Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening Road to Taiwan(2019 HITCON CMT)

E0951f27f426611977e6e2c751b9aebc?s=47 delphinz
October 15, 2019

MINI Hardening Road to Taiwan(2019 HITCON CMT)

E0951f27f426611977e6e2c751b9aebc?s=128

delphinz

October 15, 2019
Tweet

More Decks by delphinz

Other Decks in Technology

Transcript

  1. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening  Road

    to Taiwan(完全版) 2019/10/15(Tue) Masahiro Tabata @ MINI Hardening Leader
  2. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 自己紹介 仕事:システムコンサルタント セキュリティはたしなみ程度

    MINI Hardening運営リーダー 趣味:Terraform、ansible栽培
  3. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Hardening Projectとは Hardening

    Projectとは日本発のセキュリティ技術競技とセキュ リティ施策の発表を行うイベントです。その目的は最高の「守 る」技術を持つトップエンジニアを発掘・顕彰するものです。 2014年に始まり、現在まで毎年春秋の2回開催されています。 このイベントはwasforumが開催しています。 https://wasforum.jp/hardening-project/
  4. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningとは •

    Hardening Project から派生したミニプロジェクト–2014年 の Hardening 10 Evolutions イベントにおいて、アンカン ファレンスの成果として発足 • カジュアルにHardeningを体験–MINI Hardeningでは半日 程度でHardening競技や振り返りまで体験できる • 初心者向けイベントです! コンセプト: 「セキュリティインシデントを カジュアルに体験!」
  5. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening開催履歴 現在までに15回開催しました。

    (以下は直近バージョン3の開催内容) No 日時 開催場所 特別講演協力 #3.3 2019/06/30 株式会社FOLIO 鈴木研吾さん@ken5scal #3.2 2019/04/21 株式会社メルカリ 伊藤 彰嗣さん@springmoon6 #3.1 2018/09/01 OWASP名古屋 長谷川 達也さん(サイランス) #3.0 2018/09/01 ヤフー株式会社 大角 祐介さん@ozuma 詳細はConnpassページをご覧ください。 https://minihardening.connpass.com/
  6. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 次の開催地は

  7. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ※ロゴデザインは日本が誇るハイパークソコラクリエイター @tigerszk 氏の提供になります

  8. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening 海外初開催!

    台湾最大のサイバーセキュリティの カンファレンス「HITCON CMT」の最終日8/24にMINI Hardening を開催してきました!
  9. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ひとあし先にCOSCUPで講演 COSCUP(台湾のオープンソースカンファレンス)で8/18発表し てきました。

    セキュア旅団vol.5「時計仕掛けのセキュリティ」 - 6. 僕が旅に出る理由 by @ym405nm https://secure-brigade.booth.pm/items/1575413
  10. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 詳しくはMBSDブログでね♪ HITCON CMTの大事なことはすべてここに書いてあります。

    MINI Hardening with HITCON イベントレポート(MBSDブログ) https://www.mbsd.jp/blog/20190902.html
  11. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening解説

  12. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 1/2 •

    「株式会社SORAMINE」では、社長が突然「これからは仮想 通貨だ」と宣言し、構築・運用する方針を掲げた • 社長は、突然自分で本などの文献を参考に仮想通貨システ ムを構築してしまった • 「社長、ソラコイン作ったってよ!」 と宣言したシステムの運 用を引き受けるところから始まります。 これからは 仮想通貨だ
  13. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 2/2 •

    競技開始よりインターネットに公開されるため、安定してシス テムが稼働できるようサポートする必要がある。 • あなた達の役割は、超エース級のサポートエンジニアとして、 安全に安定してこの仮想通貨システムを稼働させる必要が ある。
  14. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 代表取締役紹介 社長メッセージ これからは仮想通貨の時代だ!私

    が作ったシステムだから大丈夫! とにかく継続稼働で売上に貢献して くれたまえ。もちろん安全であるよう にしてくれ。評判や信頼を落とすよ うなことはしないでくれよ。何か困っ たことがあれば遠慮なく連絡してい いぞ。 代表取締役・社長
  15. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. タイムテーブル Time Contents

    09:00- Registration for MINI Hardening 09:30-10:00 Opening, Briefing for Competition 10:00-12:00 Competition 12:00-13:00 Lunch Break 13:00-14:00 Competition 14:00-14:30 Break 14:30-16:00 Softening(Feedback), Wrap-up Awards ceremony 16:00 Closing of MINI Hardening
  16. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. • システムはすべてAWS上に構築されている。 •

    踏み台にはSSH接続(鍵認証でアクセス) • 各チームのサブネットアドレスがローカル環境となります システム構成図(1)
  17. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. システム構成図(2) Linux Windows

    MySQL #The competition environment is a closed network. It is not a real internet space. PHP mailer browser Node ETHREUM Internet Career page nginx Word Press WP plugin (Crypt Currecy) Drupal Corporate page Tomcat Inquiry form
  18. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 運営メンバー:SORAMAME 5 (プロジェクトのスタッフメンバー

    もう5にんでもないし、まだ黒くない?) セキュキャン準備で おやすみ @ken5scal
  19. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Masahiro Tabata -

    MINI Hardening team leader Yoshihiro Kyan - Engineer of the cryptocurrency system Isao Takaesu - Engineer of scoreboard & crawler Yoshinori Matsumoto - Red team Shun Suzaki - Red team Daiki Ichinose - Red team Special thanks! 【台湾総監督】 Takeya Yamazaki @xxildxxind 運営メンバー:役割分担
  20. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:Score Board •

    各チームの得点をリアルタイムで表示します。
  21. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:こうげき傍観くん(只是看) • 言葉が通じなくても状況がわかるよう可視化しました。

    一定時間で採点対象のトップページを巡回します。
  22. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:おせっかいなアドバイス • ニコニコ動画風なコメントでパスワードを暴露したり、

    親切なハッカーがwallコマンドで話かけてきます。
  23. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ここがスゴイよ! HITCON CMT!

  24. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 開催前のSNSでの競技開催の告知、Day1キーノートでの紹 介、1番大きなハンズオン会場の提供や会場準備などすごいお 手伝いいただきました。

    (公式アルバムにも載りました) スタッフのホスピタリティがスゴイ!
  25. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 日本と比較してセキュリティコミュニティの年齢層が若く、また女 性比率も高めでした。そして、カンファレンスだけでなく、各種コ ンテストやハンズオンの参加や企業ブースへの質問もすごく積

    極的でした。(日本人も20名以上はいました) MINI Hardeningには飛び入りを含め21名の方に参加いただき ました。! 参加者の熱意がスゴイ!
  26. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 台湾の人たちはとても親日で日本人登壇者には日→台湾語へ の通訳があったり、会場には日本語話せますマークのスタッフ の方がいます。

    過去に脆弱性検査ツールvulsの発表もありました。 (なお基本のコミュニケーションは英語になります) 日本人にもスゴイ優しい!
  27. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 朝イチの軽食から始まり、ランチボックス、昼過ぎのおやつタイ ムまで何かしらずっと台湾の美味しいものが提供されていまし た!

    ランチやおやつがスゴイ!
  28. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 心配だった台風も直撃を免れ、無事に開催できました! 台風がスゴイ!(LT再掲)

  29. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏トーーーク 3連発

  30. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話1:世界展開への目覚め!? MINI Hardeningのバージョン3始動のタイミングでHardening

    Projectの岡田ボスに相談したところ、「世界を視野にいれて活 動していくのがいいよ!」というアドバイスをいただいていまし た。 もしかしたらこの時からすでに世界に向けて開催したいなあ、と 心のどこかで考えていたのかも!?
  31. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話2:トントン拍子に開催が決定 (4/9)そろそろ東京じゃなくて海外とかどうすか?台湾にツテが。 HITCONの裏番組的な感じでどうですかね?(おそるおそる)

    上野さんに相談してみましょうか。 いいね! (4/10)現地のハッカーコミュニティのメンバー紹介するわ それならHITCONの中で開催しましょう! ファッッ!!! SU(Sen Ueno) おそるべし!!! こうして構想開始24時間で台湾開催が決定しました!
  32. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話3:驚異のホスピタリティ(再) Day2の競技終了後、すでにホテルに戻っていたメンバーの元 に駆けつけたのは・・・主催のPo-Shen氏!

    「ぜひアフターパーティにみんなで来てくれ、絶対だぞ!あ、こ れおみやげね♪(意訳)」 なんとこれを伝えるためだけに本人自ら私たちのホテルに呼び にきていただきました!
  33. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な成長を促すことが 証明されている!

    ”Practice makes perfect” “When the road gets tough, the tough get going.” And we will be 超级赛亚人s. 「ストレッチな環境が人を育てる」@及川卓也 http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
  34. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. NEXT

  35. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 12/14(土) 大阪開催 決定!

    台湾HITCON開催のコンテンツがOWASP Kansaiコラボ企画と して帰ってくる! バージョン3最終戦にふさわしい内容をただいま準備中。 続報はConnpassページのメンバー登録しておまちください。 https://minihardening.connpass.com/
  36. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningはさらなる進化を TO

    BE ANNOUNCED 競技時間を長くしてチャンピオンシップみたいなのやりたいね。 環境展開のコードもオープンソースにして誰でも競技開催できるようにした いね。 オレオレHardeningしてる人たちで座談会やりたいね。 ネットワーク構築、仮想通貨プログラミング、攻撃のための脆弱性実装と か複数トラックでハンズオンやりたいね。
  37. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 来年はあなたもぜひHITCON CMTヘ行こう! ご清聴ありがとうございました

    ※(左)LT後、会場のみなさんに感謝を伝える松本さん&私  (右)HITCONパネルの前で記念撮影するメンバー