Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening Road to Taiwan(2019 HITCON CMT)

E0951f27f426611977e6e2c751b9aebc?s=47 delphinz
October 15, 2019
Technology
0
410

MINI Hardening Road to Taiwan(2019 HITCON CMT)

E0951f27f426611977e6e2c751b9aebc?s=128

delphinz

October 15, 2019
Tweet

More Decks by delphinz

See All by delphinz
【セキュリティ競技】MINI Hardeningのご紹介 / MINI Hardneing4 introduction
E0951f27f426611977e6e2c751b9aebc?s=48 delphinz
0
260
20200209MINI_INFRA
E0951f27f426611977e6e2c751b9aebc?s=48 delphinz
1
320
WAFのルールである OWASP ModSecurity Core Rule Set (CRS)を 使った可視化までの苦労話/20180921_owasp_connect_crs
E0951f27f426611977e6e2c751b9aebc?s=48 delphinz
2
1.2k
淡路島で開催されたhardening2017fesにプレミアムサポートメンバーで参加してきたよ。/20171202-go-for-hardening2017fes
E0951f27f426611977e6e2c751b9aebc?s=48 delphinz
0
99

Other Decks in Technology

See All in Technology
#awsbasics [LT] サーバレスECにおける Step Functions の使い方
74cec195bfb6cb5165256d88cb7fcf0f?s=48 miu_crescent
0
810
品質特性のすすめ
95d0e8ddf4a989d9734c25bd6b1af295?s=48 honamin09
0
150
DeepDive into Modern Development with AWS
F42c7349266a0ebefe5b67b7f43c565d?s=48 mokocm
1
290
バッファープールが大きいMySQL v5.7でDROP DATABASEが詰まった原因と対策 / Causes and Remedies for DROP DATABASE Stuck in MySQL v5.7 with Large Buffer Pool
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
4
640
モノリシックサービスのレガシーインフラをEKSに移行するにあたり、他マイクロサービスと共通化した部分としなかった部分
8847086af047cbf895ab3277b59529fe?s=48 andpad
0
160
psql, my favorite tool!
18749909c147a9ee98f6b112911943cc?s=48 nuko_yokohama
1
170
金融領域のマルチプロダクトを効率よく開発・運用するためのシステム基盤と組織設計について / 2022-07-28-multi-product-platform
0251532f4fb413ea1a026efe6eb16b87?s=48 stajima
0
130
SBOMを利用したソフトウェアサプライチェーンの保護
45b7a05a1056c10d70bc4caa77d1b2c9?s=48 masahiro331
0
140
疎ベクトル検索と密ベクトル検索: 第68回 Machine Learning 15minutes! Broadcast
B773daeab435018f26c39bb4e964804a?s=48 keyakkie
1
240
CityGMLとFBXの連携で地理空間のエンタメ化
A3990cfe49309642cb8d1f50b617c141?s=48 soh_mitian
0
330
データをコネコネ!メール配信用データ生成の仕組み
Cdb7fe48c050935995f8a6a58a5ceba9?s=48 kappezoro
0
110
Trusted Web プロトタイプ
525442fc70ca92f82ae503f826956137?s=48 finengine
0
310

Featured

See All Featured
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Code Review Best Practice
3d6ace9554821d552146413bcdf874f6?s=48 trishagee
44
9.7k
Practical Orchestrator
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
178
8.7k
Statistics for Hackers
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
782
210k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
21
1.4k
How New CSS Is Changing Everything About Graphic Design on the Web
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
213
11k
Building Better People: How to give real-time feedback that sticks.
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
344
17k
Imperfection Machines: The Place of Print at Facebook
7c8469ee8c9e594c65c59b919626c08d?s=48 scottboms
253
12k
The MySQL Ecosystem @ GitHub 2015
Be9caeb9d4ef9944d151af909063ed6e?s=48 samlambert
239
11k
What’s in a name? Adding method to the madness
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
11
1.6k
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k
Infographics Made Easy
282d599b414022eba5096510f675b6e2?s=48 chrislema
233
17k

Transcript

  1. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening  Road

    to Taiwan(完全版) 2019/10/15(Tue) Masahiro Tabata @ MINI Hardening Leader

  2. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 自己紹介 仕事:システムコンサルタント セキュリティはたしなみ程度

    MINI Hardening運営リーダー 趣味:Terraform、ansible栽培

  3. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Hardening Projectとは Hardening

    Projectとは日本発のセキュリティ技術競技とセキュ リティ施策の発表を行うイベントです。その目的は最高の「守 る」技術を持つトップエンジニアを発掘・顕彰するものです。 2014年に始まり、現在まで毎年春秋の2回開催されています。 このイベントはwasforumが開催しています。 https://wasforum.jp/hardening-project/

  4. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningとは •

    Hardening Project から派生したミニプロジェクト–2014年 の Hardening 10 Evolutions イベントにおいて、アンカン ファレンスの成果として発足 • カジュアルにHardeningを体験–MINI Hardeningでは半日 程度でHardening競技や振り返りまで体験できる • 初心者向けイベントです! コンセプト: 「セキュリティインシデントを カジュアルに体験!」

  5. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening開催履歴 現在までに15回開催しました。

    (以下は直近バージョン3の開催内容) No 日時 開催場所 特別講演協力 #3.3 2019/06/30 株式会社FOLIO 鈴木研吾さん@ken5scal #3.2 2019/04/21 株式会社メルカリ 伊藤 彰嗣さん@springmoon6 #3.1 2018/09/01 OWASP名古屋 長谷川 達也さん(サイランス) #3.0 2018/09/01 ヤフー株式会社 大角 祐介さん@ozuma 詳細はConnpassページをご覧ください。 https://minihardening.connpass.com/

  6. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 次の開催地は

  7. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ※ロゴデザインは日本が誇るハイパークソコラクリエイター @tigerszk 氏の提供になります

  8. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening 海外初開催!

    台湾最大のサイバーセキュリティの カンファレンス「HITCON CMT」の最終日8/24にMINI Hardening を開催してきました!

  9. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ひとあし先にCOSCUPで講演 COSCUP(台湾のオープンソースカンファレンス)で8/18発表し てきました。

    セキュア旅団vol.5「時計仕掛けのセキュリティ」 - 6. 僕が旅に出る理由 by @ym405nm https://secure-brigade.booth.pm/items/1575413

  10. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 詳しくはMBSDブログでね♪ HITCON CMTの大事なことはすべてここに書いてあります。

    MINI Hardening with HITCON イベントレポート(MBSDブログ) https://www.mbsd.jp/blog/20190902.html

  11. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening解説

  12. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 1/2 •

    「株式会社SORAMINE」では、社長が突然「これからは仮想 通貨だ」と宣言し、構築・運用する方針を掲げた • 社長は、突然自分で本などの文献を参考に仮想通貨システ ムを構築してしまった • 「社長、ソラコイン作ったってよ!」 と宣言したシステムの運 用を引き受けるところから始まります。 これからは 仮想通貨だ

  13. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 2/2 •

    競技開始よりインターネットに公開されるため、安定してシス テムが稼働できるようサポートする必要がある。 • あなた達の役割は、超エース級のサポートエンジニアとして、 安全に安定してこの仮想通貨システムを稼働させる必要が ある。

  14. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 代表取締役紹介 社長メッセージ これからは仮想通貨の時代だ!私

    が作ったシステムだから大丈夫! とにかく継続稼働で売上に貢献して くれたまえ。もちろん安全であるよう にしてくれ。評判や信頼を落とすよ うなことはしないでくれよ。何か困っ たことがあれば遠慮なく連絡してい いぞ。 代表取締役・社長

  15. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. タイムテーブル Time Contents

    09:00- Registration for MINI Hardening 09:30-10:00 Opening, Briefing for Competition 10:00-12:00 Competition 12:00-13:00 Lunch Break 13:00-14:00 Competition 14:00-14:30 Break 14:30-16:00 Softening(Feedback), Wrap-up Awards ceremony 16:00 Closing of MINI Hardening

  16. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. • システムはすべてAWS上に構築されている。 •

    踏み台にはSSH接続(鍵認証でアクセス) • 各チームのサブネットアドレスがローカル環境となります システム構成図(1)

  17. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. システム構成図(2) Linux Windows

    MySQL #The competition environment is a closed network. It is not a real internet space. PHP mailer browser Node ETHREUM Internet Career page nginx Word Press WP plugin (Crypt Currecy) Drupal Corporate page Tomcat Inquiry form

  18. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 運営メンバー:SORAMAME 5 (プロジェクトのスタッフメンバー

    もう5にんでもないし、まだ黒くない?) セキュキャン準備で おやすみ @ken5scal

  19. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Masahiro Tabata -

    MINI Hardening team leader Yoshihiro Kyan - Engineer of the cryptocurrency system Isao Takaesu - Engineer of scoreboard & crawler Yoshinori Matsumoto - Red team Shun Suzaki - Red team Daiki Ichinose - Red team Special thanks! 【台湾総監督】 Takeya Yamazaki @xxildxxind 運営メンバー:役割分担

  20. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:Score Board •

    各チームの得点をリアルタイムで表示します。

  21. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:こうげき傍観くん(只是看) • 言葉が通じなくても状況がわかるよう可視化しました。

    一定時間で採点対象のトップページを巡回します。

  22. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:おせっかいなアドバイス • ニコニコ動画風なコメントでパスワードを暴露したり、

    親切なハッカーがwallコマンドで話かけてきます。

  23. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ここがスゴイよ! HITCON CMT!

  24. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 開催前のSNSでの競技開催の告知、Day1キーノートでの紹 介、1番大きなハンズオン会場の提供や会場準備などすごいお 手伝いいただきました。

    (公式アルバムにも載りました) スタッフのホスピタリティがスゴイ!

  25. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 日本と比較してセキュリティコミュニティの年齢層が若く、また女 性比率も高めでした。そして、カンファレンスだけでなく、各種コ ンテストやハンズオンの参加や企業ブースへの質問もすごく積

    極的でした。(日本人も20名以上はいました) MINI Hardeningには飛び入りを含め21名の方に参加いただき ました。! 参加者の熱意がスゴイ!

  26. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 台湾の人たちはとても親日で日本人登壇者には日→台湾語へ の通訳があったり、会場には日本語話せますマークのスタッフ の方がいます。

    過去に脆弱性検査ツールvulsの発表もありました。 (なお基本のコミュニケーションは英語になります) 日本人にもスゴイ優しい!

  27. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 朝イチの軽食から始まり、ランチボックス、昼過ぎのおやつタイ ムまで何かしらずっと台湾の美味しいものが提供されていまし た!

    ランチやおやつがスゴイ!

  28. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 心配だった台風も直撃を免れ、無事に開催できました! 台風がスゴイ!(LT再掲)

  29. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏トーーーク 3連発

  30. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話1:世界展開への目覚め!? MINI Hardeningのバージョン3始動のタイミングでHardening

    Projectの岡田ボスに相談したところ、「世界を視野にいれて活 動していくのがいいよ!」というアドバイスをいただいていまし た。 もしかしたらこの時からすでに世界に向けて開催したいなあ、と 心のどこかで考えていたのかも!?

  31. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話2:トントン拍子に開催が決定 (4/9)そろそろ東京じゃなくて海外とかどうすか?台湾にツテが。 HITCONの裏番組的な感じでどうですかね?(おそるおそる)

    上野さんに相談してみましょうか。 いいね! (4/10)現地のハッカーコミュニティのメンバー紹介するわ それならHITCONの中で開催しましょう! ファッッ!!! SU(Sen Ueno) おそるべし!!! こうして構想開始24時間で台湾開催が決定しました!

  32. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話3:驚異のホスピタリティ(再) Day2の競技終了後、すでにホテルに戻っていたメンバーの元 に駆けつけたのは・・・主催のPo-Shen氏!

    「ぜひアフターパーティにみんなで来てくれ、絶対だぞ!あ、こ れおみやげね♪(意訳)」 なんとこれを伝えるためだけに本人自ら私たちのホテルに呼び にきていただきました!

  33. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な成長を促すことが 証明されている!

    ”Practice makes perfect” “When the road gets tough, the tough get going.” And we will be 超级赛亚人s. 「ストレッチな環境が人を育てる」@及川卓也 http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016

  34. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. NEXT

  35. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 12/14(土) 大阪開催 決定!

    台湾HITCON開催のコンテンツがOWASP Kansaiコラボ企画と して帰ってくる! バージョン3最終戦にふさわしい内容をただいま準備中。 続報はConnpassページのメンバー登録しておまちください。 https://minihardening.connpass.com/

  36. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningはさらなる進化を TO

    BE ANNOUNCED 競技時間を長くしてチャンピオンシップみたいなのやりたいね。 環境展開のコードもオープンソースにして誰でも競技開催できるようにした いね。 オレオレHardeningしてる人たちで座談会やりたいね。 ネットワーク構築、仮想通貨プログラミング、攻撃のための脆弱性実装と か複数トラックでハンズオンやりたいね。

  37. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 来年はあなたもぜひHITCON CMTヘ行こう! ご清聴ありがとうございました

    ※(左)LT後、会場のみなさんに感謝を伝える松本さん&私  (右)HITCONパネルの前で記念撮影するメンバー