2017年の反省と、2018年の抱負

年の瀬ということで

2017年の反省

2017年の抱負は「とりあえず行動」 セキュリティキャンプやら、CODEBLUE、AVTOKYOなどイベントごとに積極的に参加できました。 その関係でCTFチームにも所属することができて何かとラッキーだったかと思います。

pwn力を付けようと頑張ってはいましたが、まだまだ頑張りが足りなかった気がします。去年の今頃はvillagerBも解けていなかったことを考えると成長は感じられますが、それでも全然(-_-;)

今年中に初の海外旅行に行ってみたかったですが、来年の3月まで持ち越しです。

TOEICの勉強は途中で投げました笑 モチベーションが無くなってしまったので海外旅行やらで英語に対するハードルを下げてからの方がいいかなと。

全体的にやろうと思っていたことの7割くらいはクリアできました。 多少目標は高く設定したのでそこそこ満足な一年でした。

2018年の抱負

2018年の抱負は「とりあえず結果を出す」です。

一年間いろいろ経験して考えさせられることは多かったです。

その中でも一番強く感じたことは自分の実力を正確に測ることは非常に難しいということです。
自分の実力を他人に説明する必要あるときに困ってしまいます。 そんなときに「~で〇位」や、「xを作成経験あり」等の結果を他人に提示することができれば、あとの評価はその人に任せるだけで済みます。
実力以上のアピールをしてしまうとそれはイキりですし、謙虚さを履き違えた下手な自虐は自分のレベルを下げることになると思うので、つまらないものでもいいので何らかの結果を出していきたいなと考えています。

挨拶

長くなりましたが良いお年を!

CODEBLUE AVTOKYO 2017 レポート

CODEBLUEには学生スタッフとして、AVTOKYOには一般参加者として行ってきました。

f:id:HowMuch:20171119182145j:plain:w400

CODEBLUE

codeblue.jp

f:id:HowMuch:20171119182157j:plain:w300

 学生スタッフは二日間の内シフトの入っていない日に自由に講演を聴くことができました。 私はDAY1が自由に行動できる日でした。

 DAY1の講演の中では「SSRFの新時代 - 有名プログラミング言語内のURLパーサーを攻撃」が一番面白かったです。 URLパーサーについて深く考えたことがなかったので、それにまつわる脆弱性の説明は新鮮でした。

 DAY2はシフトが入っていたので講演をしっかり聴くチャンスはなかったのですが、私の興味はどちらかというと低レイヤーよりなのでDAY2の講演の方が興味あったかな。

 CODEBLUE2017の目玉であるgeohot氏の講演を途中からでしたが聴くことができました。 自動運転のデモはとても興奮しました。 自動運転に任せるのは抵抗ありましたがデモを見る限り私より運転うまそうで是非とも任せたい気分になりました笑 iPhonejailbreakしたおかげでApp Storeに繋がったりとハッカーが時代先取りしているという話が印象的でした。

 今までjailbreakにはそこまで興味がありませんでしたがjailbreak系の講演が多かったことやgeohotの話を聴いたことでそっちの世界も覗いてみたいなという気になれました。

 ネットワーキングパーティでは企業の方や仲良くなった友達と立食パーティーを楽しみました。 しばらく会っていなかった方々に覚えていてもらえていて嬉しかったです。

AVTOKYO

ja.avtokyo.org

f:id:HowMuch:20171119182213j:plain:w300

 オシャレな会場でお酒飲みながらワイワイするパーティでした。講演もやっていればワークショップもCTFもやっていて自由な感じが楽しかったです。

 ゲーム付きバッチがDEFCONっぽくてカッコ良かった。当初はこのバッチのゲームで仮想通貨を稼いでお酒と交換という方式だったらしいですが製作が追いつかなかったせいか最初から飲み放題でした笑

f:id:HowMuch:20171120231259j:plain:w300

 radare2の作成者の方と少しだけお話する機会があったのですが片言の英語で話しかけたところステッカー頂きました。

f:id:HowMuch:20171119182220j:plain:w400

 今回は起床が遅かったこともあって途中から参加でしたがとても楽しかったので次回からは最初から参加したいです。 参加しなかったですが会場内のCTFも楽しそうだったので次回は是非とも参加してみたいです。

総括

 どちらもすごく楽しめた。セキュリティキャンプで知り合った友達に再会できてうれしかったし、新しい友達もできて大変満足。  

医療セキュリティハッキングコンテスト神戸2017 感想

大会

医療セキュリティハッキングコンテスト神戸2017 | Kobe Digital Labo 神戸デジタル・ラボ

当日

先輩に誘われてチーム"P@ssw0rd"として参加してきました。 始発に乗らないと間に合いませんでした(結局乗り換え間違えて遅刻)

配布されたWin、androidiPhoneアプリとローカルネットで公開されているWebアプリの脆弱性を見つけて報告してくださいという内容でした。

「CTFじゃないから簡単に脆弱性見つからんだろうし、一つくらい見つけられれば満足して帰れるかな~」程度に考えていましたが、予想以上に多くの脆弱性報告が飛び交っていました。 うちのチームでも午前中にCTFでも低レベルの問題として出題されるような任意コード実行の脆弱性を見つけることができました。(教科書レベルの脆弱性なのでマジで棚ぼたw) この脆弱性が高ポイントで計算されて一気に一位に。

しかし、任意コード実行を突いてソースコードが読める状態になったことでプロいチームに追い上げられ結果は三位でした。

三位とは言え入賞して賞金5万円も出たので満足な結果でした。

終わってみて

バグバウンティにはずっと参加してみたいなと思っていたので今回の大会はいい経験になりました。 脆弱性は意外に多いことが分かったので今後もバグバウンティに積極的に参加して行きたいなと思えました。

ネカフェで泊まって温泉入って、たこ焼き食べて帰ってきました。神戸また行きたい。