読者です 読者をやめる 読者になる 読者になる

cocuh's note

type(あうとぷっと) -> 駄文

セキュリティキャンプ2013に参加してきたよっ #seccamp

web 感想文

セキュリティキャンプ(セキュキャン)のWebクラスに参加して来ましたっ
感想というか、いまの想いを忘れないように書いておきます。

主に目指してる読者層は、コンピュータ好きな人・セキュキャン興味持ってる人です。
ちなみに、感想は最後です。

セキュキャンってなによ

IPAとセキュキャン実施協議会が主催する、セキュリティ人材育成合宿のようなものです。

オフィシャルなことはサイトみたほうが早いかと。
http://www.ipa.go.jp/jinzai/renkei/camp2013/

youtubeのチャンネルもあります。
私はそこでセキュキャンがどういうものなのか感じたので一通り見てもらうといいかもです。
http://www.youtube.com/user/securitycampjapan/videos/


感想を20字以内で述べよ

>すごく楽しかった<

以上


楽しかった #とは

セキュキャンはセキュリティ人材育成合宿です。
捉え方をかえると、守る側のハッカーを育成する場とも言えますし、
コンピュータ大好き人間が集まってるとも言えます。

なので、みんなでwaiwaiするのは非常に楽しいです。
先生もエキスパートの方ばかりなので話を聴くのも楽しいですし、
おなじ参加者も変態的でレベルが高くて楽しいです。
非常に怖いですが。


セキュキャンでやったこと

事前学習

セキュキャンはたったの5日間です。
クラス別の講義ではたった3日間しかありません。
できれば本番は応用をしたいので、基礎を埋めるために事前学習がはいります。
わりと非常にとても重要。

1日目

初日は緊張しながら名刺交換したりどこにでもよくある光景。
twitterとかで先に知り合っておくと楽かも。

nicterとハッカー検事による特別講演。
いやあああダイダロスだあああ視覚化萌えだああああああ(ry
_| ̄| Σ・∴’、-=≡(っ’ヮ’c)ウゥッヒョオアアァアアァwwwWWww

サイバー攻撃をリアルタイムに可視化、警告を発する「DAEDALUS」 #DigInfo - YouTube
参考: http://ascii.jp/elem/000/000/706/706635/

ハッカー検事の方では、『悲ピー』という名言が生まれました。
参考: http://www.yomiuri.co.jp/zoom/20130813-OYT9I01128.htm
それはともかく、内容は攻撃した場合法的にどうなるのかの話でした。
ある程度技術持った人は(法的に)危なっかしい状態にあるのだなと感じました。

その後、winnyはなぜいけないか、というグループディスカッションもしました。
どこかで見たことある「Winnyは無条件で禁止」を、技術的な切り口で考えて知識のない人にどう対応するかディスカッションしたので、いままでと違った視点でみれたので興味深かったです。

2日目

一日中クラス別にわかれて、講義を受けます。
私はWebクラスだったので、はせがわさんをはじめとする講師陣に講義をしていただきました。
Webクラスでは主にクライアントサイドのWebセキュリティをしました。
JavascriptからDomBasedXSSやSame Origin Policy、Cross-Origin Resource Sharingをしました。
事前学習で基礎がかためてあったのでなんとかついていけました。

脆弱性を見つけて報告するときどうするか、報告される方はどうすればいいか。
どうやって平均的なWebセキュリティの知識レベルをあげていくか。
なかなかきけない話とディスカッションができました。

講義を新幹線ペースで終わらせたのち、
グループにわかれ用意されたWebサービスの脆弱性を探してなおす演習をしました。
4日目に他のグループのサービスの脆弱性を攻撃するという演習をしました。(もちろんローカルネットワーク内で)

3日目

企業見学でLACにいきました。
LACといえばパケット!というイメージをなぜか持ってたのですが、
SQLiの文字列をシグニチャとしてたり、思った以上にWebWebしてました。(WebWebってなんじゃ…)
JSOCはすごいかっこよかったです(こなみかん
やっていることもすごいですがデザインにも萌えをかんじました。

少テーマに分かれてディスカッション(?)するBoFをしました。
私が参加したテーマは「どうやってCTFを盛り上げていくか」でした。
CTFもぱっと見はかっこいいけど実際やっていることはかなり地味だし、
どうエンターテイメントというか、盛り上げていくか話し合いました。

4日目

午前中は専門で、先ほどのWebアプリケーション脆弱性を攻撃するのぷちCTFをしました。
CSRFをぐさーされてしまって、結果は2位でした。

その後、セキュキャン全体でCTFをしました。
思った以上に苦戦しました。
「あああわかんんないいいいいい」の苦しみの数々。
あ、でも、もちろんたのしかったです。

5日目

最終日はグループワークの発表をしたり、クラス別で成果発表をしました。
私達のグループはフールプルーフについて発表しました。
情報の考え方を現実世界に持ってくるのってsugoi楽しいなと思いました。(某班の宅配テロとか嫁認証とか


セキュキャンはこんな感じでした。
いろんな人と話していろんなことを考えて楽しかったです。


私が参加する前の話(ちょっとでも参加したいなと思った人向け)

ちょっとした身の上話

私が情報の分野を本格的に始めたのが1年前・大学入学してからで、
それまで言語はろくに使えないしシェルも使えずsshも知らず状態でした。
セキュリティに興味持ったのは夏にCTFを勧められたときで、
Webに興味を持ったのも今年の冬にVPSを借りた時です(6ヶ月前)。

応募する時、ハリボテの技術で大丈夫かな…と思いました。
セキュキャンを薦めてくれた友人曰く「とりあえずダメ元で申し込もう
とりあえずダメ元で出しました。

ダメなら審査で落ちるだろうし、うん。
そんな感じでした。

どのクラスにしよう

WebにするかNWにするかですごくなやみました。
パケットも楽しそうだし、Webも楽しそう。ぐぬぬ…

悩んだ挙句、

  • 自分のサイトでなにか作りたいと思った時にwebの知識が必要ということ。
  • 他人に迷惑かけそうでCGIすら怖くておけないのをなんとかしたい。

からWebにしました。


行ってから何人かと話したことですが、

ソフトウェア→アセンブリ
ネットワーク→パケット
セキュアなシステムを作ろう→いろいろ(組み込み,OS,etc...)
=======================
Web→XSSとかCSRFとかアプリケーション層

あれ、Webだけ浮いてない…?(レイヤーが)

応募用紙ってどう書こう

たぶん申し込もうとしてる人が一番気になるところですね('A`)
応募用紙は自分の考えを率直に書いたほうがいいと思います。
わからないなら調べて、とりあえず書いてみるといいのでは。

参考になるか不明ですがどんなこと書いたか小さく書いておきます。
応募した理由は、他人に迷惑書けそうで怖い、机上でなく実践的な技術を学びたい、専門外の人にセキュリティを知ってもらいたい、とか書きました。XSSについて語れは、当時LaTeXにハマってたので\inputってXSSっぽいことできるよねという感じのことを書きました。タイムマシンの話は、HTTPもっとセキュリティ考えてほしかった・仕様に厳格に従って欲しかったとかきました。jsコード断片は、正直よくわからなかったので自分の環境で動かしたり調べたりしながら、悪そうな部分からどうして悪いのか・どう被害になるのか・どうすればいいか書きました。(今から見直すとすごいたくさんツッコミたい部分が…tsurai)


ダメ元で応募したらセキュキャン受かった!
みたいなことがあるのでぜひとも

セキュキャン応募しましょう!






















セキュキャンの感想

たぶんこの分量を最後まで読もうとする方はいないだろうという事で最後に感想を(せこい)

セキュキャンは短いですが、ブースターというか、そういうものです。
自分の位置を50m上げてくれるのじゃなくて、速度を与えてくれるもので、
その後の位置はそれからの加速度で決まってくるのかなと。

今後が大事かなと



私は挫折を味わった方だと思います。

正直なところ、もっと手を動かしておけばよかったと思います。
今の時点で、知識は多少あってもそれが攻撃・対策に結びついていないです。
コードも書かなさすぎなのもあり、表面をみて内部処理がどうなっているのか推測できないです。
経験が足りていないのかなと思いました。

それに、上には上がいるし。
他の人は自分よりできるんじゃないかという無意味な疑心暗鬼に囚われる。
わからないなら訊けばいいし、実力が足りないなら自分なりのやり方で力をつけていけばいいのに。

あと、体力も必要だなと…
最後の方はバテバテでした。精神的にも体力的にも。
最後の方はよくわからないミスが連発して悲ピー…
運動しよう…

それとエナジードリンクは万能薬じゃないです。飲んでもバグは消えない(教訓)

つらみつらみばかり書いてますが、結局のところ楽しかった、なんだろうなぁ…
練習がつらい部活を卒業したけど「もっと頑張りたいな」みたいな気分です。
セキュキャンで得られたものはすごい多かった。

ともあれ、セキュリティを勉強してみてすごいおもしろいなと。
あ、でも、なにか開発したい欲があるのでなにかつくるような気がします。



セキュキャンの講師陣・関係者のみなさんと参加者のみんなに感謝と、
セ(キュ|プ)キャンを薦めてくれた友人に感謝します。



p.s.

セキュキャン参加者へ

FBなりTwitterなりで私を見つけたらどんどんフォロー(or ふぁぼ)してください。
よろしくおねがいしますっ・ω・