiroki Kashiwazaki (@reo_kashiwazaki) 2023年4月18日
どんな仕掛けがあるんでしょうね?笑
ちなみに倍率が高かったらしいです。ほんまか?
#SecHack365 合格者への連絡が行われたようです。不合格者の皆様へは(思索駆動では特に)コメントをたっぷり記載してご連絡をと思っておりますので、もうちょっとだけお待ちください。今年は例年にない応募数で激戦でした。不合格は悔しいですけど、ぜひその気持ちを大切にして。本気で応募した証です。
— Hiroki Kashiwazaki (@reo_kashiwazaki) 2023年5月24日
慣れないツールになれるところから今はやっています。
2023年度 #SecHack365 のトレーニー40名が決定いたしました。6月1日からプログラム開始、この1年一緒に頑張りましょう👍
— SecHack365 (@SecHack365) 2023年6月6日
たくさんご応募いだたきましたが、残念ながら受講に至らなかった方も、次回のチャレンジを待っています❗️
レポートでも活動をお伝えしていきますので、お楽しみに😊
自己紹介見てると、フルスクラッチ自作OSだとか自作CPUだとかみんなすげーなーという感じ。40人しかいない中に自分が入っているのが不思議ですが、それはそれで精一杯やっていこうと思います。
思索駆動の会話は楽しそうです。僕は今のところ遠くから眺めているだけですが、出所をひそかに待っています。自分の自己紹介に言及してくれる人もいて嬉しい。
さて作るものですが、開発で使っているツールの欠点を補うツールを作成しようと考えています。これからまたちょいちょいブログ出していくと思います。
これからどうなっていくのかなあ...
2023年の目標
てんわやんやで2022も終わろうとしていますので来年の抱負を思いつく限り書いていこうともいます。
1. 技術発信
tech blogのくせにそれをサボっていてはよくないですね。来年は今年よりは比較的時間もありそうなのでできるといいなと思います。手始めにその月に読んだ技術記事のまとめを公開していくことを検討しています。これで最低1つは記事の生成が担保されますね。
2. Go
それっぽく書けるようになる。2023年はよりサーバーサイド専門よりになると思います。設計やインフラの経験も++していこう。
3. 脆弱性報告
見つけたら報告する。より高度なものができるとなおいいね。
4. 深層学習の研究
卒論は早めに終わらせる。あと1年で去るので定期的に研究室に通ってコミュニケーションをとる。国際会議に行きたい。
5. 進路の意思決定
ちゃんと見学に行って受けるかどうか決める。受験する場合は数学をやり直す、研究計画書を練る。
6. 旅行
もう学生少ないぞ。やり残した旅はやっておこう
7. 技術イベント
いけそうなイベントは突っ込んでいこう。特に技術系学生同士の交流は貴重です。
8. ひとりアドベントカレンダー
あっためてきたネタがありますのでやります。年始から準備をちょいちょいやる。
9. 中国語
孔子学院の講座を受験してさらに研究室で喋りまくる
今のところ思いつくのはこれくらいですが今後追加されるかもしれません。それでは2023年もよろしくお願いします。
キーボードの紹介 (一人暮らし Advent Calendar 2022)
さて、一人暮らしアドカレ19日目です。私の番が回ってきました。
何を書こうか迷いましたが、最近キーボードを買って人生良くなったのでそれについて書こうと思いました。ガジェットアドカレがあればと思い探しましたが見つからなかったですね。また、このアドカレもフォロワーさんが書いていたのを発見してのものなのでこの記事はそれを見つけることができなかったら生まれなかったかもしれません。感謝
さて、キーボードのこだわりはありますか?自分も昔はなかったのですが、コンピュータと向き合う時間が長くなるにつれてデスク周りにあるすべてのものが格別で快適なものでありたいという願望が芽生えてきてからより好みが出てきたかもしれません。
何事もですがキーボードも沼れば非常に奥が深いもので「軸」「形」「ブランド」「キーキャップ」などいろいろなパラメタとかフェチがあります。私自身も好みはありますが、それぞれ違うところもいいなとも思ったり。しかし、自作キーボードをしたり、独自の配列を組んだり、左右が分離したキーボードを使っているわけではないので、あくまで初心者向けに書くものと思ってくださればと思います。使ったことがあるものや所持しているものについてかくつもりです。
前書きが長くなったのでそろそろ本題に入りましょう。まずは所持しているものについて3つ紹介します。
1.AIR75 WIRELESS MECHANICAL KEYBOARD
写真の二枚は届いた時の箱ですね。最近買ったのでうれしくてはこの写真も撮影していました。
そして見た目はこんなかんじ
。。。。かわいいーーーーーーーーーー
このkeyboard半年くらい前からめっちゃほしくてついに手に入れたって感じです。最近、Amazonのセールがあったと思うのですがその時に5000円くらい安くなっていたので買いました。5000円安くなるキーボード!?!!!!って思われたかもしれませんがそうです。原価は20000円くらいと思います。人に言ったら正気じゃないみたいな顔されましたけど、前述のようにコンピュータに向き合う時間が長い自分にはちょうどいいです。むしろ安いくらいかもしれないです。長く大切に使っていきたいと思います。
このkeyboardをいつ知ったのかですが「 How to build a Gmail-like UI with React Native [at a Zen temple Koshoji]」という動画で出会いました。音や映像がやたら作りこまれている動画です。クリエーターとしての完成度とクリエイティブの高さがすごいです。京都の寺でプログラミングをするという斬新な世界観に響くAirシリーズのキーボードの音がよくて絶対買うぞーって思いました。ビジュアルもかわいいですしね。
機能性にも優れていてワイヤレスと有線モード両方対応しているのは言うまでもないことですが、WinモードとMacモードに分かれているのは面白いところだと思いました。基本的にはMacに合わせて使うのが使いやすいです。
最後に音がどんな感じかの動画を置いておきます。
2. HyperX Alloy Origins HX-KB6RDX-JP
こいつのUS配列です。なぜか日本語配列のものしかリンク見つからんかった。なぜ
これは完全にゲーム用のキーボードっすね。正直、仕事したりするときは裏の虹がうざい。しかも、このkeyboardは黒軸なので重いっすね。ゲームとかの趣味で使うにはいいと思います。自分自身これを1年くらい使っていましたがゲーム以外での生産性下がってますね。しかし、その事実に気が付くまで1年くらいかかりました。(あほなのか)
もらいものですし、特にこれ以上述べることもないので動画をおいて終わりにします。
3.KEYCRAFTS 87(現在非売品)
むかしは「謎の海外ブランド」なんて言われたこともあったブランドのキーボードです。日本に上陸したのは2014年ですがもうは販売停止している幻のキーボードです。Backspaceの打ち心地が最高な赤軸のキーボードです。プログラムを買いたり、レポートタイピングに最適なキーボードだと感じていて、デスクトップで利用しています。
自分はUS配列のキーボードが好きですね。前のやつもUS配列ですが、ながくUSを使っているからか、USじゃないとしっくりこなくなりました。今でも、学校のキーボードを使ったり、MACの純正のMagicキーボードを使うときは日本語配列なのでたまに使いにくいと感じるときがあります。
最高のキーボードなので音を聞いてもらいましょう!
まとめ
自分のキーボードを見つけて生活をよくしていきましょう。これに終わりはありませんね!
自分が触れてきた技術とか
まあ、色々やってみたわけです。中途半端野郎じゃないかと思うかもだけどそんなにマイナーでもないと思うんだ。今日はざっくりと触れてきたこととかについて書こうと思う。全部じゃないよ。
17歳くらいの時にrubyに触れたのが最初だったと思う。その時は訳もわからず写経してたし楽しいとかはわかんなかった。でも情報系に進むきっかけになったからこれはでかい経験だったんだよな。
数年してまた技術やる波が戻ってきた。最初はRSA暗号をpythonで実装するっていうのをやったと思う。スクリプト言語の良さを知って入力すればでてくるので計算とか扱うにはいいね!って思った。それでスクリプトをかく何かみたいなやつに魅力を覚えた。
最初はだからcryptoでCTF入門したんだけどだんだん難しい問題が解けなくなってきて嫌になった時にpwnの存在を先輩のおかげで知った。ゲームみたいで楽しいですよ的な言葉に惹かれてやったけど最初は知識がなくて「なんだこれ。よくわからないな」という感覚になってた。これも途中でやめるのかなっておもてたけど学校でコンピュータアーキテクチャとかをかなりちゃんとやったのもあって「知識を持っとくだけじゃ意味ないし活かしたいな」みたいなことを思ったのが実は1番のモチベ。やっていくうちになんとなくコツがわかってきてkusanokさんの本とか読んで典型的な攻略方法が洗練されているジャンルだなくらいは思えるようになった。revはよくわかんないんだけど分野的には近いからpwn同様、ビギナーズ数問くらいは解けるかもしれないし解けないかもしれないって感じ。初心者本数冊は完走してます。
ここでseccamp2021を受講したんだけどここで大きく方針が変わってきた。「Exploit系のことができればいいやー」って思ってDトラックとかCトラックとかを受講したんだけどなかなかリアルワールドの解析ってしんどいんだなみたいな感覚を持った。Ghidraとかその他ツール群を本格的に使いこなせたらめちゃくちゃ楽しいのかなーって指をくわえてたのを覚えてる。今ではCTFで簡易的な利用はするくらいには使えますけど当時初心者だったもんで...。(昔、5年前くらいのCTF本や参考解説ではIDAを使うのが主流だったと思うけど今はGhidraだよなあ) Dトラックでやった機械学習系もそれそのものに対する内容よりかは機械学習を実際に使って何かする(例:XSSの摘発とか) の方が面白いだろうっていう結論になった。
ここでわかったこととしては「自分は脅威解析は遊びでCTFの問題を解くくらいには好きかもだけど仕事にするのは違うな」ということでした。終了後、俺って何になろうかみたいなことを考えていたら秋にmini campというのがあってそこで「コンテナ」の内容のことをやったんですよね。
これすごいよくてこれでwebサービスの基盤とかに興味を持てた。資料めちゃくちゃ充実してたし今でも読んでます。実際、このレイヤはちょい低めだしrevとかの分野にも通じるところがある。
これで、webアプリケーションのことに興味持って自分で色々やり始めた。ぶっちゃけ、初手コンテナからwebに興味持つのってかなり珍しいと思う。
まあ、とりあえずもの作ってみましょうかってなって大昔にやってたhtmlとかcssをテンプレートにガシガシ書きながら感覚を戻す?をやったりフロントの機能をjsで書き、バックエンドを最初はFirebaseに丸投げしてたんだけど、過程で徐々にフレームワークの力を借りるべくVueを触ってみたり、バックエンドも一部の機能を切り離していきたいと考えてphpを少し学んでやって移植してみたりしました。今はバックエンド書くならgo言語を主流にしていこうとしています。会社のプロダクトがgoなんでね...。goをやっていき!
これで次はwebセキュリティーまわりが気になり始めました。web(CTF)に関する過去資料がネットにたくさんあるのでいろいろ読んでいっているわけですがいかんせん、攻撃の種類も情報量も多いなあwebはという感じ。CTFの問題もその場でできるかみたいなところが大きいです。これと決まったやりかたがあるのは少なくwebが本格的にできる人は相当な問題数をこなしてるなというのが所感ですが多分当たってます。(他の分野もたくさんといたもん勝ちだけどwebは特にそうだろうという話) CTFにおけるwebに関しては解釈をするのに必要な基本的な知識とよく出題される問題形式の簡単な解法くらいは一通り学習しているつもりです。
しかし、最近のwebサービスというのはモダンな技術、アーキテクチャが使われているため、CTFで出題されるような問題はほとんど対処済みで少し違うことや対策をリアルワールドでは求められます。代表的な例としてはクラウドとかですかね。
実際の開発現場ではどのようになっているかが気になったため、モダンな技術で爆速開発してる会社にjoinしてプロダクトを見させてもらって勉強をしています。まだ、右も左もわかんない感じですけどアプリケーションがたっているAWSやコンテナ周りのこと、プロダクトで使われているgoに対する理解やアーキテクチャやドメインの理解など1つ1つ積み上げてやる。これでホワイトボックスの視点からバグや脆弱性、修正した方がいい項目に対してissue立てたり、小規模な機能の開発にjoinしたりできるようになっていくのが現在の目標です。
長くなった。
紆余曲折マンかもだけどたくさん触れないと自分がやりたいことなんてわかんないと思う。まあ、自分がたくさん触れるきっかけになったのは大学でかなり幅広く知識を入れさせてもらったのもあるな。一般的な学生は知識入れておしまいかもだけど自分は興味出たらちょっとでもいいからいじってみたい人なので、たくさんトリガーになった。今はセキュきゃん受講して1年立ったけど、あそこでやってたことと全く違うことやってるよ。でも寄り道悪くないけどあまり中途半端になりすぎるのもよくないしその辺のバランスって難しいね。
思い出せる限りこんなことやった
FPGAで加算機/減算機作った
学習でうんとかかんとか
スクレイピングでうんとかかんとか
++++++;
色々 すぐには思い出せん
終わり
COVID-19に感染しましたのでアドバイスとか
東京に長期間滞在し、やられました。ついに俺の打席が回ってきました。あるあるのシチュエーションだと思います。
8/15-8/20 人間であふれかえる千代田区とかにいました。感染もらった場所の予測としては、会食を毎日やっていたのが説としては濃厚かな?そこかも知れないしそうじゃないかもしれない。時差別での移動などは心掛けていた。東京に行ったが特に知り合いとエンカするとかはなかった。
なのでかかるときはかかります。どんなに注意していてもかかります。というか生きてたらいつかかかると思います。なので日ごろからの対策に加えてかかったときに耐えれる体力を作っておくことが必要です。勿論、ワクチンを打ったり事前にできそうなことは全部やっておくといいでしょう。
症状
8/20は38.8度くらいの熱で1日倒。夕方に何とか手に入れた解熱剤で熱が下がったので助かりました。このへんまでで苦しい症状の山場は越えた感じかな。8/22くらいから咳がでるようになった。完全に治ったと思ったら8/26くらいに味覚と嗅覚を失いました。28日に味覚が復活。まだ、完全に嗅覚が復活していない。(そろそろ耳鼻科に行ってみようかな
学んだ教訓
[特に重要] とにかく熱が出たら解熱剤をすぐにのめ。体温が高いまま放置しておくことは自殺行為です。この状態の時に手元に解熱剤がなかったのがかなり不安でした。頭痛をとおりこして頭が割れそうな感覚があったのでこのままおかしくなるかと思った。特にこの病気は長期間高熱が続くと脳がやられる感覚があるのでしっかり熱を下げることで正常な思考を取り戻せるようにしてください。
ゼリーなどはとてもいい。初期のとき、とくに飯を食べることができないのでゼリー系が大活躍します。
医療機関がすぐに見つかったらlucky。ある程度自分で薬とかストックしておいたほうがよさそう。とにかく解熱剤だ。
所属している学校や保健所への連絡を忘れない。
まとめ
療養で10日間という貴重な時間が潰れます。感染対策はしっかりしていきましょう。
医療機関はあてになりません。自然治癒できる体力が一番大事かもしれない。
10日間、すべてを全停止することによって見えてくる世界があります。俺はよく日々を生きていた...あなたもよく人生をがんばっています。
駆け出しエンジニアと繋がりたい✨笑
2022/8/15から東京の会社に入社します。
ざっくりいうと事業会社でセキュリティーをします。でも事業会社=プロダクト作ってる会社なんでセキュリティーばっかりってこともないです。開発も見習いします。モダンな技術を使っていて勢いもあっていい環境そうだなって思ってます。そして自分の興味範囲のことができそうでよかった...
どんなことするかは明確に明示はできないですがWebとかインフラまわりに近いかな?しかし、アプリケーションを動かしてるコンテナとかは実際低いレイヤですしそういう部分に対策を仕掛けていくとなると低いレイヤにも知見が必要です。検出とかちょっとしたツールを使っていく事もたくさんあるはずです。Webから低レイヤまでの技術屋さんって横断した幅広い領域の知識が求められますもんね。そういう時代。
学部3年も折り返しの夏休みで残り少ない?学生時代、自分の好きな/やりたい技術とか趣味もやっていきたいと思うわけですが、こういう形で実際に現場で色々やれるのはとても貴重と思うのでちゃんと軸足を置いて、感謝してやっていきたいです。CTFもっとやりたい。高度資格とかも必要に応じてやりたいしなあ。
ということで東京にもいるとおもいます。
また進展があったらブログに書いていきたい。技術のアウトプット量少ないの自覚してるのでその方法も考えていかないとね。それでは。
機械学習システムへの侵入
自分がセキュキャンで学んでいた講師たちが書いているブログがあるのでこれを全部読んだ。
論文紹介と書いてあるところは飛ばしながらまずは「AIセキュリティ超入門」とかいてあるところから順番に読んだ。下が1話のリンク
第1回:イントロダクション – AIをとりまく環境とセキュリティ –
第2回:AIを騙す攻撃 – 敵対的サンプル –
第3回:AIを乗っ取る攻撃 – 学習データ汚染 –
第4回:AIのプライバシー侵害 – メンバーシップ推論 –
第5回:AIの推論ロジックを改ざんする攻撃 – ノード注入 –
第6回:AIシステムへの侵入 – 機械学習フレームワークの悪用 –
第7回:AIの身辺調査 – AIに対するOSINT –
第8回:セキュアなAIを開発するには? – 国内外のガイドライン –
ここからは論文の紹介と将来的によんだほうがいいやつのリンク。
ここまで紹介したが最近僕はこのテーマ、真面目にやってない。やってたのはせいぜい3ヶ月くらいだったかな。離れた理由としては機械学習について扱っているうちに機械学習そのものよりも機械学習をツールとして他の領域の脆弱性探したりの方がいいと思ったから。その意識に変わったきっかけとしては「セキュリティーエンジニアのための機械学習/ AI技術によるセキュリティー対策入門」を読んだからだと思う。
まあ、やってみ?いい本。