Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening Road to Taiwan(2019 HITCON CMT)

delphinz
October 15, 2019
Technology
0
760

MINI Hardening Road to Taiwan(2019 HITCON CMT)

delphinz

October 15, 2019
Tweet

More Decks by delphinz

See All by delphinz
【セキュリティ競技】MINI Hardeningのご紹介 / MINI Hardneing4 introduction
delphinz
1
900
20200209MINI_INFRA
delphinz
1
330
WAFのルールである OWASP ModSecurity Core Rule Set (CRS)を 使った可視化までの苦労話/20180921_owasp_connect_crs
delphinz
2
1.4k
淡路島で開催されたhardening2017fesにプレミアムサポートメンバーで参加してきたよ。/20171202-go-for-hardening2017fes
delphinz
0
120

Other Decks in Technology

See All in Technology
最近たまに見かけるTiDBってなんだ? - Findy
pingcap0315
2
550
強みを伸ばすキャリアデザイン
yug1224
0
200
Databricksを活用してDELISH KITCHENのレシピレコメンドを開発した話
furu8
0
250
「ふりかえりのふりかえり」をふりかえり、実のあるふりかえりにする
naitosatoshi
0
220
o11y入門_外形監視を利用したWebアプリケーションへの最適なモニタリング_TechBrew
k5k
3
100
Amplify Gen2を 拡張してみよう JAWS-UG北陸新幹線 ( 福井開催 ) 2024-04-06/Let's extend Amplify Gen2
fossamagna
0
280
Hands-on / Kaname Frusawa / Cloud Compare Users Meetup 2024 at University of Tokyo on April 17
paraworld
2
470
カオナビの利用実績をアウトカムへつなげる旅 / example-of-data-management-startup-in-kaonavi
kaonavi
0
120
転移学習とドメイン適応の基礎
kmatsui
2
570
Aurora MySQL v3(MySQL8.0互換)の オンラインDDLの罠挙動を全バージョンで検証した
yutakikai
1
150
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
3
240
[PlatformCon 24] Platform Orchestrators: The Missing Middle of Internal Developer Platforms?
danielbryantuk
1
170

Featured

See All Featured
Design by the Numbers
sachag
274
18k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
15
1.4k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Docker and Python
trallard
33
2.7k
Facilitating Awesome Meetings
lara
41
5.6k
Building Better People: How to give real-time feedback that sticks.
wjessup
354
18k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
115
18k
How GitHub (no longer) Works
holman
304
140k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
658
120k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
16
6.3k

Transcript

  1. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening  Road

    to Taiwan(完全版) 2019/10/15(Tue) Masahiro Tabata @ MINI Hardening Leader

  2. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 自己紹介 仕事:システムコンサルタント セキュリティはたしなみ程度

    MINI Hardening運営リーダー 趣味:Terraform、ansible栽培

  3. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Hardening Projectとは Hardening

    Projectとは日本発のセキュリティ技術競技とセキュ リティ施策の発表を行うイベントです。その目的は最高の「守 る」技術を持つトップエンジニアを発掘・顕彰するものです。 2014年に始まり、現在まで毎年春秋の2回開催されています。 このイベントはwasforumが開催しています。 https://wasforum.jp/hardening-project/

  4. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningとは •

    Hardening Project から派生したミニプロジェクト–2014年 の Hardening 10 Evolutions イベントにおいて、アンカン ファレンスの成果として発足 • カジュアルにHardeningを体験–MINI Hardeningでは半日 程度でHardening競技や振り返りまで体験できる • 初心者向けイベントです! コンセプト: 「セキュリティインシデントを カジュアルに体験!」

  5. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening開催履歴 現在までに15回開催しました。

    (以下は直近バージョン3の開催内容) No 日時 開催場所 特別講演協力 #3.3 2019/06/30 株式会社FOLIO 鈴木研吾さん@ken5scal #3.2 2019/04/21 株式会社メルカリ 伊藤 彰嗣さん@springmoon6 #3.1 2018/09/01 OWASP名古屋 長谷川 達也さん(サイランス) #3.0 2018/09/01 ヤフー株式会社 大角 祐介さん@ozuma 詳細はConnpassページをご覧ください。 https://minihardening.connpass.com/

  6. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 次の開催地は

  7. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ※ロゴデザインは日本が誇るハイパークソコラクリエイター @tigerszk 氏の提供になります

  8. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening 海外初開催!

    台湾最大のサイバーセキュリティの カンファレンス「HITCON CMT」の最終日8/24にMINI Hardening を開催してきました!

  9. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ひとあし先にCOSCUPで講演 COSCUP(台湾のオープンソースカンファレンス)で8/18発表し てきました。

    セキュア旅団vol.5「時計仕掛けのセキュリティ」 - 6. 僕が旅に出る理由 by @ym405nm https://secure-brigade.booth.pm/items/1575413

  10. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 詳しくはMBSDブログでね♪ HITCON CMTの大事なことはすべてここに書いてあります。

    MINI Hardening with HITCON イベントレポート(MBSDブログ) https://www.mbsd.jp/blog/20190902.html

  11. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardening解説

  12. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 1/2 •

    「株式会社SORAMINE」では、社長が突然「これからは仮想 通貨だ」と宣言し、構築・運用する方針を掲げた • 社長は、突然自分で本などの文献を参考に仮想通貨システ ムを構築してしまった • 「社長、ソラコイン作ったってよ!」 と宣言したシステムの運 用を引き受けるところから始まります。 これからは 仮想通貨だ

  13. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 競技解説 2/2 •

    競技開始よりインターネットに公開されるため、安定してシス テムが稼働できるようサポートする必要がある。 • あなた達の役割は、超エース級のサポートエンジニアとして、 安全に安定してこの仮想通貨システムを稼働させる必要が ある。

  14. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 代表取締役紹介 社長メッセージ これからは仮想通貨の時代だ!私

    が作ったシステムだから大丈夫! とにかく継続稼働で売上に貢献して くれたまえ。もちろん安全であるよう にしてくれ。評判や信頼を落とすよ うなことはしないでくれよ。何か困っ たことがあれば遠慮なく連絡してい いぞ。 代表取締役・社長

  15. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. タイムテーブル Time Contents

    09:00- Registration for MINI Hardening 09:30-10:00 Opening, Briefing for Competition 10:00-12:00 Competition 12:00-13:00 Lunch Break 13:00-14:00 Competition 14:00-14:30 Break 14:30-16:00 Softening(Feedback), Wrap-up Awards ceremony 16:00 Closing of MINI Hardening

  16. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. • システムはすべてAWS上に構築されている。 •

    踏み台にはSSH接続(鍵認証でアクセス) • 各チームのサブネットアドレスがローカル環境となります システム構成図(1)

  17. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. システム構成図(2) Linux Windows

    MySQL #The competition environment is a closed network. It is not a real internet space. PHP mailer browser Node ETHREUM Internet Career page nginx Word Press WP plugin (Crypt Currecy) Drupal Corporate page Tomcat Inquiry form

  18. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 運営メンバー:SORAMAME 5 (プロジェクトのスタッフメンバー

    もう5にんでもないし、まだ黒くない?) セキュキャン準備で おやすみ @ken5scal

  19. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. Masahiro Tabata -

    MINI Hardening team leader Yoshihiro Kyan - Engineer of the cryptocurrency system Isao Takaesu - Engineer of scoreboard & crawler Yoshinori Matsumoto - Red team Shun Suzaki - Red team Daiki Ichinose - Red team Special thanks! 【台湾総監督】 Takeya Yamazaki @xxildxxind 運営メンバー:役割分担

  20. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:Score Board •

    各チームの得点をリアルタイムで表示します。

  21. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:こうげき傍観くん(只是看) • 言葉が通じなくても状況がわかるよう可視化しました。

    一定時間で採点対象のトップページを巡回します。

  22. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 新要素:おせっかいなアドバイス • ニコニコ動画風なコメントでパスワードを暴露したり、

    親切なハッカーがwallコマンドで話かけてきます。

  23. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. ここがスゴイよ! HITCON CMT!

  24. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 開催前のSNSでの競技開催の告知、Day1キーノートでの紹 介、1番大きなハンズオン会場の提供や会場準備などすごいお 手伝いいただきました。

    (公式アルバムにも載りました) スタッフのホスピタリティがスゴイ!

  25. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 日本と比較してセキュリティコミュニティの年齢層が若く、また女 性比率も高めでした。そして、カンファレンスだけでなく、各種コ ンテストやハンズオンの参加や企業ブースへの質問もすごく積

    極的でした。(日本人も20名以上はいました) MINI Hardeningには飛び入りを含め21名の方に参加いただき ました。! 参加者の熱意がスゴイ!

  26. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 台湾の人たちはとても親日で日本人登壇者には日→台湾語へ の通訳があったり、会場には日本語話せますマークのスタッフ の方がいます。

    過去に脆弱性検査ツールvulsの発表もありました。 (なお基本のコミュニケーションは英語になります) 日本人にもスゴイ優しい!

  27. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 朝イチの軽食から始まり、ランチボックス、昼過ぎのおやつタイ ムまで何かしらずっと台湾の美味しいものが提供されていまし た!

    ランチやおやつがスゴイ!

  28. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 心配だった台風も直撃を免れ、無事に開催できました! 台風がスゴイ!(LT再掲)

  29. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏トーーーク 3連発

  30. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話1:世界展開への目覚め!? MINI Hardeningのバージョン3始動のタイミングでHardening

    Projectの岡田ボスに相談したところ、「世界を視野にいれて活 動していくのがいいよ!」というアドバイスをいただいていまし た。 もしかしたらこの時からすでに世界に向けて開催したいなあ、と 心のどこかで考えていたのかも!?

  31. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話2:トントン拍子に開催が決定 (4/9)そろそろ東京じゃなくて海外とかどうすか?台湾にツテが。 HITCONの裏番組的な感じでどうですかね?(おそるおそる)

    上野さんに相談してみましょうか。 いいね! (4/10)現地のハッカーコミュニティのメンバー紹介するわ それならHITCONの中で開催しましょう! ファッッ!!! SU(Sen Ueno) おそるべし!!! こうして構想開始24時間で台湾開催が決定しました!

  32. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 裏話3:驚異のホスピタリティ(再) Day2の競技終了後、すでにホテルに戻っていたメンバーの元 に駆けつけたのは・・・主催のPo-Shen氏!

    「ぜひアフターパーティにみんなで来てくれ、絶対だぞ!あ、こ れおみやげね♪(意訳)」 なんとこれを伝えるためだけに本人自ら私たちのホテルに呼び にきていただきました!

  33. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. マイルドな修羅場に身を投じよう! 死なない程度の修羅場こそが飛躍的な成長を促すことが 証明されている!

    ”Practice makes perfect” “When the road gets tough, the tough get going.” And we will be 超级赛亚人s. 「ストレッチな環境が人を育てる」@及川卓也 http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016

  34. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. NEXT

  35. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 12/14(土) 大阪開催 決定!

    台湾HITCON開催のコンテンツがOWASP Kansaiコラボ企画と して帰ってくる! バージョン3最終戦にふさわしい内容をただいま準備中。 続報はConnpassページのメンバー登録しておまちください。 https://minihardening.connpass.com/

  36. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. MINI Hardeningはさらなる進化を TO

    BE ANNOUNCED 競技時間を長くしてチャンピオンシップみたいなのやりたいね。 環境展開のコードもオープンソースにして誰でも競技開催できるようにした いね。 オレオレHardeningしてる人たちで座談会やりたいね。 ネットワーク構築、仮想通貨プログラミング、攻撃のための脆弱性実装と か複数トラックでハンズオンやりたいね。

  37. Copyright@2015-2019 MINI Hardening Project ALL Rights Reserved. 来年はあなたもぜひHITCON CMTヘ行こう! ご清聴ありがとうございました

    ※(左)LT後、会場のみなさんに感謝を伝える松本さん&私  (右)HITCONパネルの前で記念撮影するメンバー