11月に読んだ本

いつもの。

 

失敗から学ぶユーザインタフェース 世界はBADUIであふれている

BADUI、つまり使いにくいモノの紹介本。日本人が書いてて、日本の事例多めなのが普通にありがたい。

思ってたよりはWebの事例は薄めだったが、実際にあった事例であるあるなものも多くて参考になる

 

失敗から学ぶユーザインタフェース 世界はBADUI(バッド・ユーアイ)であふれている

失敗から学ぶユーザインタフェース 世界はBADUI(バッド・ユーアイ)であふれている

 

 

ロゴDAYS: 甲谷一のデザインと思考

ロゴデザイナーがどういう意図でロゴを作ったのかと、ロゴを納品するまでの制作過程。

ロゴを発注したいと思ってる人は事前知識としてかなり役立つかと。

 

ロゴDAYS: 甲谷一のデザインと思考

ロゴDAYS: 甲谷一のデザインと思考

 

 

 

高知能者のコミュニケーショントラブル: IQが20違うと会話が通じない

身近に高知能な人がそこそこいるなら、この本読んでおくと直接的な物言いとか移り気にに見える振る舞いとか気にしなくなるかも。

あと私に会話レベルあわせてくれる高知能者の人ってかなり優しかったんだなってなった

 

 

 

圧力鍋の便利帳-同じ素材、同じ手順で和・洋・中3つのレシピ

圧力鍋を入手したので。圧力鍋の利点と、下準備→鍋で加圧→圧力下がるまで放置という流れを把握できたので、これからいろいろ使い道出来そう

 

圧力鍋の便利帳-同じ素材、同じ手順で和・洋・中3つのレシピ

圧力鍋の便利帳-同じ素材、同じ手順で和・洋・中3つのレシピ

 

 

 

「境界」から考える住宅―空間のつなぎ方を読み解く

デザイナーズハウスの設計を伝統的な建築手法の視点から関連性を見ていく本。読み物としておもしろい

「境界」から考える住宅―空間のつなぎ方を読み解く

「境界」から考える住宅―空間のつなぎ方を読み解く

 

 

 

 

快適で住みやすい家のしくみ図鑑

住居の設計の本。家の中にもパブリックスペースとプライベートスペースがある、という考え方は役に立ちそう

快適で住みやすい家のしくみ図鑑

快適で住みやすい家のしくみ図鑑

 

 

 

ART SCIENCE IS. アートサイエンスが導く世界の変容

アートサイエンスの作品紹介本。ちょっとよくわかんなかった。

 

ART SCIENCE IS. アートサイエンスが導く世界の変容

ART SCIENCE IS. アートサイエンスが導く世界の変容

 

 

 

 

脳の中の身体地図―ボディ・マップのおかげで、たいていのことがうまくいくわけ

ペンフィールドのホムンクルスと脳の可塑性について。

知能は体を必要とする、失った左腕の感覚が下あごに移る事例などわりと興味深い話がたくさん

 

脳の中の身体地図―ボディ・マップのおかげで、たいていのことがうまくいくわけ

脳の中の身体地図―ボディ・マップのおかげで、たいていのことがうまくいくわけ

  • 作者: サンドラブレイクスリー,マシューブレイクスリー,Sandra Blakeslee,Matthew Blakeslee,小松淳子
  • 出版社/メーカー: インターシフト
  • 発売日: 2009/04/01
  • メディア: 単行本
  • 購入: 12人 クリック: 62回
  • この商品を含むブログ (14件) を見る
 

 

 

過去読んだ本 

blog.alfebelow.com 

blog.alfebelow.com

 

 

 

CODE BLUE 2018 レポ #codeblue_jp

CODE BLUE 2018 というセキュリティに関するカンファレンスに行ってきたのでレポート

codeblue.jp

 

1階でブース出展してて、ブース内で説明員しつつ

人員がだぶついてきたら、たまに公演を聴きに行くというスタイル

 

日本のカンファレンスだけども、講演者は英語なことが多め。

ただ同時通訳者がいて、ラジオみたいな機械のイヤホンで聞くことができる。

 

以下、聴いた講演のざっくりまとめ

 

基調講演:Cyber Arms Race

セキュリティエンジニアがこれからどういう役割を担っていくのかって話

 

お金を盗むならたくさんお金あるとこがいいが、銀行はセキュリティがかなり万全になってきた。
というわけで最近の標的は仮想通貨や新興fintec。銀行より楽で額は同じ。

北朝鮮とかは国単位でお金盗もうとしてるよね。

 

スパイ活動はオンラインに移ったのではない、オンラインに広がったのだ(エモい)

 

水陸空に加えてオンラインが加わったということ。
例えばロシア対ウクライナでサイバー兵器が使われてる。
効果的で安いし、誰が使ったかわからないのがサイバー兵器の素晴らしい点

 

一度攻撃が成功すると、森林火災のように感染が広がって4000台が一瞬で死ぬ
リモート接続できないので、サーバのあるとこに行かないといけなくなる 

時間はかかるわ人員確保できないわで大変。

ウクライナの企業だけでなく、ウクライナと取引をしてた企業にまで被害
ウクライナでビジネスをするとサイバー攻撃されるぞ、という攻撃者からのメッセージ。攻撃が大成功してますよね。 

 

企業がハッキングされたことの気づくのに平均200日かかる。

最近の狙いはIoT機器。

冷蔵庫がハッキングされても別に問題ないわ、と思ってる人も多そうだが、攻撃者は別に冷蔵庫の中身に興味があるわけではなく、そこからネットワーク全体への攻撃起点として使う。

給湯器に組み込まれたコンピュータをDDos攻撃のメンバーに加えたりする。

ALL COMPANIES ARE SOFTWARE COMPANES だ

 

そんなエモエモな感じの講演。Twitter見てる感じ、刺さったセキュリティエンジニアのひと多めだった気がする。

 

 

Windowsの不正ログインを発見する

JPCERTの人による講演

年間2万のインシデント報告を受けているが、いろんなサーバとかに感染がひろがってるので原因究明が大変

Active Directoryのイベントログを分析して、侵入されたホストを特定していこう。

 

で、いざ調査となったときに
・Pass the Ticketではwinにログオンのログが残らない
・イベントビューアでインシデント調査は大変
・イベントログのデータサイズ多いので検証大変
・SIEMでは統計は見やすいが不正なログは見つけにくい


不正なwinのログオンを見つけるには
1ホスト1アカウントなら複数ホストへのアクセスがあったときに、視覚化しているとすぐわかる。
でも、実際やってみると可視化もごっちゃごちゃしてる。
可視化はサポートにはなるが、完璧なソリューションではない。


疑わしいものを自動でリストアップする仕組み→自動分析させたい。
Lateral Movementの共通点は2つ。
・コマンドを使う。ドメイン管理者をつかう
・同じアカウントでログオンを繰り返す
共通点を自動分析に適用してみよう


たくさんのホストにログインしている→あやしい→ネットワーク理論の中心性を使えば抽出できるのでは
Windowsログオンは3つの状態を持つので、隠れマルコフモデルをつかって状態遷移のエラーを把握する


そうしてできたのがLogonTracer。使ってみてね。

github.com

 

 

GLitch: WebGLを使って携帯電話を攻撃する

WebGlでメモリアクセスしまくってビット反転をできないかという内容

JavaScriptはモバイルで動く。

WebGLならGPUを動かせるので、新たなAttackVectorになりうるぞ!という注意喚起の講演。

 

契約に関わるセキュリティの罪の十戒

契約書にセキュリティの条項がないと、後々つらいよって話。


セキュリティには開発の時から考えておく。
セキュリティはITビジネスの本質に関わってくる。


多くの契約書には〝カスタマーのセキュリティ方針に準拠する〟と書いてるが、実際の運用は適当。

セキュリティポリシーのバージョンや該当する箇所が収められている場所も特定されていないことがほとんど。

なんなら、相手のポリシーをだれも読んでないことすら多々ある。

 

そして、セキュリティポリシーを更新したときどうするのかを前もって決めておく。

でないとポリシーがかわるたびに説明・交渉しにいかないといけない。ほんと大変。

説明や交渉、アップデートしたときにかかるコストが誰にかかるのかを考えないといけない。

GDPR PCI-DSS とか に準拠する、と書いてるときも多々あるが、こういった基準が適用するスコープ・範囲を定義しておく必要があるのと、基準が更新されたときにどうするのか、更新にかかる労力も誰が負担するのか考えておかないといけない。


盛り込まないでほしい言葉 → ベスト・プラクティス


誰が・どうやって・どのくらいの頻度で、ということを侵入テストや監査に対して決めて置いて、きちんと境界線を決めておかないといけない。

監査の頻度や作業量、超過時間のコストをだれが負担するのか。
本番に対して侵入テストしてもいいのか、devに対してだけなのか。
侵入テストでやっていいことやってはダメなこと。


例えば、本番に侵入テストをしてはいけないが侵入テストをしてしまったみたいなケースが過去あって、
で、脆弱性を衝いて侵入できてしまった。こういうときどうなるのか。


必ず問題は起きる。

どうせエスカレーションのときに関わることになるんだし、契約書作成の段階から関わろう。契約書のテンプレートを作る段階から関わっていこう。

いい契約書はデリバリする人が関わって作られた契約書。

 

サイバー防御に活用できるOSINTの手法と実践

公開情報を見て脆弱性対策するにはどうすれば?という講演

OSINT = 公開情報をもとに作られる読み手に合わせたインテリジェンス

広く浅く情報を収集して、(ソースが公開情報なので)コミュニティに反映できるのがOSINT

 

なんてFaxだ?!

Fax機能付き複合機の脆弱性をついて、つながってるWindowsの「電卓」アプリをリモートから起動するまでのデモ。

CVE-2018-5924、CVE-2018-5925 についての詳細な説明。

 

Microsoftのコンタクトページやトランプ大統領のページにもFax番号書いてる。

なんで2018年にもなって、みんなFax使ってるの?


Faxを使わないなら電話回線から外しておく。
そして、Faxは独立したネットワークに置いておく。

 

感想

f:id:alfe1025:20181101120827j:plain

今回 CODE BLUE初参加だったんですが、やばい人がやばいほどいる、みたいな語彙力皆無な感想しか出てきませんでした。

コードをバイナリから読んで、バイナリ見るだけでファイルの拡張子把握できて、メモリ領域に何が入ってるか把握してて、GPUやIoTといった発展途中のものからFaxみたいな枯れ切った技術にまで脆弱性を見つけてエクスプロイトする。そんなひとがごろごろいるわけですよ。なにそれこわい。

冗談抜きで、参加していたエンジニアが力を合わせたら一国のインフラ滅ぶと思う

 

WebGLすらThreejs経由な、アセンブリも大学でちょっと勉強しただけ、というアマチュアエンジニアなので、もうすこし低レイヤーについても学んでおかないとなぁって思いました。まる。

 
blog.alfebelow.com

10月に読んだ本

いつもの。

全米は、泣かない。 伝え方のプロたちに聞いた刺さる言葉のつくり方

全米は、泣かない。

全米は、泣かない。

 

広告で賞を取った芸人がさらなるスキルアップを図るため広告業界の凄腕たちにインタビューをするという内容。

広告をかじった人がインタビュアーだからこそ聞き出せたコピーライターのノウハウがたくさん。

普通にいい本なのに、タイトルと表紙で損してる気がする。

インタビューしたコピーライターに作ってもらえなかったの・・・?って気持ち

 

 

細菌が人をつくる

細菌が人をつくる (TEDブックス)

細菌が人をつくる (TEDブックス)

  • 作者: ロブ・ナイト,ブレンダン・ビューラー,山田拓司,東京工業大学山田研究室
  • 出版社/メーカー: 朝日出版社
  • 発売日: 2018/06/02
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログ (1件) を見る
 

TED Booksの存在をこの本で知った。

人と常在菌について。最近話題の細菌叢とかマイクロバイオームとか。

右手と左手で済んでる常在菌が違うとか腸内細菌による不安症状の改善とか、試すならランダム化プラセボ対照実験を行ってるプロバイオティクスを行ってほしい、とか。

常在菌の基礎を知れる良書。最近関係を学ぶ初めの一冊としてオススメ。

 

ベースになってる動画はこれっぽい

www.ted.com

 

知りたいタイポグラフィデザイン

知りたいタイポグラフィデザイン (知りたいデザインシリーズ)

知りたいタイポグラフィデザイン (知りたいデザインシリーズ)

 

タイポグラフィについての本。

フォントやジャンプ率みたいな話から、見出しデザインのアイデアや目を惹く文字デザインまで。

デザイン資料として役立ちそう。

 

新・日本のお金持ち研究

新・日本のお金持ち研究 (日経ビジネス人文庫)

新・日本のお金持ち研究 (日経ビジネス人文庫)

 

 
日本の金持ちの特徴をデータ等を示して分析する本。

どのあたりに住んでるのかとか学歴はどのあたりなのかとか。

『となりの億万長者』のローカライズバージョン?みたいな感じ。

 

 

食育のウソとホント 捏造される「和食の伝統」

食育のウソとホント 捏造される「和食の伝統」

食育のウソとホント 捏造される「和食の伝統」

 

 
昔は○○だった、××は伝統食、という話を大正時代の料理月刊誌や戦前の雑誌をもとにバッタバッタと切っていく料理エッセイ

 

浅利妙峰が伝えるはじめての糀料理

浅利妙峰が伝えるはじめての糀料理

浅利妙峰が伝えるはじめての糀料理

 

糀のレシピと糀についての知識。

ごはんに大匙一杯の塩糀を入れて炊くと傷みにくいとか、ひき肉に塩糀いれて日持ちさせるとか

もっと雑に麹菌つかいたいと思っていたときに読んで、結構参考になった。

 

手づくりインテリア D.I.Y.PROJECT!! 

手づくりインテリア D.I.Y.PROJECT!!

手づくりインテリア D.I.Y.PROJECT!!

 

DIYインテリアの本。

前半が作例。後半がステップバイステップで工具の使い方に始まり、箱や棚の作り方、ドアの張り替え方など具体的な手法。

DIYやってみたいという人におススメできる本

 

情報爆発-初期近代ヨーロッパの情報管理術

情報爆発-初期近代ヨーロッパの情報管理術 (単行本)

情報爆発-初期近代ヨーロッパの情報管理術 (単行本)

 

印刷が発明されたとき人々がどのように情報管理を行っていったかについて。

情報過負荷といった語が過去にも発生していたこと、なじみのある情報整理術は過去の情報爆発に対応するために発明されていたことがわかる

 

前に読んだ本

blog.alfebelow.com

 

blog.alfebelow.com