Upgrade to Pro — share decks privately, control downloads, hide ads and more …

オンラインを活かすセキュリティ人材育成

sonodam
February 04, 2021

 オンラインを活かすセキュリティ人材育成

2021年2月3日
https://www.ubsecure.jp/seminar/topics-2021/t-20210203
で講演(40分、オンライン)した資料の公開版。

sonodam

February 04, 2021
Tweet

More Decks by sonodam

Other Decks in Education

Transcript

  1. Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT) ナショナルサイバートレーニングセンターセンター長 •

    https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://colosseo.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 大阪大学非常勤講師 2
  2. Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー

    • https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催&プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • Hack in the box, Review Board • https://cfp.hackinthebox.org/ 3
  3. Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo

    2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html 4
  4. 主な関係コンテンツ • 監訳:「ブラウザハック」,「ファジング」, 「ハニーネットプロジェクト」,「実践パケット解析第一版」 • 翻訳:「実用SSH第二版」,「暗号技術大全」,「 Snort2.0侵入検知」 • 著作:「アクセス探偵IHARA 」,

    」,「Winnyはなぜ破られたのか」, 「アクセスガール明日香危機一髪」, 「企業情報ネットワークの保護管理」他 • Web連載:「にわか管理者奮闘記シリーズ」 • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns 5
  5. 足りないところを補うには? • 音質向上という対策 • 良いマイク、良いヘッドフォンイヤフォンスピーカー • Yale-led effort yields Zoom

    upgrades • https://music.yale.edu/news/yale-led-effort-yields-zoom-upgrades • 画質向上 • 良いカメラ • 会議システムの限界 • (ネットワーク性能) 9
  6. 11

  7. 12

  8. メインを事前作成動画にする • ライブはリスキー(笑) • いろいろな魔物が棲んでいる • 品質が上がる • 編集可能 •

    話者に客観視を促す • 自分の動画を視聴すると、既存動画の見方が違ってくる • (1.25)倍速で客観視を加速 • デメリットはライブ発表の経験値の機会損失くらい? • どのくらいのインパクトがあるのか、人生スパンでは不明 13
  9. グループワークの工夫 • みんなでひと言チェックインとチェックアウト • 共同作業で勝手にアイスブレイキング • モデレーターは任命 • 一度は顔を出そう •

    急に「今日は顔を出そう」とやらないこと • (音質が良い前提で)少人数グループで会話 • サポートはチャットメインで 17
  10. グループワークもう一工夫 • グループで当たる課題の工夫 • 社会的に未解決の課題など、検索で答えに到達できない課題 • Capture The Flag(CTF) •

    環境などの変化をプロトコルにしてみる • 人間はパターン認識に優れている人も多く、すぐ飽きる • メタな予想を裏切る刺激で集中力を上げる • メインは会議システムでもチャットやQAシステムを別立て でやってみる 18
  11. 19

  12. 20

  13. 21

  14. Understanding security mistakes developers make: Qualitative analysis from Build It,

    Break It, Fix It • https://www.usenix.org/conference/usenixsecurity20/presentation /votipka-understanding • 「セキュアなソフトウェア開発は、多くの可能性のある脅威と緩和策を考慮しなければ ならない困難な作業です。この論文では、基本的なセキュリティ経験があるにもかかわ らず、プログラマがセキュリティに関連したエラーを犯す方法とその理由を調査します。 これを行うために、我々は、現実世界の制約(正確性、性能、セキュリティ)を模倣す るように設計された安全なプログラミングコンテストに提出された94件の参加者の詳細 な分析を行いました。参加者は、安全なコードを書くことに加えて、他のチームのプロ グラムの脆弱性を検索するよう求められました。私たちは、6 ヶ月間の集中的な期間を かけて、反復的なオープンコーディングを用いて、提出された各プロジェクトと脆弱性 (私たち自身が特定した脆弱性を含む)を手作業で、しかし体系的に特徴付けしました。 脆弱性の種類、攻撃者の制御、悪用のしやすさ、プロジェクトをセキュリティ実装戦略 に基づいて分類しました。その結果、いくつかのパターンが浮かび上がってきました。 例えば、単純なミスが最も一般的ではなく、そのようなミスが発生したプロジェクトは 21%に過ぎませんでした。逆に、セキュリティ概念の誤解に起因する脆弱性は、78%の プロジェクトで顕著に多く見られました。この結果は、セキュアプログラミングAPI、 API文書化、脆弱性発見ツール、セキュリティ教育の改善に意味があります。 www.DeepL.com/Translator(無料版)で翻訳しました。」 26
  15. EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://www.offensivecon.org/speakers/2020/aristeidis-thallas.html •

    「ハイパーバイザーは、システム仮想化のために一般的に使用されているだけでなく、 実行時の攻撃からカーネルを保護するために、Androidエコシステムでも採用されて います。各OEM/ベンダーは、ARMの仮想化拡張機能を採用することで、独自のハイ パーバイザーを自由に実装することができます。Androidエコシステムでは、一般的 に適切なデバッグやシステム検査のサポートが不足しているため、このような実装 は、監査/リバース/デバッグが非常に困難でした。この状況は、OEM/ベンダーがド キュメント、ソースコード、ツールなどを公に提供しないことでさらに悪化してい ます。このプレゼンテーションでは、デバッグを含むエミュレートされたシステム の完全な制御をユーザに提供するQEMUの下でのプロプライエタリなハイパーバイ ザのエミュレーションに焦点を当てます。詳細には、ARMシステム開発と仮想化拡 張に関する情報を提供し、ブートストラップとSamsung S8プロプライエタリハイ パーバイザとの相互作用を可能にするために必要不可欠な機能を含むフレームワー クを開発して導入した概念を紹介します。その後、この知識を発展させて、この セットアップの下でファジング機能を組み込むことを目指します。このプレゼン テーションの最後までに、聴衆/読者は、ARM仮想化拡張機能と、他のハイパーバイ ザーを監査/リバースし、提供された最小限のフレームワークを拡張したり、審査中 のハイパーバイザーのニーズに合わせた独自の実装を行うために必要な様々なシス テム要件/制約を理解していることが期待されています。www.DeepL.com/Translator (無料版)で翻訳しました。」 27
  16. EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://census-labs.com/news/2020/07/22/emulating- hypervisors-a-samsung-rkp-case-study-offensivecon-2020/

    • https://census-labs.com/media/athallas-offcon-2020-wide.pdf • https://www.youtube.com/watch?v=SxezUdv1whQ • http://www.phrack.org/papers/emulating_hypervisors_sam sung_rkp.html 28
  17. 29

  18. 自己研鑽 企画例 ① Ransomware as a Service(RaaS)について対 抗する手段を考えてみよう  Weakest

    Linkを狙ってRansomwareを起 動させてデータを人質に取る  仮想通貨(暗号資産)で身代金をいただく ② 守りが手薄な現地法人や連携先を狙う攻撃 に対抗する手段を考えてみよう  その組織本体では無く、予算も無く人も 居ない海外の現地法人や、レベル感の異 なる連携先を狙う  システムだけでなく人も狙う 30
  19. 世界中で大流行のCTF • ctftime.orgに登録されたCTFは2014年に60、2019年は198、そして 2020年は230! • 初心者向けCTFも増えている • kusuwadaさんのオススメの初級者向けCTF • https://tech.kusuwada.com/entry/2020/12/02/065100

    • CTF Advent Calender 2020 • https://adventar.org/calendars/5338 • Bandit: Over the wire • https://overthewire.org/wargames/bandit/ • レクチャー動画も多数 • 活用例:freeCodeCampからpicoCTFのはじめの一歩! • https://daily-postit.hatenablog.com/entry/20201214-freecodecamp-picoCTF-start 32
  20. CTF:初級→中級の壁 • 出題傾向は多様なものからpwn系に • しかし、ハードルが高い • WriteUp(めちゃくちゃある)でお勉強 • 問題ファイル等をGETしてチャレンジしてみる •

    WriteUpを見ながらなぞる • pwn.collegeがあるよ! • SECCON 2020 電脳会議の講演動画に詳しい • https://www.youtube.com/watch?v=rc8mjqvki2Y 33
  21. 脆弱性を探すコンテスト • PWN2OWN • https://www.thezdi.com/blog/2020/3/17/welcome-to-pwn2own- 2020-the-schedule-and-live-results • https://www.zerodayinitiative.com/blog/2019/10/28/pwn2own- miami-bringing-ics-into-the-pwn2own-world •

    SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedec- challenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 天府杯 • https://i.eqxiu.com/s/jG0Fs4ZG?bt=yxy&share_level=1&from_user= 2020100835b82e13&from_id=de570acd- 9&share_time=1602217487848 • https://forest.watch.impress.co.jp/docs/news/1288055.html 34
  22. 脆弱性を探して賞金をもらう • 常設バグバウンティプログラムポータル • https://www.bugcrowd.com/ • https://www.hackerone.com/ • https://hackerone.com/playstation •

    https://hackerone.com/nasa • →年間のCVE数は36000以上。探すパワーはまだまだ不足 • https://cve.mitre.org/data/downloads/index.html 36
  23. まとめ • オンラインの利点は、超豊富なコンテンツと物理的な距離 の超越 • コミュニケーションの冗長さは有る程度まで克服可能 • フィードバックの量と質はオンラインの方が良い • グループワークは設計と準備次第

    • 動画などのコンテンツ作成含む準備が大変だけど(笑) • セキュリティの課題は自然とディーププラクティス • 社会的課題も多いし、CTF入門から賞金稼ぎまで行ける •今ならオフラインの良さをもっと活かせる! 37
  24. 38