2010/12/11は北海道セキュリティ勉強会の第5回勉強会が開催されたので参加してきた。
今回はチームチドリのTessyさんを招いての「CTFはじめの一歩」。
CTF概要
- CTFとはCapture The Flagの略
- 「旗取りゲーム」のシューティングゲームを模したコンピュータ全般の知識を駆使したゲーム
- 世界各地で開催されている
- 日本では最近セキュリティ&プログラミングキャンプで開催された
→オープンな場では最近開催されていない - ジョパティ方式(予選・オンライン)
- いくつかのジャンルと難易度を組み合わせて問題が出題される
- ジャンルは[バイナリ解析・リモートexploitなど]
- Root Fu(本線・オフライン)
- 自サーバのサービスを守りつつ、他チームのサーバーを攻撃する
- 参加するには「登録する」それだけ
- 予選は48時間の長丁場
- 目grep
- 韓国はいつも日本の数歩先を行く。政府からの支援もある。
- 世界につながっているCTF
CTF具体例
- 「find the key」
→提供されるファイル内に存在するkeyを回答する - 回答者の意図を読むのがこつ
- 有効なツール
findコマンド:ファイルの内容を知る
hexdumpコマンド:バイナリ表示
ncコマンド:ネットワーク解析
gdb:デバッガ→メモリの情報をファイルに出力して答えの文字列を探す - 有償のツールは有効だが必須ではない
- 「hack the planet」
- 映画やドラマをネタにした問題も出題される
- モールス信号やDTMFを使用した音声問題→audacityで解析
- 動画問題
- 暗号問題
- 音符問題→マタハリ暗号
- zipファイルはコメントにヒントがある場合も
- 「ここはどこ?」という画像問題→埋め込まれた位置情報から
会場には問題サーバーも設置されており、PCがあれば問題に挑戦することができた。自分はPCを持っていかなかったが、隣の方が見せてくれた。まったく分からなかった。
「セキュリティ・プログラミングキャンプ」のご紹介
- 当初はセキュリティコースのみだったが、2008年からプログラミングコースが追加された
- 2010年はCTFが開催された
- 当日までにWikiで自己紹介やTwitterで他参加者をフォローなどをした
- 架空の図書館のサーバーがダウンさせてしまい逮捕される場合という架空の話をもとに、どうすればよいかなどの話
- \爽快セキュリティ!/
セキュリティ・プログラミングキャンプについては、以前にセキュリティ・プログラミングキャンプ・キャラバンに参加して聞いていたが、これは本当に学生にとっては貴重すぎる体験だろう。興味ある人は是非挑戦してもらいたい。
コメント
コメントを投稿