BlogIsHowMuch

鑑賞した作品のレビューやプログラミング系のネタをダラダラ書いていくだけのブログ

セキュリティキャンプ2017全国大会 感想

f:id:HowMuch:20170824005029j:plain:w300f:id:HowMuch:20170822145036j:plain:w300

事前課題

セキュリティキャンプ全国大会2017に参加決定と回答作成の覚書

講義の内容

講義はカーネルexploitに落選した以外は第一志望の講義を受講することができました。どの講義も新しい知識が得られて、第一線で活躍されるプロの講師の方の明文化されていないような経験則を教えていただけて満足な内容でした。

C1 ブラウザの脆弱性とそのインパク

ブラウザの脆弱性には以前から大きな興味を持っていたので受講しました。以前から興味のあったバグハンティングに関する話も伺うことができてとても有意義でした。

B2 組込みLinuxクロス開発スタートアップ

自力でビルドしたコンパイラやライブラリを最終的にRaspberryPiに移植して動かす実験をするつもりでしたが、最後のビルドがギリギリ時間内に終わらず残念ながら完成まで辿り着けませんでした。環境をプラモデルのように構築していく感覚が面白かったです。

C3 Vulsを用いた脆弱性ハンドリングとハッカソン

vuls作成の背景やGithubでの様子などの話が聞けました。モノづくりにはそこまで興味がありませんでしが、講義を受けているうちに何かオープンソースで作ってみたいと思うようになりました。友達と相談しながらのvuls改良のグループ演習も楽しめました。

D4 マルウェア x 機械学習

python機械学習ライブラリを使ってマルウェア検知をやってみました。以前から興味があった機械学習ですが、難しそうなので敬遠していました。しかし、ライブラリに頼ることでかなり敷居が下がることが分かったのでこれから挑戦してみたい分野になりました。演習はファイルの転送やら展開でもたついて満足にできずに少し残念でした。

D5 The Anatomy of Malware

IDAを使った静的解析の講義でした。基本的なことは知っていましたが、暗号ルーチンのバイナリ列をググると暗号方式がわかるなどのテクニックは知らなかったのでとても有意義でした。

B6 AVRマイコンで作るBadUSB工作・改

BadUSB作成は去年の参加者の方のブログを拝見して以来ずっと興味あるものだったので体験できてとても楽しかったです。自分で作ったBadUSBが正常に作動してPCを勝手に動かす様子には感動しました。windows10に自動ログインする機能と、powershellを用いたdownload-execの機能を実装しました。 f:id:HowMuch:20170824004040j:plain:w300

A7 ファジング実習

ファジングは体験したことがなかったのでいい経験になりました。CTFでもpwn系の問題を解くときに最初の脆弱性を発見できずに先に進めないことが多々あるので有用なテクニックを手に入れることができてうれしかったです。バグハンティングなんかにも使えそうで今後どんどん使っていければと思います。

反省点

最終日に「自分の興味あることはどうせ独学でやるので普段やらないような講義を受講した」という方がいらっしゃっいましたが、自分はキャンプ3日目でようやくその考えに行きつきました。プロの方にいろいろ聞けるのでどの講義も有意義であることは間違いないのですが、遅かれ早かれやることをこの貴重な機会に充てるのではなく、自分の知識の幅をより広げられるような講義の選択をするべきだったなと感じました。

感想

4泊5日とても楽しかったです。一日のほとんどの時間が講義になっているわけですが、どの講義も刺激的で全く飽きることがありませんでした。 講義や食事、グループワークの時間を通して他の参加者やチューター、講師の方々と交流を深めることができたことは家に部屋に籠っていてはできないとても貴重な体験だったと思っています。 自分が好きなことについて深い会話ができる機会というのは中々ないのでそこの部分も楽しかったです。 当たり前ですがセキュリティキャンプがゴールとは考えていないのでキャンプで学べたことを活かしていきたい考えています。また、このキャンプで繋がれた人達との関係を保ち、発展させていければと考えています。 内容もびっくりするくらい素晴らしいものでしたが、一番びっくりするのはすべて"無料"である点だと思います。これだけの規模のことを体験して電車賃まで出していただけるとは思いませんでした。それだけ我々に対して期待をしていただけているのだろうと思います。 セキュリティキャンプ関係者の方々には感謝してもしきれないので、何らかの結果を出していくことで恩返しができればなと思っています。 5日間ありがとうございました!

ケイゾク レビュー

ケイゾク DVDコンプリートBOX

ケイゾク DVDコンプリートBOX

感想

SPECが好きだったのでずっと視てみたいと思っていた作品です。amazonプライムビデオにあったので一気に視てみました。 柴田の可愛さと、真山のキャラクターが良い。 SPECの前作というよりもTRICKの原型という表現がしっくりくる作品でした。 前半は個別の事件を解決していくだけで特に超能力も出てこない普通のミステリードラマです。 終盤は朝倉という整形と暗示を使いこなすチート犯罪者との対決になります。 朝倉に関しては最初からSPECホルダーという設定にしてしまった方が良かった気がします。明らかに人間のできる域を超えてしまっているので無理やり理屈づけても納得できない。 終盤の流れはSPECの終盤に近いものを感じました。なんとなく流れ作業のように話が進んでしまうので若干飽きてしまいました。 TRICKやSPECにも言えることですが、演出のために謎を出しておいて最終的に解決しないまま放置してしまうことが多いです。(部屋が消える回のすみれの間の話など) 本質ではないのでそれでもいいのかもしれませんがモヤモヤが残ってしまいます。

劇場版の感想はこちら

SPECもそうですがドラマは破天荒なりにも形になっているような感じですが、劇場版ではかなり暴走してしまっていますね。 映画観てこれで終わりかと思うとちょっと残念。 朝倉はSPECの最後にも名前が出てきます。並みのSPECホルダーというよりもセカイに近い領域の存在なのかもしれないですね。(その割にはやることがショボイけど)

セキュリティキャンプ全国大会2017に参加決定と回答作成の覚書

無事セキュリティキャンプ全国大会2017に参加することが決まりました。 2年前にダメもとで応募するもはじかれ、去年は問題に着手するも解き終わらずタイムオーバー。 現在私は大学4年生なのでラストチャンスだったのでギリギリの通過です(-_-;)。 興味ある分野の講義が多いので楽しんで参加できるだろうと楽しみです!

来年以降応募される方へ

四苦八苦しながら回答を作成しましたが、来年には「セキュリティキャンプ?書けば誰でも受かるよw」とイキっているであろうことが容易に予想できるので今のうちに来年応募される方に向けて注意事項やアドバイスをメモっておこうと思います。 ちなみに他の参加者の方々が回答を晒していますが、私のアホみたいな回答を晒したところで誰のメリットにもならないと判断したので今のところ回答を晒す気はありません。 またこの記事を参考にしたのに落ちたとか言われても知らないのであしからず。

立ち向かい方

使用ツール

応募ページは時間制限があるのでその場で回答を考えてフォームを埋めるのは不可能です。 なのでページをダウンロードしてゆっくり自分のエディタを使って回答を作成しました。 私はHackMDを使って回答作成しました。

hackmd.io

10000字埋める必要性は絶対ではない

分量がある程度重要なのは間違いないとは思いますが、私の場合は選択問題の一つが10000字近くなったくらいで他はそうでもありません。 一番少ない選択問題で2000文字ちょいくらいです。 去年私は10000字埋めなければ!と気負い過ぎて期限に間に合わないというポカをやらかしたので気にしすぎるのは良くないかと思います。

問題を解くだけでも力がつく

パケットを解析する問題や、カーネルエクスプロイトなど手を動かして挑戦することで良質な経験値が得られる問題が多いと思うので、落ちたら回答にかけた時間が無駄になると思わずにとりあえずトライしてみることをお勧めします。

気を付けたポイント

セキュリティキャンプの公式ページには以下の点を重視すると書かれていたのでその点が採点者に伝わるように気を付けました。

  • 積極的に学ぶ意欲があるかどうか
  • 自分が知らない技術などに興味を持って取り組むことができるかどうか
  • 学んだ技術などを何に役立てたいと考えているか

それに加えて実際に自分でコードを書いてデバッガで解析する、パケットの通信を再現してみるなど手を動かすよう努力しました。 問題文を読んでググるだけでは見つけられない疑問に気づき、その疑問について更に手を動かして解決するという方向で回答を書き進めました。

注意事項

一か月くらい回答に使える時間があると思いますが、多いようで少ないです。 時期的にも高校や大学の中間テスト前と被る場合があるので早め早めで進めておくべきです。 こだわろうと思えばいくらでもこだわれるのでなるべく早い段階でベータ版を作れるように意識した方がいいでしょう。

時間ぎりぎりで回答提出するのはリスキーなので避けた方がいいと思います。 私の場合は選択問題2つが機種依存文字が使われていることにより、選択問題1つが10000文字越えてることによりエラーが出てしまいました。 応募締め切りの6時間前に提出したので落ち着いて対処できましたが、10分前だったらと考えるとぞっとします。 余裕をもって前日には提出できるとベストかと思います。 機種依存文字は中々見つけづらいので以下のサイトを頼るといいかと思います。

www.submit.ne.jp

トラブったらTwitterでつぶやくのもあり

流石にあからさまな相談はまずいとは思いますが、ちょっとしたトラブルを呟いてみると誰かに助けてもらえるかもしれません。 私も助けてもらえましたし、助けることもできました。

回答を書き終わった方へ

TwitterのTLでは提出締め切り後に徐々にプロい人たちが自分の回答を晒し始めます。そして自分の回答と比べて不安になります。 しかし、結果発表もまだなのに自分の回答を晒せるような方は大抵かなりの実力者です。その人より劣った回答を提出したからといって落ちたと決まったわけではないので落ち着いて結果待ちましょう。