SECCON Beginners CTF講習会 参加体験記 meow (id: meow_noisy) 第32回 ゼロから始めるセキュリティ入門勉強会 2019/10/30(水)

発表内容  SECCON Beginners主催のCTF講習会に参加したので、 その内容を紹介する  行った感想としては、非常に満足

発表の流れ 1. 自己紹介(資料では割愛) 2. SECCON Beginnersとは 3. 講習会の内容 1. オリエンテーション 2. web 3. binary 4. 模擬CTF大会 5. 交流会

SECCONとは  https://www.seccon.jp/2019/seccon/about.htmlより  “情報セキュリティをテーマに多様な競技を開催する情報セ キュリティコンテストイベントです。実践的情報セキュリティ 人材の発掘・ 育成、技術の実践の場の提供を目的として設立 されました。”

CTF(Capture The Flag)とは  ハッカーの腕くらべのためのコンテスト  フラグと呼ばれる文字列をお題から取得することで力量を測る  フラグを取得する方法が、世間で言う情報セキュリティの 脆弱性を突く行為を以てすることが多い  コンピュータに関する様々な知識が問われる

どんな問題があるの? 第8回CTF勉強会.pdfより

SECCON Beginnersとは  https://www.seccon.jp/2019/beginners/about-seccon- beginners.htmlより  “日本国内の CTF のプレイヤーを増やし、人材育成とセキュリ ティ技術の底上げを目的としたCTF未経験者向け勉強会です。  海外のCTF でも上位に入る若手のCTFプレイヤーにより運営さ れており、CTF未経験の方でも CTF に参加できるよう、わかり やすくセキュリティ技術を教えるワークショップとなっており ます。” CTFは初心者の参入障壁が高いと思っているので、 こういうイベントは本当にありがたいです

2019年のスケジュール 関東開催回に 参加 https://www.seccon.jp/2019/beginners/about-seccon- beginners.htmlより

開催プログラム  オリエンテーションの後、講義2つと模擬CTF大会があった https://www.seccon.jp/2019/seccon_beginners/seccon_ beginners_2019_tokyo.htmlより

会場  東京都立産業技術高等専門学校 品川キャンパス

会場  講堂で受講。4人で1グループ。 SECCON Beginners twitter投稿より

講義資料、仮想環境  pdf, VM(OS: Kali)  参加者限定で事前に配布  再配布は禁止  資料は前提知識の説明から始まっており、非常にわかりやすい

発表の流れ 1. 自己紹介(資料では割愛) 2. SECCON Beginnersとは 3. 講習会の内容 1. オリエンテーション 2. web 3. binary 4. 模擬CTF大会 5. 交流会

オリエンテーション  講師: @lmt_swallowさん  内容  CTFとは何か  倫理面  攻撃の技術を持っているからこそ、勉強には大きな責任が伴う  力試しに攻撃はしてはいけない  なぜエンジニアは攻撃を行わないのか。  法的抑止力。許可なく他人の認証情報でアクセスしない。認証を不正に突破し ない。制限機能を利用しない。ウイルスつくらない。形式犯。言い訳はどうこ う、成立するとアウト。  技術的こだわり。  公正・誠実たれ ホワイトハッカーの信念を垣間見る

講義1: Web  講師: @ytn86さん  内容  理論: XSSの仕組み  サーバではなく、クライアントに対する攻撃となる  XSSに引っかかってみる  alert()が起動する  実践: XSS脆弱性のある記事投稿(模擬)サイトへの攻撃  タグをエスケープしないフォームに対し、ペイロードを作成して投稿  admin(を模したクローラー)の情報を自サイト(requestsbin)のアクセスログで取 得  XSSの対策  CSP

講義2: Binary  講師: @ptrYudaiさん  内容  理論: バイナリファイルの解析  動的、静的、表層  コンピュータのプログラム実行方法(CPUとメモリでどう情報を処理してい るか)  アセンブリの読み方(命令セット、その際のCPUの挙動)  実践: 処理の流れを解析し、ハードコードされているパスワードを推定  表層解析: strings, fileコマンド  静的解析:IDA  動的解析: gdb

模擬CTF大会  ジョパディ形式で実際に問題を解いてみる  ジャンルは、Web, Binary, Misc  一応、参加者同士でポイントを競う

問題難易度  本番よりも抑えているとのこと  前半は講義のおさらいの形  後半は応用

[備考]CTF本場再現(?)の妨害  大音量のBGM  誰かが問題を解いた瞬間にビープ音がなる  講師陣が、講義で寄せられた質問に模試中に回答する 本戦では、運営がディスプレイを覗き込んできたり、 隣でスマブラをやりはじめるらしい

write-up time と 表彰式  試験終了後は、回答できた人に、解法を説明する時間があった  上位3名に、SECCON特別Tシャツがプレゼントされた  全問中1問落とした程度の正当数

懇親会 せっかくなので他の人にバックグラウンドを訊いてみた  どこからきたの?  東京、神奈川、埼玉  何でCTFを知ったの?  サークルの先輩がやってた、 なにか始めたくて”セキュリティ コンテ スト”でググった、研究室がセキュリティ関係で情報が入ってきた  ちなみに私はicchyさん(TokyoWesterns)の発表で知った  どういう所に所属しているの?  大学生でコンピュータ関連サークル、社会人でセキュリティ部門に勤務 (・予定)

参加してみた感想  運営規模がすごい  問題サーバ、回答サーバの用意  この上ないほどに、初心者に懇切丁寧な説明で配慮が行き届い ている  講師陣が怖いくらいに謙虚  理論と実践の配分がちょうどよい  次の勉強手段への橋渡しになっている  地方を限定すれば、1年に1回の希少なイベント  参加できてよかった。  見逃さないようにメルマガのサブスクをしたほうがよさそう

おわりに  SECCON Beginners主催のCTF講習会の内容を説明した  CTFの勉強の取っ掛かりとして最適だった

ご清聴ありがとうございました