BEGIN:VCALENDAR VERSION:2.0 PRODID:-//https://techplay.jp//JP CALSCALE:GREGORIAN METHOD:PUBLISH X-WR-CALDESC:Becks JP May 2024 X-WR-CALNAME:Becks JP May 2024 X-WR-TIMEZONE:Asia/Tokyo BEGIN:VTIMEZONE TZID:Asia/Tokyo BEGIN:STANDARD DTSTART:19700101T000000 TZOFFSETFROM:+0900 TZOFFSETTO:+0900 TZNAME:JST END:STANDARD END:VTIMEZONE BEGIN:VEVENT UID:944261@techplay.jp SUMMARY:Becks JP May 2024 DTSTART;TZID=Asia/Tokyo:20240523T190000 DTEND;TZID=Asia/Tokyo:20240523T213000 DTSTAMP:20260406T045210Z CREATED:20240508T140739Z DESCRIPTION:イベント詳細はこちら\nhttps://techplay.jp/event/94426 1?utm_medium=referral&utm_source=ics&utm_campaign=ics\n\nEnglish follows after Japanese\nBECKS が日本に戻ってきました! BECKS は Beer と Hacks を表す、サイバーセキュリティに興味のあるハ ッカー、エンジニア、リサーチャーのためのカジュア ルなミートアップです。\nテクニカルなトークと共に 交流しましょう!\n(※講演は英語で行われますが、日本 語への同時通訳が提供されます)\n開催場所\n東京ガー デンテラス紀尾井町 紀尾井タワー 11F BASE 11 (Googpe Maps)\ n開催日時\n2024/05/23 19:00-21:30\nスケジュール\n\n18:50 オー プン\n19:00-19:20 ウェルカムスピーチ\n19:20-20:00 Session 1\n2 0:00-20:10 小休憩\n20:10-20:50 Session 2\n20:50-21:30 ソーシャル イベント\n\n講演概要\nExploit the smart speaker at Pwn2Own (Nguye n Quoc Trung)\nAbstract\nこの講演では、私と私のチームメイ トが Sonos Era 100 スマートスピーカーにおいて認証なし の RCE(リモートコード実行)をどのように達成したか について話します。この講演では、以下のトピックを 取り上げます:\n\nなぜこのターゲットを選んだのか? \nSMB プロトコル\nlibsmb2 ライブラリの動作\n使用後解放 バグ\n情報漏洩\nデモビデオ\n\nProfile\n私は 2022 年半ば から LINE(VN AST)でセキュリティエンジニアとして働 いています。主な仕事は、ウェブアプリとモバイルア プリのコードレビューを行うことです。暇な時には、 研究やエクスプロイトを行うことが好きです。\nAutomati c prompt refinement for vulnerability analysis (Kim Sung Woo)\nAbstract\n 本研究では、オープンソースの大規模言語モデル(LLMs )を使用して、膨大な量のソースコード内の脆弱性を 効果的に検出するアプローチを紹介します。この研究 は、追加のモデルトレーニングやファインチューニン グを必要とせず、プロンプトの最適化を通じてLLMsの脆 弱性分析能力を向上させる方法を提案します。LLMsの使 用により、コードの複雑性や開発環境の多様性に制約 されることなく、脆弱性分析において一貫したパフォ ーマンスを実現します。このアイデアを検証するため に、限定されたタイプの脆弱性(DOMベースのXSS)につ いて実験を行い、高い精度(90%以上)とリコール(90 %以上)を達成しました。この方法論を通じて、9つの 新しいDOMベースのXSS脆弱性を発見し報告しました。ま た、このアイデアを複数の脆弱性タイプに一般化する ために必要な追加研究と制約についても共有します。\ n主要ポイント:\n\nプロジェクトでLLMsを効率的に使用 するための基本的なハードウェア要件\nコード分析に 特化したLLMsと一般的な自然言語処理を中心としたLLMs の違い\n脆弱性検出のための効果的なプロンプトエン ジニアリング技術\n限定されたデータセットで生成さ れたプロンプトのスケーラビリティを評価する方法論\ n企業内のソースコード分析のためのオープンソースLLM sの実世界での応用事例\n\nProfile\n私は、会社内のシス テムおよびサービスのアーキテクチャと設計に関する セキュリティコンサルティングを行い、最新技術の研 究を通じて製品のセキュリティを向上させることに貢 献しています。AIを使用してセキュリティ専門家が行 う必要があるタスクを自動化することに興呀がありま す。\n\nBECKS is back in Japan! BECKS stands for Beer and Hacks\, and l ike its name it's a casual meet-up between hackers / engineers / research ers interested in cybersecurity. Check out technical talks and meet peopl e from security field for fun and profit!\n(Talks are spoken in English. Simultaneous Japanese interpretation is available too.) \nLocation\nKioi Tower 11F BASE 11 (1-3 Kioicho\, Chiyoda-ku\, Tokyo\, Japan) (Googpe Maps )\nDate\n2024/05/23 19:00-21:30\nSchedule\n\n18:50 Open\n19:00-19:20 Welc oming words & grab some beer and dine\n19:20-20:00 Session 1\n20:00-20:10 Short break\n20:10-20:50 Session 2\n20:50-21:30 Social event\n\nTalk det ails\nExploit the smart speaker at Pwn2Own (Nguyen Quoc Trung)\nAbstract\ nIn this talk I’m going to talk about how I and my teammate got an unau thenticated RCE on the Sonos Era 100 smart speaker. In this talk\, I will cover the following topics:\n\nWhy we chose this target?\nThe SMB protoc ol\nHow libsmb2 library works\nThe use-after-free bug\nThe information le ak\nDemo video\n\nProfile\nI worked as a security engineer at LINE (VN AS T) since mid 2022. My main work is to do code review web app and mobile a pp. I like to research/exploit things when I’m free.\nAutomatic prompt refinement for vulnerability analysis (Kim Sung Woo)\nAbstract\nWe introd uce an approach to effectively detect vulnerabilities in vast amounts of source code using open-source large language models (LLMs). This study pr oposes a method to enhance the vulnerability analysis capability of LLMs without requiring additional model training or fine-tuning\, but merely t hrough prompt optimization. The use of LLMs allows for consistent perform ance in vulnerability analysis without being constrained by the complexit y of code or the diversity of the development environment. To validate th e idea\, we conducted experiments on a limited type of vulnerability (DOM Based XSS) and achieved high precision (over 90%) and recall (over 90%). Through this methodology\, we discovered and reported 9 new DOM Based XS S vulnerabilities. We also share the necessary additional research and co nstraints to generalize this idea to multiple types of vulnerabilities.\n Key Points:\n\nBasic hardware requirements for efficient use of LLMs in p rojects\nDifferences between LLMs specialized in code analysis and those centered on general natural language processing\nEffective prompt enginee ring techniques for vulnerability detection\nMethodology for evaluating t he scalability of prompts generated with limited datasets\nReal-world app lication cases of open-source LLMs for internal source code analysis in c orporations\n\nProfile\nI conduct security consulting on the architecture and design of systems and services within the company and contribute to enhancing product security by researching the latest technologies. I am i nterested in automating the tasks that security experts need to perform u sing AI. LOCATION:BASE 11 東京都千代田区紀尾井町1-3 東京ガーデンテ ラス紀尾井町 紀尾井タワー11F URL:https://techplay.jp/event/944261?utm_medium=referral&utm_source=ics&utm _campaign=ics END:VEVENT END:VCALENDAR