感想を20字以内で述べよ

>すごく楽しかった<

以上

楽しかった #とは

セキュキャンはセキュリティ人材育成合宿です。
捉え方をかえると、守る側のハッカーを育成する場とも言えますし、
コンピュータ大好き人間が集まってるとも言えます。

なので、みんなでwaiwaiするのは非常に楽しいです。
先生もエキスパートの方ばかりなので話を聴くのも楽しいですし、
おなじ参加者も変態的でレベルが高くて楽しいです。
非常に怖いですが。

事前学習

セキュキャンはたったの5日間です。
クラス別の講義ではたった3日間しかありません。
できれば本番は応用をしたいので、基礎を埋めるために事前学習がはいります。
わりと非常にとても重要。

1日目

初日は緊張しながら名刺交換したりどこにでもよくある光景。
twitterとかで先に知り合っておくと楽かも。

nicterとハッカー検事による特別講演。
いやあああダイダロスだあああ視覚化萌えだああああああ(ry
＿|￣| Σ・∴’、-=≡(っ’ヮ’c)ｳｩｯﾋｮｵｱｱｧｱｱｧｗｗｗＷＷｗｗ

サイバー攻撃をリアルタイムに可視化、警告を発する「DAEDALUS」 #DigInfo - YouTube
参考: http://ascii.jp/elem/000/000/706/706635/

ハッカー検事の方では、『悲ピー』という名言が生まれました。
参考: http://www.yomiuri.co.jp/zoom/20130813-OYT9I01128.htm
それはともかく、内容は攻撃した場合法的にどうなるのかの話でした。
ある程度技術持った人は(法的に)危なっかしい状態にあるのだなと感じました。

その後、winnyはなぜいけないか、というグループディスカッションもしました。
どこかで見たことある「Winnyは無条件で禁止」を、技術的な切り口で考えて知識のない人にどう対応するかディスカッションしたので、いままでと違った視点でみれたので興味深かったです。

2日目

一日中クラス別にわかれて、講義を受けます。
私はWebクラスだったので、はせがわさんをはじめとする講師陣に講義をしていただきました。
Webクラスでは主にクライアントサイドのWebセキュリティをしました。
JavascriptからDomBasedXSSやSame Origin Policy、Cross-Origin Resource Sharingをしました。
事前学習で基礎がかためてあったのでなんとかついていけました。

脆弱性を見つけて報告するときどうするか、報告される方はどうすればいいか。
どうやって平均的なWebセキュリティの知識レベルをあげていくか。
なかなかきけない話とディスカッションができました。

講義を新幹線ペースで終わらせたのち、
グループにわかれ用意されたWebサービスの脆弱性を探してなおす演習をしました。
4日目に他のグループのサービスの脆弱性を攻撃するという演習をしました。(もちろんローカルネットワーク内で)

3日目

企業見学でLACにいきました。
LACといえばパケット！というイメージをなぜか持ってたのですが、
SQLiの文字列をシグニチャとしてたり、思った以上にWebWebしてました。(WebWebってなんじゃ…)
JSOCはすごいかっこよかったです(こなみかん
やっていることもすごいですがデザインにも萌えをかんじました。

少テーマに分かれてディスカッション(?)するBoFをしました。
私が参加したテーマは「どうやってCTFを盛り上げていくか」でした。
CTFもぱっと見はかっこいいけど実際やっていることはかなり地味だし、
どうエンターテイメントというか、盛り上げていくか話し合いました。

4日目

午前中は専門で、先ほどのWebアプリケーション脆弱性を攻撃するのぷちCTFをしました。
CSRFをぐさーされてしまって、結果は2位でした。

その後、セキュキャン全体でCTFをしました。
思った以上に苦戦しました。
「あああわかんんないいいいいい」の苦しみの数々。
あ、でも、もちろんたのしかったです。

5日目

最終日はグループワークの発表をしたり、クラス別で成果発表をしました。
私達のグループはフールプルーフについて発表しました。
情報の考え方を現実世界に持ってくるのってsugoi楽しいなと思いました。(某班の宅配テロとか嫁認証とか

セキュキャンはこんな感じでした。
いろんな人と話していろんなことを考えて楽しかったです。

ちょっとした身の上話

私が情報の分野を本格的に始めたのが1年前・大学入学してからで、
それまで言語はろくに使えないしシェルも使えずsshも知らず状態でした。
セキュリティに興味持ったのは夏にCTFを勧められたときで、
Webに興味を持ったのも今年の冬にVPSを借りた時です(6ヶ月前)。

応募する時、ハリボテの技術で大丈夫かな…と思いました。
セキュキャンを薦めてくれた友人曰く「とりあえずダメ元で申し込もう」
とりあえずダメ元で出しました。

ダメなら審査で落ちるだろうし、うん。
そんな感じでした。

どのクラスにしよう

WebにするかNWにするかですごくなやみました。
パケットも楽しそうだし、Webも楽しそう。ぐぬぬ…

悩んだ挙句、

• 自分のサイトでなにか作りたいと思った時にwebの知識が必要ということ。
• 他人に迷惑かけそうでCGIすら怖くておけないのをなんとかしたい。

からWebにしました。

行ってから何人かと話したことですが、

ソフトウェア→アセンブリ
ネットワーク→パケット
セキュアなシステムを作ろう→いろいろ(組み込み,OS,etc...)
=======================
Web→XSSとかCSRFとかアプリケーション層

あれ、Webだけ浮いてない…？(レイヤーが)

応募用紙ってどう書こう

たぶん申し込もうとしてる人が一番気になるところですね('A`)
応募用紙は自分の考えを率直に書いたほうがいいと思います。
わからないなら調べて、とりあえず書いてみるといいのでは。

参考になるか不明ですがどんなこと書いたか小さく書いておきます。
応募した理由は、他人に迷惑書けそうで怖い、机上でなく実践的な技術を学びたい、専門外の人にセキュリティを知ってもらいたい、とか書きました。XSSについて語れは、当時LaTeXにハマってたので\inputってXSSっぽいことできるよねという感じのことを書きました。タイムマシンの話は、HTTPもっとセキュリティ考えてほしかった・仕様に厳格に従って欲しかったとかきました。jsコード断片は、正直よくわからなかったので自分の環境で動かしたり調べたりしながら、悪そうな部分からどうして悪いのか・どう被害になるのか・どうすればいいか書きました。(今から見直すとすごいたくさんツッコミたい部分が…tsurai)

ダメ元で応募したらセキュキャン受かった！
みたいなことがあるのでぜひとも

セキュキャン応募しましょう！