イベントレポート
セキュリティ・ミニキャンプ in 東北に行ってきた話
beko
先日開催されたセキュリティミニキャンプ in 東北に行ってきました!
自分は去年に続き2回目の参加でした。
事前課題
今回のミニキャンプの事前課題として、pcapファイルが渡されました(3問)。これがなかなか難しくて、普段からやっているCTFでは、パケットのなかにflagというものが必ずあってそれを探せばよいのですが、今回の事前課題(2/3問)では、どんな通信をしているのか問われていたので、現実的でいい勉強になりました。
どんな通信をしているのかは、わかるけど、どうしてこうなってるのかという明確な理由が思いつかなかったので結局解けないものもありましたが、とても楽しめましたw
1日目(一般講座)
これは、twitterなどでまとめなどがあるので割愛します!が宮城出身の僕としては、宮城にもセキュリティをやっている企業があるのを知れたのは、とてもためになりました。それと宮城県警サイバーセキュリティ担当の方がどんな仕事をやってきたのか、普段どんな仕事をやっているのかみたいな話はとても興味深かったです。
2日目(専門講座)
2日目は、ネットワークのセキュリティ診断の講義とファジング実践の講義でした!
ネットワークセキュリティ診断
ローカルなネットワーク内で稼働している複数のサーバの脆弱性や悪い仕様などをついて侵入してみようという講義でした。色々アクシデントはありましたが、とても楽しめました!普段から家のローカルな環境で色々実験しているつもりでしたが、実際やってみるとネットワーク診断って難しいなと感じたのと、時間内でサーバーを攻略することができなくて自分の技術力なさを痛感しましたw 結構時間短いと感じたのですが、チューターさんたちは普通にサーバー攻略してroot権限とっていたので、プロという感じでした。
ファジンング入門
外部から遮断されたネットワーク内の各自のパソコンの上に立てられた仮想環境で動いているWebサーバーのLighttpに対して、IPAのファジングツールで大量の細工したHTTPリクエストを送り、ヘッダの処理などに脆弱性がないかを探そうという講義でした。ただツールを使って、脆弱性あったで終わるのではなく、Wiresharkでキャプチャしたパケットから脆弱性があると判断されたパケットを特定し、そのパケットから脆弱性の要因を考える感じでした。ちなみに本キャンプでは、めっちゃ高いという噂の有料版を使うらしいw ファジングツールは大量のリクエストが送るので、実行時間がかなり長くて劇辛いという気持ちでしたww 心を無にしてパケット眺めながら脆弱性が見つかるの待ってたんですが、見つかってくれなくて、アッ!という感じで泣いてましたorz どうやら想定脆弱性が一個だったらしい!! (いっぱいあるのかと思ってた) ファジングツールを回している最中は山下さんと、ファジングのツール自作についての話もできたので、勉強になりました。とりあえず外との通信遮断して、今回使ったファジングツールを自宅のローカル環境で、何かに試してみたい気持ちでいっぱいなので冬休みにでも、試してみようかと思います。
なんというか、今回のミニキャンプで、もう少しCTFをするにしろ、セキュリティ学ぶにしろ、もう少し実際はどうやって使われているのかなど考えながら実践的に学んだほうがよいのではと強く思いました。できないの辛いので精進します!!
東北以外でもミニキャンプは開催されていたり、来年もおそらく開催されるので興味ある方は、ぜひミニキャンプに行ってみてください~~
来年は就活や研究で忙しそうだけど、セキュキャン本大会に応募して合格したいですね~~~~。。。。
杉山