Slide 1

Slide 1 text

No content

Slide 2

Slide 2 text

Twitterアカウントへのインテリジェンス! CYBAR OSINT CTF 2020に挑んだ! 第2回 初心者のためのセキュリティ勉強会 meow ( @meow_noisy) 2020/12/17(木)

Slide 3

Slide 3 text

発表概要  CYBAR OSINT CTF 2020の過去問に挑んだ  問題と回答を紹介する

Slide 4

Slide 4 text

 10月にあったxINT CTFが楽しかった  → 禁断症状が出る 事の発端

Slide 5

Slide 5 text

 何かOSINT系のCTFがないか「OSINT CTF」で検索すると、 CYBAR OSINT CTFなるCTFがあった模様  過去問ではあるが、さっそく挑んだ 事の発端

Slide 6

Slide 6 text

おしながき  はじめに  インテリジェンス  OSINT  CTF  CYBAR OSINT CTF  CTFの問題と解答  おわりに

Slide 7

Slide 7 text

はじめに インテリジェンス、OSINT、 CTF、CYBAR OSINT CTF

Slide 8

Slide 8 text

 ここでは諜報活動や、活動によって取得する情報そのもの を指す  「情報」の違い  data  存在している情報  information  意味のある情報  intelligence  分析、統合を経て入手できる 利用価値のある情報  (機密情報と捉えてもいい?) インテリジェンスとは data information intelligence Security Days 2020「ビジネスOSINTでわかる様々なこと」の資料を元に作成

Slide 9

Slide 9 text

 data  ”0312” という文字列  ただそこにあるだけの情報  information  “Aさんの誕生日: 0312”  0312がどういう意味なのかを添えた情報とセット  intelligence  Aさんの暗証番号  仮説: 「0312と入力するとクラックできるかも」  informationの情報を複数あつめ、仮説を立てる どういう意味か一例を考えてみる ※間違っているかもしれません。

Slide 10

Slide 10 text

インテリジェンスの種類 https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

Slide 11

Slide 11 text

CTF(Capture The Flag)とは  ハッカーの腕くらべのためのコンテスト  フラグと呼ばれる文字列をお題から取得することで プレイヤーの力量を測る  フラグを取得する方法が、世間で言う情報セキュリティの 脆弱性を突く行為を以てすることが多い  コンピュータに関する様々な知識が問われる

Slide 12

Slide 12 text

どんなジャンルがあるの? 第8回CTF勉強会.pdfより

Slide 13

Slide 13 text

CYBAR OSINT CTFとは  CYBAR(スペルに注意)  オーストラリアのセキュリティイベント  CYBAR OSINT CTF  CYBAR内で開催されるCTF  OSINTでフラグを取得する  開催時間は2020年6月6日〜 2020年6月7日(1日間)  今年はコロナ禍ということもあり、オンラインイベントと なったようだ

Slide 14

Slide 14 text

 CTFdサーバをローカルで立ち上げ  Dockerでやるのがかんたん  CYBAR OSINT CTF2020のCTFdのバックアップファイルを 下記URLからダウンロード  https://github.com/cybar-party/cybar-osint-ctf- 2020/tree/master/Host%20CTF  adminユーザでバックアップファイルをimportするだけ CYBAR OSINT CTF2020の始め方

Slide 15

Slide 15 text

CYBAR OSINT CTF2020の問題  3カテゴリ全23問  私は21問正解した  3週間くらい取り組んでいた  運営がいないと答えられない問題もあるので 見なし正解を含んでいる  Social問に関してピックアップして説明する  Twitterアカウントへのインテリジェンスが多い

Slide 16

Slide 16 text

 2020年09月04日 就活生「裏アカ」特定サービス 「問題 社員の採用をあらかじめ排除」ツイッター激震: J-CAST ト レンド【全文表示】  https://www.j-cast.com/trend/2020/09/04393624.html?p=all  某声優の*****をツイートから予測する  資料は現在はリンク切れ [備考] Twitterアカウントへの インテリジェンス事例

Slide 17

Slide 17 text

CTFの問題と解答 〜Socialカテゴリ編〜

Slide 18

Slide 18 text

 問題は実在するTwitterアカウントの情報を調べるが、 全部CTF用の架空の人物である  問題の難易度はかなり易しめなので、私の答案を見る前に ご自身で解いてみると楽しいと思う  ※スラスラ解いているように回答を紹介するが、 実際にはものすごく時間がかかっている 一応、補足事項

Slide 19

Slide 19 text

 The Roombas are trying to gain the upper hand over the human population. We believe they're going to target pivotal industries such as real estate, critical infrastructure, information security and healthcare. We don't know who yet, but we know it's a group of close friends and all are infected with COVID-19.  We need to enact Contact Tracing - finding every detail about their lives in order to predict and contain their movements. No one has heard from them since March. We must build up details about them for the agents to then take over. That's where you come in.  Our first piece of intelligence is a gentleman by the name of Marc Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready on the ground, and others covering all his other social media - your task is to find his Twitter account.  Flag format: CYBAR{x} (No @ sign)  Note: This challenge is required to unlock future challenges. You've heard of elf on the shelf, but what about the proliferation of COVID-19? 最初の問題

Slide 20

Slide 20 text

 The Roombas are trying to gain the upper hand over the human population. We believe they're going to target pivotal industries such as real estate, critical infrastructure, information security and healthcare. We don't know who yet, but we know it's a group of close friends and all are infected with COVID-19.  We need to enact Contact Tracing - finding every detail about their lives in order to predict and contain their movements. No one has heard from them since March. We must build up details about them for the agents to then take over. That's where you come in.  Our first piece of intelligence is a gentleman by the name of Marc Hevis - a co-owner of Hevis Properties Pty Ltd. We have agents ready on the ground, and others covering all his other social media - your task is to find his Twitter account.  Flag format: CYBAR{x} (No @ sign)  Note: This challenge is required to unlock future challenges. You've heard of elf on the shelf, but what about the proliferation of COVID-19? 超訳 ルンバが社会インフラの掌握を狙ってる。 あとコロナに集団感染したグループがあるらしい。 感染対策を行うために、コンタクトトレーシング(濃厚接触者 の追跡)をしたい。 あなたにはこのグループのメンバーの活動を調べてほしい。 まずは、Hevis Properties Pty Ltd社のMarc Hevis氏の Twitterアカウントを探してほしい 第1第2パラグラフ間の繋がりがよくわからなかったが、 ルンバが悪で、コロナの感染拡大を防ぐという世界観のようだ。iRobot社に怒られるで...

Slide 21

Slide 21 text

 Twitterで”Marc Hevis”と検索すると、普通にアカウント が見つかる  フラグ: CYBAR{HevisMarc} You've heard of elf on the shelf, but what about the proliferation of COVID-19?

Slide 22

Slide 22 text

Contact Tracing - Part I  It's suspected the Roomba targeted one of Marc's friends, Alycee, with COVID19 based on her regular flights around the world to different critical infrastructure areas (e.g. gas and oil). We must undertake contact tracing for Alycee without warning the subject. We need to find out every location she has been in the past few years to get a profile. This profile will then help us predict and prevent where she might go next.  What is the full URL of Alycee's art account?  Flag format: CYBAR{https://www.x.x/x}  ルンバはMarcの友達Alyceeを狙って いるかもしれない  (感染拡大防止の為、)Alyceeのこれま で行った場所を知りたい  そのため手がかりとしてAlyceeの アート系のアカウントのURLが知りた い

Slide 23

Slide 23 text

 MarcのフォロワーからAlyceeのツイッターアカウントは 簡単に見つかる  https://twitter.com/alyceedoesstem  お絵かきが好きっぽい Contact Tracing - Part I

Slide 24

Slide 24 text

 Alyceeのツイートを全部見たが、アート系URLを特定できず。  しかし、アカウント名 alyceedoesstem でGoogle検索をする とDeviantArtという作品投稿サイトがヒット  フラグ: CYBAR{https://www.deviantart.com/alyceedoesstem} Contact Tracing - Part I

Slide 25

Slide 25 text

Contact Tracing - Part II  We need more locations Alycee may have or will visit in the future.  What is the exact name of the volcano that Alycee visited?  Flag format: CYBAR{x}  Alyceeの訪れる可能性の ある場所をもっと知りたい  Alyceeの訪れた火山の名 前を調べよ

Slide 26

Slide 26 text

 先述のDeviantArtにAlyceeが投稿した火山の絵 Contact Tracing - Part II

Slide 27

Slide 27 text

 よく見ると日付が書いてある  ハワイにある火山で 2018年4月30日に噴火したものはキラ ウエア火山であることがwikipediaからわかる  フラグ: CYBAR{Kīlauea} Contact Tracing - Part II

Slide 28

Slide 28 text

Contact Tracing - Part III  We need more locations Alycee may have or will visit in the future.  What is the first name of the park that Alycee likes to visit?  NOTE: There are only 5 attempts available for this challenge.  Flag format: CYBAR{x}  もっとAlyceeの行く場所を知り たい  Alyceeが好きな公園の名前を調 べよ

Slide 29

Slide 29 text

 先程のDeviantArtにAlyceeが「My Favorite Place」投稿し た絵 Contact Tracing - Part III

Slide 30

Slide 30 text

 よく見ると緯度経度が書いてある  Google mapで入力すると出てくる  フラグ: CYBAR{Wilson Botanic Park} Contact Tracing - Part III

Slide 31

Slide 31 text

Contact Tracing - Part IV  We are trying to locate in which suburb Alycee's friend **Marcel** lives in, to zone in on potential areas of risk he may potentially cause having COVID19. Please find it for us so that we can get some agents there on the ground.  Flag format: CYBAR{x}  [Note]: There are only 5 attempts allowed for this challenge.  Alyceeの友達のMarcelの地元を 調べよ  回答提出は5回まで

Slide 32

Slide 32 text

 MarcelもAlyceeのフォロワーリストから見つかる  https://twitter.com/marcelbalkins  「ツイートと返信」から、どういう発言、RT、誰とどんな会話をし ているか見ることができる Contact Tracing - Part IV

Slide 33

Slide 33 text

 Alyceeとの会話  https://twitter.com/alyceedoesstem/status/1233930927 509630981  超訳  A「子猫が水虫なの」  M「ひどい! かつて同じことがおこったから地元の 動物虐待防止協会に診てもらったわ。ブログ記事にもなった」  A「リンクある」  M「見つからんかった。6~8年も前の話。猫の名前は 鹿の名前だった」 Contact Tracing - Part IV 英語が絶望的にわからなかったが、 とりあえず件のブログをさがせば良さそう

Slide 34

Slide 34 text

 ‘ringworm kitty rspca’で検索すると下記の記事がヒット  RSPCA: STOP EUTHENISING CATS WITH RINGWORMS OR OTHER TREATABLE CONDITIONS.  https://www.change.org/p/rspca-stop-euthenising-cats-with- ringworms-or-other-treatable-conditions  CYBAR{Burwood}  ※猫の名前はKUDU  クーズーという鹿もいるようだ  https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%BC%E3%82%BA%E3%83%BC Contact Tracing - Part IV

Slide 35

Slide 35 text

Contact Tracing - Part V  We are trying to locate in which town Alycee's friend **Pong** lives in, to zone in on potential areas of risk he may potentially cause having COVID19.  Flag format: CYBAR{x}  Alyceeの友達”Pong”の住 んでいる場所を調べよ

Slide 36

Slide 36 text

 やはりPongもフォロワーから見つかる  https://twitter.com/LiPongWeiqi778  ツイート、RTを全て眺める  (動物愛護団体の屠殺動画RTをうっかり閲覧してしまい精神がやら れた) Contact Tracing - Part V

Slide 37

Slide 37 text

 関係ありそうなツイートはなかった  プロフィールの帯画像がヒントなのではないかと予想  帯画像をGoogle画像検索をしたところヒット  CYBAR{Blackall} Contact Tracing - Part V

Slide 38

Slide 38 text

Contact Tracing - Part VI  We've learned that Pong has a vehicle and may have visited nearby towns in the past few months. We were going to do license plate detection but no doubt the Roomba's have either changed this or prevented plate reads. We need to know the exact make and model car Pong is driving to get visual confirmation.  Find the make and model of Pong's vehicle.  Flag format: CYBAR{x x}  Pongは車を持っていて、それで数ヶ 月前から近くの場所を訪れているか もしれない  ナンバープレートから場所を割り出 そうとしているが、ルンバが画像に 加工をかけて読めなくしている  Pongの車メーカーと車種を調べてほ しい

Slide 39

Slide 39 text

 Pongのツイート  https://twitter.com/LiPongWeiqi778/status/1234806039716888 577  法定速度ギリギリで走っていたところを速度違反でパクられた件で 怒りのあまり車のナンバープレートを晒している Contact Tracing - Part VI

Slide 40

Slide 40 text

 ナンバープレートを検索しても出てこなかった  australian number plates searchで検索すると登録状況を 確認できるサイトを発見  Check registration status | Queensland Government  230YTEで検索するとレコードが見つかる。  Description(多分自由記入欄)にわざわざ車種が書いてあった  フラグ: CYBAR{KIA Stinger} Contact Tracing - Part VI

Slide 41

Slide 41 text

Contact Tracing - Part VII  Pong may have travelled international recently, and we need you to find out which city he was in.  Flag format: CYBAR{x}  [NOTE]: This challenge has 5 attempts only.  Pongは最近海外を旅行し たようだ  どこの都市か調べよ

Slide 42

Slide 42 text

 Pongの画像つきツイート  https://twitter.com/LiPongWeiqi778/status/1235036029033140 224 Contact Tracing - Part VII

Slide 43

Slide 43 text

 この画像をgoogle検索しても答えは出てこない  (write-upの回答は出てしまうけど...)  Googleレンズで範囲を絞ると見つかることがある  エンブレムを含んで入口辺りをGoogleレンズで調べる  Sirimavo Bandaranaike Memorial Exhibition Centre  スリランカのコンベンションセンターだとわかる  フラグ: CYBAR{Colombo} Contact Tracing - Part VII

Slide 44

Slide 44 text

By A Thread - Part I  Alright, we need to start building up a profile of Marc's friend, Alycee. Find anything you can that might help us find more information on government databases about her such as an Australian Business Number (ABN).  We managed to locate her tax agent on AirTasker - maybe you could get in touch and somehow convince him to provide some information about her tax return.  https://www.airtasker.com/users/pa ul-n-19685038/  Public records show his email address is [email protected]  Alyceeに話を戻そう。彼女の情報を もっとほしい  Australian Business Numberとか知れ たらいいな  彼女はAirTaskerというサイトで税理 士に仕事を依頼したようだ。(リンク)  税理士を信頼させれば手に入るかも 知れない

Slide 45

Slide 45 text

 税理士のAirtaskerのページ  https://www.airtasker.com/users/paul-n-19685038/  「メールでメルアドとパスワードを直に送ってくれたら仕 事するよ」みたいなことが書かれている By A Thread - Part I

Slide 46

Slide 46 text

 Alyceeのメアドとパスワード  Alyceeのツイートの裸体ラフの画像に写り込んでいる  https://twitter.com/alyceedoesstem/status/1234997946619289 600 By A Thread - Part I

Slide 47

Slide 47 text

 これで税理士にメールを送ってみるが音沙汰なし  運営がいないと多分無理なんじゃないかと思い、CTFに リアルタイムに参加された方の答えを見た  https://qiita.com/Zuckerwatte/items/292b7c9c140182de3a7f#b y-a-thread---part-i-seema  どうやら実戦ではPDFが返信で送付された模様  OSINTの域を超えている気もする  フラグ: CYBAR{546 877 954} By A Thread - Part I

Slide 48

Slide 48 text

WFH (EoM) - Part 1  Contact Tracing continues. We need to locate Marc's home and evacuate the neighborhood/building and place them in isolation.  What's the name of the building Marc lives in?  Flag format: CYBAR{x}  引き続きコンタクトトレーシ ングを行う。  Marc(最初の人)の住んでいる ビルを特定してほしい。住人、 近隣住人を退避させたい

Slide 49

Slide 49 text

 Marcのツイート  https://twitter.com/HevisMarc/status/1234802973189890048  家の外に出られないらしい。バルコニーから撮ったgifアニメ  https://twitter.com/i/status/1234802973189890048 WFH (EoM) - Part 1

Slide 50

Slide 50 text

 一瞬、建物に人の顔のようなものが映る  「ビル 人の顔 オーストラリア」で検索  The Barak Buildingという建物らしい WFH (EoM) - Part 1

Slide 51

Slide 51 text

 google3Dマップで、先述の動画を撮影できそうなビルを探す  フラグ: CYBAR{QV1} WFH (EoM) - Part 1 顔のビル

Slide 52

Slide 52 text

Pretty Fly for a WiFi  We need to find Marc's second office location (not the primary workplace) for the contract tracing. Business records tell us it's relatively new. Scour his Twitter account and see if there's anything that can help us geo- locate it. We don't need it down to the road, just the town (not suburb) and we can work from there.  Flag format: CYBAR{x}  Marcの新しく移転した職場のあ る町を知りたい。  ツイッターから特定せよ

Slide 53

Slide 53 text

 Marcのツイート  https://twitter.com/HevisMarc/status/1234814343851589633  新しいオフィスのインターネット回線が遅いようで、詳細を画像で あげている Pretty Fly for a WiFi

Slide 54

Slide 54 text

 SSIDがわかっている  ここでxint ctfの経験が活きる Pretty Fly for a WiFi

Slide 55

Slide 55 text

 WigleでSSID “TheCEONetwork”のあるオーストラリアの 場所を調べる  https://wigle.net/  CYBAR{Ballarat} Pretty Fly for a WiFi 件のアクセスポイント

Slide 56

Slide 56 text

 広域の地図からSSIDのポイントを表すドットを見つけたの はかなり幸運だった  やり方ミスってるかも しれない 余談 この1ピクセルを 早い段階で見つけられてよかった

Slide 57

Slide 57 text

おわりに

Slide 58

Slide 58 text

最終的な私の順位  23問正解  本番だと28位タイ/161チーム  フェアな比較とは言えないが目安として。

Slide 59

Slide 59 text

所感  たのしかった(小並感)  xintctfで身につけたOSINT力を発揮できて嬉しかった  難易度的には、xintctfに比べると簡単だと思う  ただし、問題に関わるツイートを全部見て、何が正解かを仮説立て る必要がある  実務には今回のOSINT方法は役に立たないかもしれない  現実なら明示的に書かれるべき情報(会社の場所とか)を調べること はないはず  回答回数制限があったので緊張感があった  ブルートフォースしがちなので...

Slide 60

Slide 60 text

 CYBAR OSINT CTFの問題に関して紹介した  画像を公開する時は映り込みに注意しよう  OSINTは根気 まとめ

Slide 61

Slide 61 text

ご清聴ありがとうございました