MINI Hardening Road to Taiwan(2019 HITCON CMT)

Transcript

1. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening 　Road

   to Taiwan(完全版) 2019/10/15(Tue) Masahiro Tabata @ MINI Hardening Leader

2. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 自己紹介 仕事：システムコンサルタント セキュリティはたしなみ程度

   MINI Hardening運営リーダー 趣味:Terraform、ansible栽培

3. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Hardening Projectとは Hardening

   Projectとは日本発のセキュリティ技術競技とセキュ リティ施策の発表を行うイベントです。その目的は最高の「守 る」技術を持つトップエンジニアを発掘・顕彰するものです。 2014年に始まり、現在まで毎年春秋の２回開催されています。 このイベントはwasforumが開催しています。 https://wasforum.jp/hardening-project/

4. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningとは •

   Hardening Project から派生したミニプロジェクト–2014年 の Hardening 10 Evolutions イベントにおいて、アンカン ファレンスの成果として発足 • カジュアルにHardeningを体験–MINI Hardeningでは半日 程度でHardening競技や振り返りまで体験できる • 初心者向けイベントです！ コンセプト： 「セキュリティインシデントを カジュアルに体験！」

5. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening開催履歴 現在までに15回開催しました。

   （以下は直近バージョン3の開催内容) No 日時 開催場所 特別講演協力 #3.3 2019/06/30 株式会社FOLIO 鈴木研吾さん@ken5scal #3.2 2019/04/21 株式会社メルカリ 伊藤 彰嗣さん@springmoon6 #3.1 2018/09/01 OWASP名古屋 長谷川 達也さん(サイランス) #3.0 2018/09/01 ヤフー株式会社 大角 祐介さん@ozuma 詳細はConnpassページをご覧ください。 https://minihardening.connpass.com/

6. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 次の開催地は

7. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ※ロゴデザインは日本が誇るハイパークソコラクリエイター @tigerszk 氏の提供になります

8. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening 海外初開催！

   台湾最大のサイバーセキュリティの カンファレンス「HITCON CMT」の最終日8/24にMINI Hardening を開催してきました！

9. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ひとあし先にCOSCUPで講演 COSCUP(台湾のオープンソースカンファレンス)で8/18発表し てきました。

   セキュア旅団vol.5「時計仕掛けのセキュリティ」 - 6. 僕が旅に出る理由 by @ym405nm https://secure-brigade.booth.pm/items/1575413

10. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 詳しくはMBSDブログでね♪ HITCON CMTの大事なことはすべてここに書いてあります。

    MINI Hardening with HITCON イベントレポート(MBSDブログ) https://www.mbsd.jp/blog/20190902.html

11. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening解説

12. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 1/2 •

    「株式会社SORAMINE」では、社長が突然「これからは仮想 通貨だ」と宣言し、構築・運用する方針を掲げた • 社長は、突然自分で本などの文献を参考に仮想通貨システ ムを構築してしまった • 「社長、ソラコイン作ったってよ！」 と宣言したシステムの運 用を引き受けるところから始まります。 これからは 仮想通貨だ

13. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 2/2 •

    競技開始よりインターネットに公開されるため、安定してシス テムが稼働できるようサポートする必要がある。 • あなた達の役割は、超エース級のサポートエンジニアとして、 安全に安定してこの仮想通貨システムを稼働させる必要が ある。

14. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 代表取締役紹介 社長メッセージ これからは仮想通貨の時代だ！私

    が作ったシステムだから大丈夫！ とにかく継続稼働で売上に貢献して くれたまえ。もちろん安全であるよう にしてくれ。評判や信頼を落とすよ うなことはしないでくれよ。何か困っ たことがあれば遠慮なく連絡してい いぞ。 代表取締役・社長

15. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. タイムテーブル Time Contents

    09:00- Registration for MINI Hardening 09:30-10:00 Opening, Briefing for Competition 10:00-12:00 Competition 12:00-13:00 Lunch Break 13:00-14:00 Competition 14:00-14:30 Break 14:30-16:00 Softening(Feedback), Wrap-up Awards ceremony 16:00 Closing of MINI Hardening

16. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. • システムはすべてAWS上に構築されている。 •

    踏み台にはSSH接続(鍵認証でアクセス) • 各チームのサブネットアドレスがローカル環境となります システム構成図（１）

17. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. システム構成図（２） Linux Windows

    MySQL ＃The competition environment is a closed network. It is not a real internet space. PHP mailer browser Node ETHREUM Internet Career page nginx Word Press WP plugin (Crypt Currecy) Drupal Corporate page Tomcat Inquiry form

18. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 運営メンバー：SORAMAME 5 （プロジェクトのスタッフメンバー

    もう5にんでもないし、まだ黒くない?） セキュキャン準備で おやすみ @ken5scal

19. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Masahiro Tabata -

    MINI Hardening team leader Yoshihiro Kyan - Engineer of the cryptocurrency system Isao Takaesu - Engineer of scoreboard & crawler Yoshinori Matsumoto - Red team Shun Suzaki - Red team Daiki Ichinose - Red team Special thanks! 【台湾総監督】 Takeya Yamazaki @xxildxxind 運営メンバー：役割分担

20. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素：Score Board •

    各チームの得点をリアルタイムで表示します。

21. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素：こうげき傍観くん(只是看) • 言葉が通じなくても状況がわかるよう可視化しました。

    一定時間で採点対象のトップページを巡回します。

22. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素：おせっかいなアドバイス • ニコニコ動画風なコメントでパスワードを暴露したり、

    親切なハッカーがwallコマンドで話かけてきます。

23. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ここがスゴイよ！ HITCON CMT！

24. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 開催前のSNSでの競技開催の告知、Day1キーノートでの紹 介、1番大きなハンズオン会場の提供や会場準備などすごいお 手伝いいただきました。

    (公式アルバムにも載りました） スタッフのホスピタリティがスゴイ!

25. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 日本と比較してセキュリティコミュニティの年齢層が若く、また女 性比率も高めでした。そして、カンファレンスだけでなく、各種コ ンテストやハンズオンの参加や企業ブースへの質問もすごく積

    極的でした。(日本人も20名以上はいました） MINI Hardeningには飛び入りを含め21名の方に参加いただき ました。！ 参加者の熱意がスゴイ！

26. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 台湾の人たちはとても親日で日本人登壇者には日→台湾語へ の通訳があったり、会場には日本語話せますマークのスタッフ の方がいます。

    過去に脆弱性検査ツールvulsの発表もありました。 （なお基本のコミュニケーションは英語になります） 日本人にもスゴイ優しい！

27. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 朝イチの軽食から始まり、ランチボックス、昼過ぎのおやつタイ ムまで何かしらずっと台湾の美味しいものが提供されていまし た！

    ランチやおやつがスゴイ！

28. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 心配だった台風も直撃を免れ、無事に開催できました！ 台風がスゴイ！(LT再掲)

29. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏トーーーク 3連発

30. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話1:世界展開への目覚め！？ MINI Hardeningのバージョン3始動のタイミングでHardening

    Projectの岡田ボスに相談したところ、「世界を視野にいれて活 動していくのがいいよ！」というアドバイスをいただいていまし た。 もしかしたらこの時からすでに世界に向けて開催したいなあ、と 心のどこかで考えていたのかも！？

31. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話2:トントン拍子に開催が決定 (4/9)そろそろ東京じゃなくて海外とかどうすか？台湾にツテが。 HITCONの裏番組的な感じでどうですかね？（おそるおそる）

    上野さんに相談してみましょうか。 いいね！ (4/10)現地のハッカーコミュニティのメンバー紹介するわ それならHITCONの中で開催しましょう！ ファッッ！！！ SU（Sen Ueno） おそるべし！！！ こうして構想開始24時間で台湾開催が決定しました！

32. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話3:驚異のホスピタリティ(再) Day2の競技終了後、すでにホテルに戻っていたメンバーの元 に駆けつけたのは・・・主催のPo-Shen氏！

    「ぜひアフターパーティにみんなで来てくれ、絶対だぞ！あ、こ れおみやげね♪（意訳）」 なんとこれを伝えるためだけに本人自ら私たちのホテルに呼び にきていただきました！

33. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. マイルドな修羅場に身を投じよう！ 死なない程度の修羅場こそが飛躍的な成長を促すことが 証明されている！

    ”Practice makes perfect” “When the road gets tough, the tough get going.” And we will be 超级赛亚人s. 「ストレッチな環境が人を育てる」@及川卓也 http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016

34. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. NEXT

35. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 12/14(土) 大阪開催 決定！

    台湾HITCON開催のコンテンツがOWASP Kansaiコラボ企画と して帰ってくる！ バージョン3最終戦にふさわしい内容をただいま準備中。 続報はConnpassページのメンバー登録しておまちください。 https://minihardening.connpass.com/

36. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningはさらなる進化を TO

    BE ANNOUNCED 競技時間を長くしてチャンピオンシップみたいなのやりたいね。 環境展開のコードもオープンソースにして誰でも競技開催できるようにした いね。 オレオレHardeningしてる人たちで座談会やりたいね。 ネットワーク構築、仮想通貨プログラミング、攻撃のための脆弱性実装と か複数トラックでハンズオンやりたいね。

37. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 来年はあなたもぜひHITCON CMTヘ行こう！ ご清聴ありがとうございました

    ※(左)LT後、会場のみなさんに感謝を伝える松本さん&私 　(右)HITCONパネルの前で記念撮影するメンバー