SECCON CTF 2019 Final Competition (国際決勝)に参加してきた
この記事はセキュリティキャンプ 修了生進捗 #seccamp OB/OG Advent Calendar 2019とSecHack365 修了生 Advent Calendar 2019の25日目の記事です。
はじめに
今年はSECCON 2019 Online CTF という予選経由で12/21-22の国際決勝に招待されたのでhikalium, h_noson, st98 と一緒に「Harekaze」として参加してきました。
お疲れ様でした。11位でした pic.twitter.com/lfESEQxZ3L
— h_noson (@h_noson) 2019年12月22日
出題問題について
今年の国際結晶大会では例年通りKing of the Hill (KoH)形式で壱、弐、参、四、伍の5つの攻防サーバーとJeopardy形式のサーバーが用意され、問題が出題されました。
この中で、私は壱、弐、四、Jeopardyのmimura, QR Decoderに関わりました。
弐の問題サーバーは私1人で担当して, さくっと用意されたAttack Flagを3つ取りました。画像にノイズなどを含ませつつ、閾値を探っていく方針で進めました。序盤は精度が緩かったので少し弄ればいけました。その後はお茶汲み係をしていました。
あと、出題問題のWriteupは過去参加者の同人誌や作問者のブログなどを探すと、参考?になる情報が沢山でした...。今年の決勝のチームメンバー参加記やWriteup記事を貼っておきます。
(私は問題へのモチベーションはkimiyukiさんと似た感じでした。)
@st98
https://st98.github.io/diary/posts/2019-12-24-seccon2019finals.html
@h_noson
http://h-noson.hatenablog.jp/entry/2019/12/23/155403
@hikalium
https://hikalium.hatenablog.jp/entry/2019/12/22/232138
@kusano
https://qiita.com/kusano_k/items/7df11117a3e5cb668698
@kimiyuki
https://kimiyuki.net/writeup/ctf/2019/seccon-2019-finals/
http://katc.hateblo.jp/entry/2019/12/22/235419
また、サーバー弐や参は問題を見た瞬間に作業になるだけなので放置しようということにしたのですが、弐はすぐ解けるので個人0完回避のためにやりました。
(あっこれ〇〇で見たことあるー!リベンジしよう!)
ただ、Defence Flagは昨年の大会時のスクリプトを流用したらしい某チームの方が素早く対処していたようで、私では取れませんでした。悔しい。
壱のDefence Flagが上手く取れない(接続できない)ことでチームメンバーの @h_noson さんと悩んだり, 四の問題に見覚えがあり, Online予選のWriteupを読み漁っていました。他にもJeopardyの何問かをワイワイと試行錯誤しながら解いてました。問題のミスで想定外の解法がちらほら見受けれられたのは悲しい。
まとめ
今年も結果は良いとは言えませんでしたが、SECCONというイベントを楽しむことができたのでよかったです。CTF界隈で色々言われている大会ですが、私はSECCONはSECCONとして楽しめれば良いと思っています。来年もチームメンバーでワイワイ相談しあって楽しめる大会であって欲しいです。今年も運営の皆様有難う御座いました。
(強いていうとCryptoやWebらしい問題がちゃんと欲しかったです)
何事も過信せずに状況把握と代替案を怠るな。
この記事はセキュリティキャンプ 修了生進捗 #seccamp OB/OG Advent Calendar 2018の24日目[12/24(AoE)]の記事です.
そもそも、このカレンダーを作成した経緯を書きます。
セキュリティ・キャンプ修了生の進捗置場です。
気軽にどうぞ。 Progress report by seccamp OB/OG volunteers. Looking forward to the report from graduates!
About Security-Camp (全国大会 && 地方大会):
https://www.security-camp.or.jp/camp/index.html
https://www.security-camp.or.jp/minicamp/index.html
Official hashtag is [ #seccamp ]
Twitter: https://twitter.com/hashtag/seccamp
This is unofficial calendar created by @hiww.
一言で表すと「積極的な活動をしている修了生の近況を知る便利な共有場所がなかったから。」
補足:
セキュリティ分野は、
内輪の繋がりやイベント等でしか情報が流れてこない傾向があると感じ、
近況を収集する労力を最小限にしたかったから。
(ある意味安全なのかもしれないが。)
本題
21日目の記事に近い内容かもしれませんが記載します。
また、技術的な備忘録はこの様な形で進捗として書くと
書き棄てになりそうなので今回は書きません。
ソーシャルメディアが多々存在する中、
結局信頼・信用ベースでメディアは存在していると感じています。
セキュリティキャンプ修了生の多くはTwitterやGithubを利用しており、
時には個人や所属を容易に特定可能な情報が散らばっていることがあります。
そして、音信不通や悪意を持った人によるなりすましや誹謗中傷は時々見受けられます。
時々SNSやセキュリティの勉強をしている学生と話していて感じるのが、
修了生だからと言って、何か大きな特典がある訳でもなく、
セキュリティキャンプ事業を修了した後こそが、ある意味スタート地点だと思っています。
セキュリティキャンプで知り合った同士のお陰で世界や学びが広がることは多々ありますが、それはあくまでも自分で努力した結果(副産物)だと思っています。
「セキュリティキャンプ事業の修了生」が一種のフェデレーションとなっているかもしれないですね。
参考:
https://www.hitachi-solutions.co.jp/iam/sp/sol_signon.html
(そもそも修了生が公に公開しているSNSが本当に修了生本人のものかどうかも不明)
今年、過信して失敗した事例
- イベントや勉強会参加者のモラルを過信して運営が破綻しそうになった。
- そもそも運営メンバーも...
- 作業やデモ環境をクラウド依存してたら、肝心な箇所が障害で詰んだ。
- 有名な人(or 関係者)だからと言って色々と信用していたら詰んだ。
今後の対策や改善案
- 少しでも倫理観や内容が心配ならNDA(機密保持契約)を用意する。
- クラウド利用をする場合はローカル環境と同様かそれ以上にリスクマネジメントをする。
- 個人で色々と抱え込む事もリスクは大きいが、規模や重要度に応じて適宜検討することが大事。(勢いや過信はダメ。ゼッタイ。)
所感
- セキュリティって何かを信頼することから始まると思うが、過信は身を滅ぼすなぁ
アイカツ!シリーズを通して私のアイカツ!
Meow. pic.twitter.com/a2GSn24wRu
— hiww (@hiww) April 21, 2018
上記記事を見つけ、アイカツ!についてのブログを書きたいと思った。
アニメ「アイカツ!」シリーズ開始から5年以上が経った。
いちごちゃん・あかりちゃん・ゆめちゃん・あいねちゃん。
各シリーズの主人公や学園の仲間も限られた時間の中で一生懸命アイドル活動(アイカツ!)をしている。
&t=68から
「輝きたい衝動に 素直でいよう後悔なんて絶対 君には似合わない限りのない情熱で 飛び越えていこう」
直向きにアイカツ!する姿が日々、私を勇気づけてくれた。
喜怒哀楽したり、議論しても良い。
&t=41から
今後もアイカツ!シリーズと共にポジティブなアイカツ!をしていこうと思う。