げんたろう's備忘録

セキュリティに関して思ったことをまとめます。

SecHack365 2018参加記

自己紹介

電気通信大学修士2年(参加当時1年)、専攻は情報学(セキュリティ、暗号)です。CTF(いろいろ)や競技プログラミングAtcoder)、セキュリティキャンプなどに参加してました。

SecHack365では、「プライバシーに配慮したTwitterアカウント PEACE」を作成しました。作成した作品は優秀作品(6作品 / 36作品)に選ばれ、偉そうな人たち(総務副大臣etc)の前で発表しました。

SecHack365での活動

応募段階

研究で扱っていた、完全準同型暗号を使ったアプリケーションを作りたいな~という気持ちで参加しました。

→参加者の中に暗号に興味ある人もいないし、一人で作るなら大学でやれば良いな?と思い、挫折しました。

グループ加入段階

所属する研究室の暗号以外のもう1つのテーマであるSNSに興味を持っている人が多いことを知り、自分もそちらへシフトしました。
隣で研究していて、割と詳しいしなんか作れそう!という気持ちからSNSに興味を持っている人たちに話をしに行って、グループへ加入しました。

グループ開発段階

毎週水曜日に20:00~から2時間話し合い

f:id:gntrua:20190403153616p:plain

google driveのオンライン話し合いメモ

最終的には計24回になりました。

話し合いの多くは、どういうモノを作るか?の話し合いでした。

話し合いにはトレーナー(池田さん、花田さん、佳山さん、柏崎さん)も参加してくれる!!!!!

初めてのGit

恥ずかしながら、1人での開発しかしたことなかったので、初Gitを使った開発でした。

Gitの基本的な考え、コマンドはわかるようになりました!(mergeミスったときとかゴチャゴチャしたときの対処わからん)

発表会前の徹夜

愛媛回(12月)、沖縄回(2月)、成果発表会(3月)には、たくさんの人向けの発表があります。発表前には徹夜でプレゼンとモノの準備をしました。「一回一回、評価されてるんだ!」という気持ちでその時点で最高の発表をすることを心掛けました。

 発表もトレーナーがたくさん見て意見してくれるので、どんどん良いものになっていきます!

参加のためのアドバイス

自分が何をやりたいのかを語ろう

そんなものはない。って感じなんですが、語ろう。無ければ候補挙げてサイコロ振って決めましょう。

やりたいことに向けて何か試してみよう

SecHack365の人々は実践を重視してるっぽいです(思索・・・?知らん)。やりたいことに向けて、何か努力していて、SecHack365では実現に向けて更に加速したいとか言えば良いと思います。

トレーナーを知ろう

SecHack365のメリットは温泉に行けること、トレーナーに指導してもらえること、NONSTOPを使えること(不正アクセスMalwareとかやる人以外に使い道がない?)、セキュリティに詳しい人がたくさんいる、温泉に行けることです。

トレーナーに指導してもらえそうなテーマだと、いろいろな話を聞けて良いはず。
(トレーナーに居なくても、トレーナー経由で詳しい人に話を聞きにいけたりするらしい)

参加後のアドバイス

トレーナーを使おう

トレーナー、明日の仕事大丈夫なの?ってぐらい手伝ってくれます。

某トレーナー「俺今新幹線乗ってるけど、話し合いは聞いとくから・・・」

某トレーナー「やべ、そろそろここ出ないといけないから・・・(23時)」

感謝しかないです。また、こんな風に誰かのためにすげえ手伝ってくれるカッコいい大人いるんだな~という気づきも得られました。

グループを作ろう

グループを作ることでいろんな利点が!

利点
  • 分担可能
    資料作成や発表練習など、分担できます。忙しいときもお互い補い合えます!
    (開発は分担すべきではないので、責任もって自分の担当分は作りましょう)
  • 話し合いでどんどん良い感じになる!
    1人で考えるより、複数人で考えたほうが良いのできるのは当たり前。

友達を作ろう

参加者=積極的なヤツ、なのでいろんなイベントで会えます。セキュリティ関連のイベントに適当にいけば、誰かはいます。(トレーナーは大体いる)

無料で友達が40人増えると思えば、優良出会い系サイト。

最後に

楽しいことが沢山ある一方、辛いことは少ないのでぜひ参加することをお勧めします。楽しそうな写真を最後に貼っときます。

f:id:gntrua:20190403162904j:plain
f:id:gntrua:20190403163025j:plain
f:id:gntrua:20190403163016j:plain
f:id:gntrua:20190403163000j:plain
f:id:gntrua:20190403162951j:plain

 

2018年セキュリティキャンプ全国大会について僕が思うこと

2017年のセキュリティキャンプ全国大会に参加したげんたろうです。 僕の私見として今年のセキュリティキャンプの良さげな点を書き連ねます。

www.ipa.go.jp

ジュニア限定ネットワークゼミ

  • 早寝早起きが出来て最高。
  • 確かに22:00以降からの明日の準備とかは現役大学生達さえも体力の限界が来てた。
  • 内容もすごく興味深そう。僕が大学3年生とかで学んだこと・・・。

トラック制

  • 2017は完全に自由な選択講義形式で、応募段階ではどういった授業を受講しなければならないといった制限はなかった。
  • 体系的に学ぶかどうかも完全に個人に委ねられていた。
  • 一方2018は選択と必修のハイブリッド(大学の講義)みたいな感じなので、体系的かつ好きな知識を得る!という事が出来て良い。

フィジカルトラック

  • バリバリのハードウェアよりのセキュリティも面白そう。

応募を考えてる人へ

  • いろいろ用意されてるので、自分がやりたいことを好きに選択したら良いと思う。
  • 応募用紙を書く際に説明の粒度に悩むと思うが、読む相手はプロかもしれませんが何も知らない賢そうな高校生に説明するぐらいを目標にして頑張ってほしい。
  • 大人たちが参加者に実りある時間を過ごさせようとものすごく頭を悩ませた結果の存在なので、おそらく楽しいと思うのでぜひいろんな人に参加してほしいと思う。
  • いろんな人がおっしゃるところではありますが、何事もとりあえず挑戦してみるという姿勢が良い。

頑張って!!!!!!!!!!!!!!!!!!!!!!!!

江戸前セキュリティ(2017/08)

しのぎさんによるShinobotの解説


第一章

Powershellを使ってみる

パイプでオブジェクトが渡せるらしい。

f:id:gntrua:20170826141758p:plain
一体何だこれは・・・。

Powershellで絵が描けるらしい。

http://www.shino.club/


で、画像を投げるとpowershellのコマンドが帰ってきて、それを実行すると画像が書けるらしい。
f:id:gntrua:20170826144536p:plain

powershellで音を鳴らしてみる

え?beepで単調な音が鳴ったと思っていたら・・・

f:id:gntrua:20170826143402p:plain

ピアノが弾けるらしい・・・
ピアノの会が始まる


カエルの歌を引いた。
めっちゃ面白い

WMIオブジェクトが簡単に参照できる

WMIとは、
windows management instrumentationのことで、なんかいろんな情報が入ってるらしい?

例では、BIOSの情報なども取得できるらしい。
例えばVMでやってたりすると、VMwareとかになっていると、サンドボックスだな~とわかるらしい。

第二章

Q.なぜ悪用されるのか?
A.便利だから。
A. .NETのライブラリが利用できる
A.C#のコードがコンパイルせずに実行できる
A.ネイティブコードも実行できる
A.しかもファイルレスで!

powershellとかでできないネイティブコードとして実行させれば、良い。

Shinobotとは

ウイルス対策ソフトとの闘いの中でいろいろ新たなものを作っている・・・

  • Shinobot Suite
  • Shino Encoder

等々

ShinoBot.ps1を使ってみる

f:id:gntrua:20170826153139p:plain
ブラウザからスクリーンショットも撮れるし、ejectもできる・・・

青羽さんによる『自力で取りたいCISSP』

鮭のきり身さん

CISSPについて

  • 日本には約1800人しかいない
  • CBK8ドメインというものがあってそれらの知識が必要とされる

どういう試験?

  • Webで予約
  • 受験料600ドル
  • 東京・大阪一か所ずつ(東京なら帝国ホテルタワー!)
  • 試験時間6時間
  • CBT方式
  • 言語は日本語でもOK
  • 合格ラインは70%以上
  • 結果はその場で紙でもらう
  • 再試験ポリシーは3回/年
  • 認定に必要な要件・700/1000、2ドメイン以上で5年以上の業務経験、資格保持者による推薦
  • セミナーを受ける(50万円)→受験→認定

CISSPの具体的な勉強方法

  • 判断問題(テキスト基準)と知識問題(テキスト以外からも補填)それぞれある。
  • 教材:テキスト・CISSP Study apps・One note(自分でまとめる)・暗記シート/暗記ペン
  • 全体理解→理解の深化→記憶・想起力強化
  • テキスト読み込み&まとめのサイクルを永遠に回す(9段ぐらい回されたそう)
  • いろいろセミナーもある(メルマガとかで情報収集しよう)
  • 2018年の4月に試験内容が変更になる

もっちーさんによる経済産業賞を取った理由

  • つよい。
  • お話が面白くてメモを取り忘れた。
  • サイバーレンジを作った経験が役立ったらしい
  • セキュリティ技術者は中間層が足りないのでは?
  • セキュリティの初歩を倫理と一緒に全員に教えていくべき