2010年12月15日

第5回北海道セキュリティ勉強会に参加してきた

2010/12/11は北海道セキュリティ勉強会の第5回勉強会が開催されたので参加してきた。

今回はチームチドリのTessyさんを招いての「CTFはじめの一歩」。

CTF概要

  • CTFとはCapture The Flagの略
  • 「旗取りゲーム」のシューティングゲームを模したコンピュータ全般の知識を駆使したゲーム
  • 世界各地で開催されている
  • 日本では最近セキュリティ&プログラミングキャンプで開催された
    →オープンな場では最近開催されていない
  • ジョパティ方式(予選・オンライン)
  • いくつかのジャンルと難易度を組み合わせて問題が出題される
  • ジャンルは[バイナリ解析・リモートexploitなど]
  • Root Fu(本線・オフライン)
  • 自サーバのサービスを守りつつ、他チームのサーバーを攻撃する
  • 参加するには「登録する」それだけ
  • 予選は48時間の長丁場
  • 目grep
  • 韓国はいつも日本の数歩先を行く。政府からの支援もある。
  • 世界につながっているCTF

CTF具体例

  • 「find the key」
    →提供されるファイル内に存在するkeyを回答する
  • 回答者の意図を読むのがこつ
  • 有効なツール
    findコマンド:ファイルの内容を知る
    hexdumpコマンド:バイナリ表示
    ncコマンド:ネットワーク解析
    gdb:デバッガ→メモリの情報をファイルに出力して答えの文字列を探す
  • 有償のツールは有効だが必須ではない
  • 「hack the planet」
  • 映画やドラマをネタにした問題も出題される
  • モールス信号やDTMFを使用した音声問題→audacityで解析
  • 動画問題
  • 暗号問題
  • 音符問題→マタハリ暗号
  • zipファイルはコメントにヒントがある場合も
  • 「ここはどこ?」という画像問題→埋め込まれた位置情報から

会場には問題サーバーも設置されており、PCがあれば問題に挑戦することができた。自分はPCを持っていかなかったが、隣の方が見せてくれた。まったく分からなかった。

「セキュリティ・プログラミングキャンプ」のご紹介

  • 当初はセキュリティコースのみだったが、2008年からプログラミングコースが追加された
  • 2010年はCTFが開催された
  • 当日までにWikiで自己紹介やTwitterで他参加者をフォローなどをした
  • 架空の図書館のサーバーがダウンさせてしまい逮捕される場合という架空の話をもとに、どうすればよいかなどの話
  • \爽快セキュリティ!/

セキュリティ・プログラミングキャンプについては、以前にセキュリティ・プログラミングキャンプ・キャラバンに参加して聞いていたが、これは本当に学生にとっては貴重すぎる体験だろう。興味ある人は是非挑戦してもらいたい。

0 件のコメント:

コメントを投稿