Hardening II Collectiveに参加した話

Transcript

1. Hardening II Collectiveに 参加した話 サブタイトル

2. 自己紹介 • 名前 : 水戸部一貴 または KAZ (@kaz1815) • 所属

   : 富士ソフト • セキュリティなんでも屋。最近は脆弱性診断メイン。 • Hardeningは前回が1年半ぶり2回目。 • Twitterに棲んでいて、 #HIICL とか #HIISE とかでつぶやく生き物。

3. 話すこと • Hardeningの体験記。楽しみ方とか参加 のコツ。 • 会社のBlogに書いたこととか書けなかっ たこととか話します。 • Blogも見てね。(宣伝) https://www.fsi.co.jp/blog/1064/

4. Hardening参加までの流れ • 時間的余裕のあるEarly Birdsがおすすめ • 渡沖準備が済んでいない、チームビルディングが走っていない場合は急げ！ -12 -11 -10 -9

   -8 -7 -6 -5 -4 -3 -2 -1 -0 +2 +8 SuperEarlyBirds 4/12 一般 SuperEarlyBirds 4/18 一般 5/10 SuperEarlyBirds 一般 5/15 6/11 7/5 7/6 7/7 7/17 8/29 WAS Night やること ＼ 週 応募 合否発表 渡沖準備 チーム分け発表 チームビルディング 事前勉強会 Day0: 渡沖・前夜打ち合わせ Day1: Hardening Day Day2: Softening Day 5/15- 4/12-5/7 振り返り回 5/10- 4/18-

5. 応募 • 同じ部署の人と2名で応募 … この人 ⇒ • 隣同士の席だけどピン×2 • 他社さんとチーム組めるのはなかなかできない経験

   • Super Early Birdsの期間に応募 • 原はSuper Early Birdsで当選 • 水戸部はSuper Early Birds当選メール届かず • Super Early Birdsで落選すると、 一般枠に振り返られて再度選考対象となる。

6. 二度寝バード事件 • メールを見落としていただけでした。 • 岡田さんに二度寝バードとあだ名されることに。

7. 渡沖準備 • 仕事の都合をやりくり • 業務の人は社内決裁 • プライベートの人は有休取得 • 飛行機と宿の予約 •

   宮古島のビジネスホテルは少ない • Super Early Birds時点ですでに満室 • 取れないとゲストハウス(安くてボロい)かリゾートホテル(高級!)しかない • 宮古島のビジネスホテルを取る裏技 <拡散NG> • 宿泊予約サイトで満室でも、パックツアーにすれば予約できる！ • 那覇に寄る用事もあったので、成田那覇のLCCと那覇宮古島+宿のパックツアーで 予約。

8. チームビルディング • 5/15 チーム分けのメールが届く • 2週間でチーム名とリーダーを決めて報告(返信) • 知らされるのはチーム番号(#01)と メンバーのメールアドレスだけ •

   一両日中にはSlackを立てて自己紹介 • チーム名「MSIRT」 • 平均年齢驚異の40.6歳！ • 沖縄県警5名、SMBCグループ3名、NRIセキュア2名(うち欠員1)+自分 • 沖縄県警以外は東京近郊なので6/8に東京で顔合わせ (たぶん遅め) • 真面目に毎週集まってミーティングをするチームもありますが、 ただ飲んでアイスブレイクに徹するのも大いにアリ。 • 事前勉強会@東京も東京組揃って参加

9. 渡沖 • 機材が多くなりそうな場合、送っておくのもアリ • ネットワーク機器、ケーブル類、追加ディスプレイ・・・ • ドーム内明るいのでモバイルプロジェクタは役に立たない • 競技環境やルールなどの資料は前日の夕方に配布。 •

   前日の夕方には宮古島に集まり、読み合わせ会・作戦会議をする必要がある。 • 残念ながら、県警さんは業務都合で当日入りとのことで、Web会議にしました。 • 昼のうちに宮古島入りして南国の空気を感じつつ、余裕をもって夕方の資料配布に望 む完璧な計画

10. フラグを立ててはいけない

11. 豪 雨、襲来 • この日、宮古島は50年に1度の豪雨 • 私の那覇便も条件付き運航 • 石垣島に着陸するかも・・・ • 結局、3時間遅れで宮古島へ。

    • 原のチーム(デイ5)は送った機材が届かず • 結局10日かかり、競技が終わってから到着 • 早めに送ろう • 佐川よりヤマト

12. 前日打ち合わせ • 資料から想定したシステムとのギャップを洗い出し、組織変更の要否を検討。 • 事前にチームの組織図を提出する必要あり。 • 必要なら当日の人事異動も可能だったが、不要だった。 • 2名x5チームのユニット制を組んだことが幸いした。 •

    EC技術1部はFWを担当。

13. Hardening Day 序盤 • CTFフェーズ • 各環境へのログイン • 配布資料にはログインパスワードなど最低限の情報しかない。 •

    どうやってログインするのか調べるところから。 • 他に公開鍵が必要だったり、特定の端末にしか必要なツールがなかったり。 • 実際の引き継ぎの現場ってこういうもんだよね・・・ • FWは2台あったが、結局1台しかログインできず。 • パスワード変更 • バックアップ作成

14. Hardening Day 中盤 • Hardeningフェーズ • FW、WAFの設定 • 元からあったFWはFirewalldだったため、放置してCisco(MP)のFWを使用。 •

    初見で設定できる。GUIは偉大。 • WAFはBarracuda。HTTPS化も簡単なスグレモノ。 • HTTPS化は売上拡大に必須 • 不要サービスの停止 • phpMyAdminとかいる。 • 構成図になくても必要なサービスもある。 • Blogから集客があったり。 • 改ざんされて戻せなくなったら諦めて止めるのもあり。

15. Hardeing Day 終盤 • 営業のターン • システムが安定したら技術チームはあまりやることがない • ログを眺めて、気づかないところでやられていないか監視 •

    人間IDS • 営業の腕の見せどころ • 「マモル君」をこっそり買い占めするも、あまり売れない • 実は「三線」が勝敗を分ける商品だった

16. Softening Day • 各チームの資料発表と結果発表&表彰、Kuromame6による解説 • Hardening Dayの夜に資料を作ってSoftening Dayに発表 • MSIRTは朝8:00に集まって仕上げました。

    • Kuromame6は徹夜で採点しているらしい。(8:00にJTAドームから帰っていくのを目撃) • 最大のリスペクトを！ • YouTube OWASP JAPAN Channelで配信 • 初参加の方は必見 • お昼のカレーがおいしい • Hardening Dayは味わう余裕がないです・・・ • ミルキーウェイパーティ(夜の部) • 美味しい食事と泡盛、ネットワーキング

17. Hardeningに大切なこと • 勝ち負けにこだわらないこと • 楽しみ、多くを持って帰った者が勝者 (知識、経験、人脈、思い出、、、) • 勝ち負けにこだわってしまうと、正直理不尽なことも多い • 何らかの賞を持ち帰れたらラッキー

    (シノプシス賞いただきました、ありがとうございます) • Hardeningは到達点ではなく出発点 • ビギナーにこそ参加してほしい • Hardeningをきっかけとして活動している人は多い • 私にとっても出発点。2年前、セキュリティに転向し、業界に仲間がいない状態で参 加したのがHardening。 • Hardeningは終わらない！ • 今回は参加しませんが、自分にとってのHardeningもまだまだ続いています！ (今日とか)

18. 後日談 よせばいいのに・・・

19. 帰るまでがHardeningです。 当社沖縄オフィスが脆弱性診断をやっている関係で、那覇で1日仕 事をしてから帰りました。 • 7/7(土) Softening Day • 7/8(日) 移動日

    : 宮古島 ⇒ 那覇 • 7/9(月) 沖縄オフィス出張@那覇 • 7/10(日) 移動日 : 那覇 ⇒ 東京

20. 再掲

21. 帰るまでがHardeningです。 当社沖縄オフィスが脆弱性診断をやっている関係で、那覇で1日仕 事をしてから帰りました。帰れませんでした。

22. おわり ご清聴ありがとうございました