読者です 読者をやめる 読者になる 読者になる

セキュリティ競技会「hardening evolutions」で技術点トップ獲得してきた!

follow us in feedly

行ってきました、秋の沖縄!

前々から友人に誘われていたWASForum主催、内閣府の共催しているセキュリテイ競技会hardeninge evolutionsに参加してきましたー。(若干修正しました。)

Hardening 10 Evolutions, 2014.11.8-9 | Web Application Security Forum - WASForum

hardeningってなあに?

という方はこちらの引用から。

“Hardening 競技会といえば、丸腰のサーバを満足な道具もなく必死で守る過酷な8時間イベント”、という認識が定着してきたころかもしれません。「セキュリティ堅牢化の8耐」とも言われます。しかし、それは本来の意図とは異なります。Hardening Projectの目的は、より実践的な堅牢化の技術の価値を最大化すること、だからです。

http://wasforum.jp/2014/09/hardening-10-evolutions/


普段はSIをやってる身としてはセキュリティ分野でサーバ防衛のコンテストとか、もう全然の畑違い。
とはいえ飲み友達の某K氏の「学生も参加しているし、競技中はいくらでもやることあるから参加してみて!」
のひとことに押されて本当に参加してきちゃいました。

結果は・・・惜しくも優勝は逃しましたが、技術点最高得点の結果を獲得しました!

状況開始

4人1チームだったけど勝因は組んだチームのバランスが良かった。

自然とフォワード2名、ミッドフィルダー1名、ディフェンス1名体制が出来上がっていた。

とりあえずアイスブレイクの自己紹介と情報共有の方法だけパパっときめて、とりあえず環境設定から。
最初はウガーーーって唸るくらいつながらない!
portforwardの踏み台前提の環境はわかってないとなかなか厳しい!

とはいえ俺も予習してないワケじゃないぜ。
SSH力をつけよう

SSH力をつかおう


@togakushi さんのスライドは今まで何回見たのかわかんないくらいみたいのでslideshareを参考にやっと接続。
(あとでhardeningがキッカケで本を出すことになったというお話とか。紙の成果物までできてしまってスゴイ!)

途中から世界のYOUちゃんを味方に加えてスピードアップ。
「YOUさん、康介さんの手ぶらで帰るわけにはいかないっス。」
とかひとり思いながら作業続行。

アタッカーの二人がバンバン脆弱性を見つけてくれたので私は中盤で沖縄パッチマネージャーと化しておりました。

そして、後衛が社長向けの報告書を書きあげてくれたので、最終的にパシッとハマったのかも。

とりあえず今年流行りの脆弱性に狙いを絞ってコンソールを叩く。
手を動かして、修正していくのは楽しい!

しかし、strutsのライブラリだけ交換したらtomcatが動かなくなったのここだけの秘密です。
(ちゃんとキャッシュを消してデプロイしましょう!)

感想とか

hardeningの面白いところは、「守る技術」主眼に置かれているところ。
脆弱性発見だけでなく、サーバ防衛のための事業継続性の対策と、会社や顧客向けの対応も求められる。

CTFとはまた違った対応を求められるので、実務経験でタコツボ化した知識だけだと役にたたないのを痛感。
それでも自分でサーバ管理をしてみたり、情報セキュリティスペシャリストを受験したりしてきたことが
結果的に実ったのは本当に嬉しい!


後半戦は競技会とは違う形式の「アンカンファレンス」
これについてはいろいろ話したいこともあるので、またあらためてブログに書きたいと思いまーす。

その他、初日いろいろの図。

お弁当美味し!
しかし味わってるヒマなし、という別の意味で無慈悲な攻撃。


沖縄で有名な富士屋のぜんざい。
オーバーヒートしかけたアタマに染み入ります。

1番感動したのがHome Coffee!
香り高いのなんのって。
沖縄でNo1サードウェーブは本当に美味かった。ついてきたお菓子も