セキュリティ・キャンプ九州 in 福岡 2017に参加した。
とてもとても遅くなってしまいましたが(何か月前なんだよ)、セキュリティ・キャンプ九州in福岡2017に参加したのでブログ書きます。
下手な日本語でダラダラと書くのは許してください。
1日目(9月1日)
1週間ぶりに博多まで新幹線で行く。(東京に行くよりはるかに楽ではやい)
卵かけごはんの店で卵かけご飯2杯食べてから会場に向かう。
会場は、LINE Fukuokaさん。(1週間ぶりだなあ)
大きなサリーとセキュキャンの看板が迎えてくれる
少し早めにオープニングが開始!
『セキュリティ・キャンプ九州 オープニング』は、はせがわ先生から。
なんでセキュリティキャンプをやるのかとか、
このキャンプでは「つなげる」ことを意識してキャンプに臨んでくださいという話。
『情報セキュリティ技術の使い方をケースで考えよう』は、吉井先生から。
倫理的な話で、情報セキュリティに関する法律とか事件の解説が主だった。
LibraHack事件について僕は知らなかったのですが、とても印象的でした。
自分は悪意がないと思って技術を使っていても罪になることはある。
慎重に技術を使わないといけないなと感じました。
(あとでいろいろ調べてみたらこの事件はいろいろ物議を醸しているらしいが)
先生の言われているように、技術を持っていることを過信してはならず、自分なりの正義をもってそれを使うことを肝に銘じておきたいと強く思いました。
続いて、『そうだ!セキュリティ・キャンプ全国大会に行こう!』は上野先生から。
今年は、いろいろ忙しくて応募しなかったけど、来年は何が何でも応募するぞ!
というぐらいどれも楽しそうなのが紹介と写真から伝わってきました。
今回もすごい楽しかったけど、来年こそは、全国大会行きたいなあ。
『いじって壊して遊んでハッカーになろうーWebサーバ編ー』は、小出先生から。
急きょ順番が入れ替わったこの講義。
Raspberry Pi ほしいってひたすら思った。(誰か買ってほしい)
で、演習開始。
bottleとpeeweeとSQLiteだけでWebアプリの脆弱性に関する実験をしようという話
セッションハイジャックとかXSSとかCSRFとかSQLインジェクションとかやった。
教科書で見たような攻撃を実際に手を動かしてやるのは初めてだったので、
とても難しかったけど楽しかった。
初めの方からいろいろと手こずってしまって勉強不足だなあと感じた。
夜は、会場のLINE Fukuokaさんで開催された
LINE Developer Meetup in Fukuoka #20に参加しました。
「情報セキュリティの考古学」という藤井昭人さんの講演でした。
「情報セキュリティの歴史」っていうものを触れてきたことは今まで一度としてなかったのでとても勉強になりました。
でも途中、疲れててウトウトしてしまったのは内緒です。ごめんなさい。
(ちなみに講演の資料は探したら『UNIX考古学』のGithubページにありました)
(復習してるとやっぱり難しいけどおもしろい内容でした。)
あと、もうちょっと交流したかった。ごはん食べたかった。
その後、ホテルまで歩いて、コンビニツアーをし、ホテルへ。
本当は次の日の予習したかったけど、いつの間にか寝てしまっていた。
2日目(9月2日)
朝ごはん食べて、ホテルから歩いて会場へ。9時30ぐらいから講義開始!
『Webセキュリティ基礎講座』は、はせがわ先生から。
セキュリティの基礎に関する講義。
脆弱性はバグ。セキュリティだけにフォーカスするのではなく、プログラム自体の品質を上げてセキュリティに特化した対応を!#spcamp #seccamp by. @hasegawayosuke さん pic.twitter.com/motZR9yaX9
— セキュリティ・キャンプ (@security_camp) 2017年9月2日
「脆弱性はただのバグ」いろいろ難しい定義も習ったけどこれは腑に落ちた。
全然わかんなかったけど、解説聞いてなるほどって思った。
これぐらい分かるようにしないとなあ。勉強しなければ。
『ログ解析基礎講座』は、濱本先生から。
はじめは、標的型メール訓練のログ解析をしました。
ログ解析基礎最初の実習は標的型メール訓練のログ解析。 #spcamp #seccamp pic.twitter.com/Cy94lqCMJh
— セキュリティ・キャンプ (@security_camp) 2017年9月2日
実際に行われた標的型メール訓練のログを集計するという内容。
ログというものに触れて、解析するのは初めてだったので、全く前に進みませんでした。
皆、器用に解析していてすごいなあという感じだった。
次は、これ。
ユーザーから開いてない!って言われたんだけど、なぜそんなことが起こったのか?グループで議論 #spcamp #seccamp pic.twitter.com/HcO5aG2fkh
— セキュリティ・キャンプ (@security_camp) 2017年9月2日
何が起きているのか自分では、全く分からなかったが、
解説を聞く中で、ログの見方というのが少しは分かったのでよかったのではないかと思う。
(あまり内容は話してはいけないのだと思う)
後半は、ハニーポッドCowrieを触ってみるというお話。
ハニーポッドのことは全然わからなかった。復習しなければ!
『Game Security Hands-on』は志賀先生から。
Unityで作られた解析対象のAndoroidアプリゲームをチートするという内容。
環境構築にとても手間取ってしまいましたが何とか解析ができるようになった。
メモリ改ざんとか通信改ざんとかDLL改ざんをしようと試みました。
今までチートとか考えたこともなかったが、割と楽しいなあという感じでした。
様々なツールを使った改ざんの方法なども初めて知れたので勉強になりました。
その後は、ホテルまで歩き、コンビニツアーし、ホテルへ。
この日も疲れてしまってチートの続きをしようと思ったけどいつの間にか寝てしまっていた。
3日目(9月3日)
最終日! 朝ごはん食べて、ホテルから歩いて会場へ。9時30ぐらいから講義開始!
前日に引き続き、『Game Security Hands-on』
途中までHands-onの続きでそれから解説と攻撃の対策についての講義
いろいろな対策方法が考えられるが、どれも完璧ではなくて多層防御が必要だということがよく理解できた。
まとめ、チート対策の例。100%対策は難しいのでチートのコストを上げる多層防御が必要 #spcamp #seccamp pic.twitter.com/8BFdFTOyvc
— セキュリティ・キャンプ (@security_camp) 2017年9月3日
『攻撃の検知と防御』は服部先生、占部先生から。
前半は、攻撃と検知の仕組み、攻撃と検知の関係、監視の仕組みについての講義を受けました。知っているようであまり意識していなかったことが多かったので非常に勉強になりました。
昼ご飯を挟んで、後半は、いよいよ演習です。
Firewalldの設定を確認したり、Webページに攻撃して、それを検知したり防御したりしました。
Firewallの設定を手動でやったことなど今までになかったので、非常に楽しく、参考になりました。
その後、閉講式があり、集合写真を撮って解散。
全ての講義が終了しました。集合写真です。 #spcamp #seccamp pic.twitter.com/U3dGpHAoee
— セキュリティ・キャンプ (@security_camp) 2017年9月4日
新幹線までまだまだ時間があったので、15人?ぐらいでもつ鍋を食べにいきました。
もつ鍋! pic.twitter.com/qcKi0mW5Pt
— swamp (@swamptk) 2017年9月3日
まとめと反省点
3日間もセキュリティに関する講義を受けたのは初めてだったのでとても楽しい反面、自分の知識や技術のなさを痛感しました。
今回学んだ内容の多くは、僕が全く学んだことのない分野だったので、自分の興味をより広げることができたと思います。
そして、強く思ったのは、ラズパイがほしいっていうことです。
あと、事前課題をきちんとこなすということはとても重要です。イベント参加続きで忙しく時間がなかったなどと言い訳をしてはいけません。(ごめんなさい)
ブログは、復習がてら早く書かないと忘れてしまいます。いつまでも先延ばしにしてはいきません。(ごめんなさい)
今回得た経験や知識をもとにこれまで以上にセキュリティに関心をもってCTFなどいろいろなことにチャレンジしていきたいです。
講師の方々、事務局の方々、チューターの方々、そして参加者の方々、今回は貴重な機会をありがとうございました。