概要
タイトル:第48回: インフラ+セキュリティ=楽しい?、今さら聞けない?!脆弱性(ぜいじゃくせい)、検知システムを利用した守り方
会場:ハロー会議室新宿B+C
ネタ:
インフラ+セキュリティ=楽しい? 前半はDeNAで創業期からのインフラエンジニアである私がどのような経験をしてきたか、 そしてインフラエンジニアからセキュリティの領域に足を突っ込んだ経緯について紹介します。 後半はセキュリティの仕事ってどうなの?アツいの?技術的な話も交えつつインフラ目線で紹介します。 DeNAインフラエンジニア:ゲイバさん[twitter: @barshige] 今さら聞けない?!脆弱性(ぜいじゃくせい) DeNA 舟久保貴彦さん 検知システムを利用した守り方 DeNA 吉川正晃さん
内容
:#インフラ+セキュリティ=楽しい?
:#今さら聞けない?!脆弱性(ぜいじゃくせい)
:#バッファオーバフロー(スタックオーバーフローの発生プロセス)
1インフラ+セキュリティ=楽しい?
- DeNA初期時代からの変遷、社内での開発コンテンツの変化とサーバの増加、それに伴うインフラ面での対応
- インフラ面での対応は、DB解析(必要なのはSQL構文?ボリュームの縮小?通信レベルでの改善?)によるパフォーマンス改善
- 3.11時の苦労話と本場LAで開催されたDEFCONの話
2今さら聞けない?!脆弱性(ぜいじゃくせい) - 入社2年目ということで、入社してからのサーバ構築と開発したプログラムの説明
3検知システムを利用した守り方 - C言語を使ったバッファオーバフロー発生時の不正プログラム実行手法の解説
簡単なC言語プログラムでのスタックオーバフローの発生する仕組みと、それを使った不正プログラム実行の仕組み - アセンブラコードレベルでの解説
- NOPスライド、ROP、DEP、ASLRなどをちょっと
まとめ
セキュリティにおいても、インフラの知識は重要というかそのあたりのレベルアップも自分には必要だと感じた。
また、ローレイヤーでの理解を深めることは根本的な知識の理解につながるんだと感じました