Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CTFにおけるOSINT問題作問の難しさ

 CTFにおけるOSINT問題作問の難しさ

CTFにおけるOSINT問題作問の難しさ
(OSINT中心のCTF・TsukuCTFを主催記)

総関西サイバーセキュリティLT大会(第36回)
https://sec-kansai.connpass.com/event/263219/

Ryusei Ishikawa

December 14, 2022
Tweet

More Decks by Ryusei Ishikawa

Other Decks in Programming

Transcript

  1. CTFにおけるOSINT問題作問の難しさ
    (OSINT中心のCTF・TsukuCTFを主催記)
    xryuseix

    View full-size slide

  2. 自己紹介
    ● 立命館大学 上原研究室 B4
    ● SosaiLTは2回目です
    ● IT企業でアルバイトをしています
    ● 最近はずっとスプラトゥーンをやっています
    ● 卒論が終わりません
    石川琉聖 (id:xryuseix)
     @ryusei_ishika
    2

    View full-size slide

  3. INDEX
    3
    1. CTFにおけるOSINTとは
    2. TsukuCTFについて
    3. CTFにおけるOSINT問題作問の難しさ4選
    4. おわりに
    スライドを作りすぎました。サクサク進みます。

    View full-size slide

  4. 1. CTFにおけるOSINTとは
    OSINT(Open Source INTelligence) :
    一般に公開されている情報源からアクセス可能な
    データを収集、分析、決定する諜報活動の一種 ※1
    ※1 https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/41.html
    画像 https://osintframework.com
    【CTFで頻出の内容】
    ● 画像から場所の特定 (geOSINT)
    ● 特定の人物・企業を調査 (HUMINT)
    ● サーバやドメインの調査
    【OSINTの有名なCTF】
    ● Open xINT CTF (AVTOKYO併催CTF)
    ● Recon Village OSINT CTF (DEFCON併催CTF)
    ● Cyber Detective CTF (常設CTF)
    4

    View full-size slide

  5. 2. TsukuCTFについて
    ● OSINT中心のCTF (OSINTが5~8割)
    ● 過去に2021/09, 2022/10 の2回開催
    ● SecHack 365の修了生が運営
    ● 2022の参加者数は652人、総提出回数は13000回以上
    5

    View full-size slide

  6. 2. TsukuCTFについて
    Q. この場所は? Q. この人の使用している
    外部サービスを調べてください
    6
    A. ポスターの文字を文字起こし
     → Baidu Imageを使う
     → 中国の「華南理工大学」だとわかる
    A. xeuledocを用いてEmailを取得
     → GHuntを用いてGoogle Map垢を取得
     → Google Map垢にTwitter IDが記載
     → sherlockを用いて
    Traktを使用していることがわかる

    View full-size slide

  7. 3. CTFにおけるOSINT問題作問の難しさ
    1/4 実在する人物を使いにくい
    7
    実在する人物をテーマに作問すると肖像権+諸々の問題が出やすい
    架空の人物を作成し、
    整合性が取れるように
    情報をインターネット上に配置する
    or
    勝手に使っても
    怒られなさそうな人を使用する
    (有名人、
    かつ誹謗中傷しないような問題 )
    方法 1 方法 2
    ex. 氏名、メアド、生年月日、人物像
    などを決めてアカウント・
    Webサイトを作る
    ex. 大統領、有名企業社長、有名俳優など。
    スクープ系や意図せず漏洩された情報などは
    ×
    問題

    View full-size slide

  8. 2/4 戦争や宗教に触れにくい
    8
    問題
    正解するために悲惨な情報や写真にアクセスしてしまう
    例: Open xINT CTF 2022 tank
    「この場所の戦車の位置を求めよ。」
    画像 https://twitter.com/huruank/status/1352248366143574020
    ※2 https://twitter.com/YuhoKameda/status/1586534107777216512
    主催者(@YuhoKamedaさん)の回答 ※2
    “ 時事ネタの出題の難しさは理解しているつもりで、
    OSINTって最も活用される軍事系とは切り離せない
    面もあって取り入れた結果となっています。
    災害の歴史とかも考えたんですが他分野でも
    代替できるだろうと考え避けた経緯もあります。

    3. CTFにおけるOSINT問題作問の難しさ

    View full-size slide

  9. 3/4 地名の偏り
    9
    問題
    特定の地域に住む参加者が非常に有利になってしまう(geOSINT)
    運営陣は 10 人以上かつ
    移住地がさまざまだった
    運営陣の家の近くや
    旅行先などを積極的に使用した
    ※現在はまだ日本人が有利
    3. CTFにおけるOSINT問題作問の難しさ

    View full-size slide

  10. 4/4 答えの証明
    10
    問題
    インターネット上の情報が全て正しいとは限らない
    なので出題できるのはこの辺りです
    ● データとして保存されているもの
    ○ 写真を撮った時刻・座標など
    ● 作問者が自分で作成したもの
    ○ Webサイト、SNSアカウントなど
    ● 信頼できる情報源から発信されたもの
    ○ 政府機関などの公的機関から発信されたもの
    ● 特定のコマンド・ツールの出力結果
    ○ whoisコマンド・GHuntなど
    ○ 開催期間中は出力結果が一定である事を保障すべし
    3. CTFにおけるOSINT問題作問の難しさ

    View full-size slide

  11. 4. おわりに
    TsukuCTF 2023 開催準備中です
    2023年9, 10月あたりに1~2日間の開催を予定しています!
    続報はこのTwitterアカウントをフォローしてお待ちください!
    @tsukuctf
    11

    View full-size slide