仲間で戦う高揚感がたまらない!みんなで行こうhardening!(本家とminiと)
3月はいろいろ書きたいネタがあったのだけど忙しすぎたので思い出しながら。
3/7(土)に都内でHardening miniのイベントがあるということで参加してきました。
場所は日本のインターネットの巨人、飯田橋にあるIIJさん。
沖縄ではなく、都内開催ということで顔ぶれがだいぶ違うみたい。
学生も多く、「セキュリティ・キャンプ卒業生です」とか「CTFバリバリしてます」
とか尖った人が多い印象でした。
イベントの様子は我らが川口さんがレポートしてくださっていますので、そちらをご覧ください。
川口洋のセキュリティ・プライベート・アイズ(53):Hardening Projectから派生した「MINI Hardening Project」に行ってみた! (1/2) - @IT
で、結果どうだったの。
なんと優勝してしまいましたwww
というのも前半戦はどのチームも管理サーバにすらログインできない環境問題に悩まされたのですが、
うちのチームのひとりが安定したログイン状態を保つことができて、
どんどんと怪しいところをリストアップしてくれてました。
そのおかげで中間発表時点で堂々の1位通過!
後半はネットは安定してきたのですが、公開サーバにトンネルが通せないという不甲斐ない状態に。
やれることからやろうということでWEBサーバのwgetでの死活監視、ログ分析、報告資料の精査、を
分担してやりました。
最終的には、サービス継続、脆弱性の発見数、報告書の品質ともに1位だったとのことでホッと一息。
前半何もできなかった分は、後半は社会人スキルを駆使して、なんとかチームに貢献できました。
優勝商品は安定の麻袋・・・。
気をつけたこと
大事なポイントはやはり「役割分担」に尽きます!
自分はどう考えてもアタッカー向きではないのは把握した上でもやれることはいくらでもある。
・マネジメントスキルで役割分担を決めるチームビルディング
・ビジネススキルで報告書様式の整備(報告される側にとっては見た目もかなり重要!)
・踏み台の向こう側とローカルでファイルを行き来(ログファイルとかRPMとか)
新鮮だったのは「CTFならこうやっちゃうのにな」「ビジネス視点でサービス運営って難しい」という意見。
仕事としてのバランスを保つのもHardeningの難しくて、面白いところですね。
待望のブレイクタイム!
本家からの差し入れいただきました!
紀の善のまっちゃといちごのあんみつ。
疲れた頭には最高に美味しかった!
東京みやげでかなりのランキングなだけある。
復習せねば:
あまりのSSH力の不甲斐なさにHardeningの正式成果物?
@togakushi 先生の本を購入しました。
これでssh踏み台10段も怖くない?
しばらくはこれでSSHサーバを放浪してみたいと思います。
そして待望の2回目の関東開催
ちなみに今週は2回めのhardening mini1.1の応募が始まりますよー。
MINI Hardening Project #1.1 - connpass
前回もあっという間に枠が埋まってしまったので、
開始と同時にポチッとしましょう。
2015/04/25(土) 16:00 はボタン押す準備忘れずに。
始めての人向けなので前回参加者はダメですよ。
Road to 沖縄!
そうこうしている間に本家で6月の沖縄での開催が決定しました。
Hardening 10 MarketPlace – the 1st event of Hardening Project 2015 | Web Application Security Forum - WASForum
Hardening 10 MarketPlace
今回は原点回帰の地獄の8時間耐久レース。
梅雨明け前の熱い夏の予感を感じつつ、普段では味わうことのできないスリルを味わいに行こうと思います。