セキュリティ・キャンプ九州 in 福岡に参加しました
セキュキャン九州2014に参加しました。
大学に編入したばかりの頃はセキュリティ is 何って感じでしたが、いつの間にか合宿に参加していました。どうしてこうなった。
早く進路(どんな研究するか、とか)を決めたい。わりと切実に。
合宿はとても充実していて、満足した3日間を過ごすことができました。セキュリティに興味を持っていた反面、取っつきにくいとも感じていたので、こういう形で勉強できたのはとてもいい機会だったと感じています。
元々物理寄りな工学系でこういう技術技術したことは好きだったし、セキュリティとかネットワークとかは楽しく勉強できそう。
-1日目
実家で事前課題に取り組む。進捗ダメでした。
課題2と睨めっこしてて課題3手つかずだ…死のう…
— マナティー (@hnmx4) 2014, 8月 28
1日目
午前
午前は一般講座の参加者と一緒に基調講演を聞きました。
「福岡は(主に地理的要因で、大陸方面からの)標的型攻撃が多い」「若年層のサイバー犯罪が増加している」など、改めて考えると少しぞっとするな、という言葉が印象に残りました。怖いね。
午後
合宿講座の参加者は会場を移し、CTF講習を受講した後夕食をとり、セキュリティ技術者の就職ガイド受講しました。
CTF講習では練習問題が1問しか解けなかったり、Flagだと思ったのが間違いだったり、悲しい気持ちにもなりましたが、問題を解くのは楽しかったです。
まだ解いていない練習問題がたくさんあるので、時間を見つけて解いていきたいです。
噂では、1日目の講習が全て終わった後にCTFを開催した合宿参加者たちがいたらしい。猛者だ。
就職ガイドは色々な話が聞けて面白かったです。色々。
2日目
午前
JavaJavaでlispに萌え萌えでした。
JavaでWebアプリケーションを作るのは初めてでしたが、DB周り含めてさっくりできてよかった。
ここでも宿題ができたので、時間を見つけて取り組みたいです。
午後
突然XSS演習が始まり、ほとんと解けずにしょんぼりしていました。
その後の演習でも、
掲示板上の攻防でPHPもJavaScriptも頭から飛んでいてしょんぼりし、
Webサイトの脆弱性探しでは何をして良いか分からなくてしょんぼりし、
alert("emacs")を無限ループさせたり、前日解けなかった問題をサーバに投げつけたりしていました。
他の参加者が見つけた脆弱性の発表、講師の方の解説などを聞いて、「なるほど〜」となることが多く、知識不足を痛感させられました。精進します。
3日目
「攻撃者の思考」をトレースしたネットワーク内の端末の調査と、ハニーポットを設置したサーバの解析を行いました。
「攻撃者の思考」というのを考えたことがなかったので、そこからネットワークがどう見えるか、という話は印象に残りました。
後半のサーバ解析では「普段からログを見ていないと異常なログか分からない」というのを実感しました。ログを眺めても、攻撃者が何をしたか詳しく解析することはでず、かろうじて攻撃者の痕跡を見つけられたくらいでした。
これからはVPSのログを積極的に眺めていきたいと思います。目grep力高めよう。
キャンプを終えて
勉強もできたし、参加者と交流もできたし、すごい人とお話もできたし、参加できて本当に良かったです。
楽しい分野があることを知ることができたので、キャンプだけで終わらず、勉強を続けていきたいです。
それと、キャンプ中何度も登場し、印象に残った言葉があるので引用しておきます。
怪物と戦う者は、自らも怪物にならないよう心せよ。長く深く深淵を覗きこむとき、深淵もまたお前を覗き込む。 ―フリードリヒ・ニーチェ「善悪の彼岸」
情報セキュリティ技術によって、自らが攻撃者にならないこと。肝に銘じておきたいです。