Submit Search
Upload
セキュリティを学ぼう~Ctfを添えて~
•
Download as PPTX, PDF
•
8 likes
•
4,433 views
T
Takumi Ishibashi
Follow
第一回福井技術者のつどいでの発表スライドです
Read less
Read more
Technology
Report
Share
Report
Share
1 of 41
Download now
Recommended
危機管理コンテスト1次予選ver2016
危機管理コンテスト1次予選ver2016
Takumi Ishibashi
OSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
IoT診断入門
IoT診断入門
黒 林檎
Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-
黒 林檎
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Asuka Nakajima
続・IoT診断
続・IoT診断
黒 林檎
ipu LT - Introduction of CTF
ipu LT - Introduction of CTF
Tsubasa Umeuchi
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
Asuka Nakajima
Recommended
危機管理コンテスト1次予選ver2016
危機管理コンテスト1次予選ver2016
Takumi Ishibashi
OSC Kyoto CTF Seminar
OSC Kyoto CTF Seminar
pinksawtooth
IoT診断入門
IoT診断入門
黒 林檎
Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-
黒 林檎
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Asuka Nakajima
続・IoT診断
続・IoT診断
黒 林檎
ipu LT - Introduction of CTF
ipu LT - Introduction of CTF
Tsubasa Umeuchi
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
[セキュリティ・キャンプフォーラム 2014] 卒業生プレゼンテーション 『私とセキュリティと過去と未来』
Asuka Nakajima
自作CTFについて考えてみる
自作CTFについて考えてみる
nomuken
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)
昌憲 竹内
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
CTF初心者🔰
CTF初心者🔰
icchy
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
CTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
shuna roo
Kosenconf sendai2
Kosenconf sendai2
Yutaka Watanabe
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
Mizutani Masayoshi
CTFとは
CTFとは
Hiromu Yakura
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
デジタルフォレンジック入門
デジタルフォレンジック入門
UEHARA, Tetsutaro
セキュリティ&プログラミングキャンプに行こう!
セキュリティ&プログラミングキャンプに行こう!
Kenta USAMI
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
Masaru Ogura
そうだ!勉強会に参加しよう!
そうだ!勉強会に参加しよう!
Akira Kaneda
2014 03-01-めとべや-public
2014 03-01-めとべや-public
Takahiro Uemura
coinsLT #0
coinsLT #0
Yutaka Watanabe
セキュリティの三途川
セキュリティの三途川
Manabu Ooki
More Related Content
What's hot
自作CTFについて考えてみる
自作CTFについて考えてみる
nomuken
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)
昌憲 竹内
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
CTF初心者🔰
CTF初心者🔰
icchy
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
Hiromu Yakura
CTFというハッカーイベント+α
CTFというハッカーイベント+α
Yuichi Nagayama
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
shuna roo
Kosenconf sendai2
Kosenconf sendai2
Yutaka Watanabe
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
Mizutani Masayoshi
CTFとは
CTFとは
Hiromu Yakura
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
デジタルフォレンジック入門
デジタルフォレンジック入門
UEHARA, Tetsutaro
What's hot
(16)
自作CTFについて考えてみる
自作CTFについて考えてみる
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
CTF初心者🔰
CTF初心者🔰
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFはとんでもないものを 盗んでいきました。私の時間です…
CTFというハッカーイベント+α
CTFというハッカーイベント+α
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
Kosenconf sendai2
Kosenconf sendai2
ステートフル型のトラフィック監視ツールとDNSの監視例
ステートフル型のトラフィック監視ツールとDNSの監視例
CTFとは
CTFとは
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Fast forensics(公開用)
Fast forensics(公開用)
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
デジタルフォレンジック入門
デジタルフォレンジック入門
Similar to セキュリティを学ぼう~Ctfを添えて~
セキュリティ&プログラミングキャンプに行こう!
セキュリティ&プログラミングキャンプに行こう!
Kenta USAMI
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
Masaru Ogura
そうだ!勉強会に参加しよう!
そうだ!勉強会に参加しよう!
Akira Kaneda
2014 03-01-めとべや-public
2014 03-01-めとべや-public
Takahiro Uemura
coinsLT #0
coinsLT #0
Yutaka Watanabe
セキュリティの三途川
セキュリティの三途川
Manabu Ooki
金沢Unity勉強会04 Unity開発Tips
金沢Unity勉強会04 Unity開発Tips
Yusuke Shima
IoTとDeep Learningで自宅警備員を育ててみる
IoTとDeep Learningで自宅警備員を育ててみる
Yasuyuki Sugai
LT for my university
LT for my university
ssusera1f3c6
グループワーク3-A
グループワーク3-A
michiaki ito
『創って学ぶ、次世代Web時代のセキュリティ』 株式会社 jig.jp 社長 福野泰介 - セキュリティミニキャンプ
『創って学ぶ、次世代Web時代のセキュリティ』 株式会社 jig.jp 社長 福野泰介 - セキュリティミニキャンプ
Taisuke Fukuno
Twilio+rails+sms #sg_study
Twilio+rails+sms #sg_study
Junichi Ito
気の合う人達と社外で社内勉強会
気の合う人達と社外で社内勉強会
Yu Shibatsuji
opensource and accessibility (Dec2000) Part 2
opensource and accessibility (Dec2000) Part 2
Takuya Nishimoto
集合知プログラミング勉強会キックオフMTG LT用資料
集合知プログラミング勉強会キックオフMTG LT用資料
tetsuro ito
indeed Indeed - a presentation for Indeed なう -
indeed Indeed - a presentation for Indeed なう -
Toru Ochiai
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Study Group by SciencePark Corp.
Leopardの独自技術の紹介と提案
Leopardの独自技術の紹介と提案
Shinichi Nishimura
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
CLARA ONLINE, Inc.
TDU CTFのお話
TDU CTFのお話
nomuken
Similar to セキュリティを学ぼう~Ctfを添えて~
(20)
セキュリティ&プログラミングキャンプに行こう!
セキュリティ&プログラミングキャンプに行こう!
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
そうだ!勉強会に参加しよう!
そうだ!勉強会に参加しよう!
2014 03-01-めとべや-public
2014 03-01-めとべや-public
coinsLT #0
coinsLT #0
セキュリティの三途川
セキュリティの三途川
金沢Unity勉強会04 Unity開発Tips
金沢Unity勉強会04 Unity開発Tips
IoTとDeep Learningで自宅警備員を育ててみる
IoTとDeep Learningで自宅警備員を育ててみる
LT for my university
LT for my university
グループワーク3-A
グループワーク3-A
『創って学ぶ、次世代Web時代のセキュリティ』 株式会社 jig.jp 社長 福野泰介 - セキュリティミニキャンプ
『創って学ぶ、次世代Web時代のセキュリティ』 株式会社 jig.jp 社長 福野泰介 - セキュリティミニキャンプ
Twilio+rails+sms #sg_study
Twilio+rails+sms #sg_study
気の合う人達と社外で社内勉強会
気の合う人達と社外で社内勉強会
opensource and accessibility (Dec2000) Part 2
opensource and accessibility (Dec2000) Part 2
集合知プログラミング勉強会キックオフMTG LT用資料
集合知プログラミング勉強会キックオフMTG LT用資料
indeed Indeed - a presentation for Indeed なう -
indeed Indeed - a presentation for Indeed なう -
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Leopardの独自技術の紹介と提案
Leopardの独自技術の紹介と提案
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
TDU CTFのお話
TDU CTFのお話
Recently uploaded
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Recently uploaded
(12)
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
セキュリティを学ぼう~Ctfを添えて~
1.
セキュリティを 学ぼう!! ~~CTFを添えて~~
第一回福井技術者のつどい 第一回福井技術者のつどい2014/11/23 1
2.
本セッションの担当者 • 石橋拓己(いしばしたくみ)
• 4年生 • ネットワーク関連の研究と ゲーム理論やってます(白目) • 色んな勉強会に出没中です(呼んでください) • 本勉強会の経理・広報・Ust担当(Ustは昨日追加 尼崎さんには本当に頭が上がりません…(笑) 第一回福井技術者のつどい2014/11/23 2
3.
アテンション • 本セッションはセキュリティの勉強促進発表です
• (Q:お前OSのこと喋るって言ってたじゃねぇか • (A:すまん、研究で時間がアババババババ • CTFは実演するけど自分でやる方がたのs(ゲフンゲフン • Web・Network・Binaryあるけど何がいいですかね? 第一回福井技術者のつどい2014/11/23 3
4.
セキュリティ(情報分野)とは? • 私たちがインターネットやコンピュータを安心して
使い続けられるように、必要な対策をすること[1] • コンピュータシステムを災害、誤用および 不正アクセスなどから守ること[2] [1]総務省国民のための情報セキュリティサイトより [2]Wikipedia コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 4
5.
セキュリティ(情報分野)とは? • 私たちがインターネットやコンピュータを安心して
使い続けられるように、必要な対策をすること[1] • コンピュータシステムを災害、誤用および 不正アクセスなどから守ること[2] コンピュータに関する安全対策のこと [1]総務省国民のための情報セキュリティサイトより [2]Wikipedia コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 5
6.
セキュリティはなぜ重要なのか? • 悪い人がいるから
第一回福井技術者のつどい2014/11/23 6
7.
セキュリティはなぜ重要なのか? • 悪い人がいるから
• ただ厄介なことに、悪い人の種類が非常に豊富 第一回福井技術者のつどい2014/11/23 7
8.
セキュリティはなぜ重要なのか? • 悪い人がいるから
• ただ厄介なことに、悪い人の種類が非常に豊富 攻撃者(俗にいうクラッカー) 内部犯罪者(産業スパイなど) システムの使い方を覚えてくれない人 規約に従わない人 その他にも機材を壊す/勝手に弄るetc… 第一回福井技術者のつどい2014/11/23 8
9.
セキュリティはなぜ重要なのか? • 悪い人がいるから
• ただ厄介なことに、悪い人の種類が非常に豊富 • 規模・動機も様々 • 意図せず攻撃してしまうケースも… • 問題が起きてからでは遅い! 第一回福井技術者のつどい2014/11/23 9
10.
今年は問題豊富な年!! その1!!(4月発覚) •
OpenSSLにおいて発覚した脆弱性「Heartbleed」 この脆弱性によりサーバーにある情報を攻撃者に 奪われる恐れがある(詳細略) かのグーグル先生やYahooなども影響を受けた 最悪のセキュリティインシデント これのせいでGWがなくなったとよく聞きました (涙目 第一回福井技術者のつどい2014/11/23 10
11.
今年は問題豊富な年!! その1´!!(6月発覚) •
OpenSSLにおいて発覚した脆弱性 「CCS Injection Vulnerability」 ま・た・か!!(Heartbleedとは大して関係ない) 暗号通信の情報が漏えいする危険がある Heartbleedと違い、サーバーおよびユーザー双方に 影響のある脆弱性(詳細略) 第一回福井技術者のつどい2014/11/23 11
12.
今年は問題豊富な年!! その2!!(9月発覚) •
bashにおいて発覚した脆弱性「Shellshock」 bashとは各種Linux、Mac OS Xに標準搭載されてい るシェルの1種 この脆弱性により、外部から遠隔でシェルコマン ドが実行されてしまう 最悪の場合、サーバー乗っ取りやウイルス感染 第一回福井技術者のつどい2014/11/23 12
13.
今年は問題豊富な年!! その他(説明する時間がない!!) •
Internet Explorerの脆弱性(4月発覚) • OAuth2.0の脆弱性「Covert Redirect」(5月発覚) ログイン・プロンプトからログイン情報を 盗み出せる • Microsoft Schannelの脆弱性(11月発覚) Windows Server上で高い特権でコードを実行される 第一回福井技術者のつどい2014/11/23 13
14.
問題の多発 • 以上のように、今年はたくさんの問題が
「発覚」しています(ご紹介したのは極々一部 • なぜこんなに問題が見つかるのでしょう…? 脆弱性そのものは何年も前から存在していた!! (NSAのPrism計画で皆探す気になった? • さて、技術的でない問題はどうでしょう? 第一回福井技術者のつどい2014/11/23 14
15.
ベネ○セ問題の概要(これはオフレコで) • 約2800万件(世帯)の情報漏えい
• 犯行動機:金銭 • 手口:スマートフォンへのデータコピー • ベネッセのセキュリティ対策 情報を扱う部屋は担当者のみ入室可 私物持ち込み禁止 第一回福井技術者のつどい2014/11/23 15
16.
ベネ○セのどこがまずかった? • 私物持ち込みのチェックの不備
• データコピーに用いられたプロトコルの制御不備 ベネッセはセキュリティ対策を怠ったのだろうか? いやそんなことは決してない 使用できるプロトコルの制限など、ベネッセは セキュリティ対策に積極的に取り組んでいた 第一回福井技術者のつどい2014/11/23 16
17.
○ネッセの不運 • 漏えい者の方が圧倒的に有利である
方法が非常に多く、これからも増え続ける 全てを防ぐにはお金も時間も足りない 制限を掛けすぎれば作業効率も落ちる 攻撃(漏えい)を感知することは困難 (ログから察知するのは不可能? 第一回福井技術者のつどい2014/11/23 17
18.
なぜベ○ッセ?? • 一番喋りやすかった(これ関係のセミナーを受けた
• なぜか私の個人情報がベネッセに漏えいしてて それを更に漏えいさせたみたいなのでむかつ(ry • セキュリティは技術だけではダメであるよい事例 第一回福井技術者のつどい2014/11/23 18
19.
結局どうすればいいの? • 結局悪いことをするのは人です
究極的には人が悪いことをしなくなれば良い (非常に困難 次善策として、以下のものがよく上げられます リスクの周知 監視による牽制 • みなさんなら、どうしますか? 第一回福井技術者のつどい2014/11/23 19
20.
セキュリティに関わる人々(会社編) 重役 情報システム
部部長 CSIRT構成メンバー 外部の第三者監査機関 情報システム部社員 一般社員 第一回福井技術者のつどい2014/11/23 20
21.
セキュリティに関わる人々(社会編) • 国家機関(IPAなど)勤務者
• 各分野のセキュリティ団体所属者 • 各企業のセキュリティ業務従事者 • ペネトレーションテスター • システム開発者・運営者 • 情報技術に精通した学生 第一回福井技術者のつどい2014/11/23 21
22.
セキュリティを学ぶ前に • セキュリティ分野というのは、それ単体で独立した分
野ではない 応用 (セキュリティ) 基礎 • セキュリティ分野とは、各情報技術の応用部分 第一回福井技術者のつどい2014/11/23 22
23.
セキュリティを学ぶ前に • 時に、技術的に誤った内容に対して激しく指摘
されることもあります(マサカリが飛んでくるという しかし、それは個人を否定する物ではない 逆に、自分を見つめなおすチャンス • マサカリは怒らず落ち込まず冷静に受け止めましょう • 詳しくはhttp://www.slideshare.net/re_3_19/ss-34793007 第一回福井技術者のつどい2014/11/23 23
24.
セキュリティの難しさ • 基礎部分が膨大
• 実機演習(環境構築)が難しい • 勉強できる所(大学など)が少ない • 一緒に勉強する仲間が(現実では)見つからない • それ単体で何かを生み出すわけではない 第一回福井技術者のつどい2014/11/23 24
25.
セキュリティの楽しさ • 学ぶことで各分野の繋がりを感じることができる
• システムの動作を深く理解することができる • 情報技術的に広い視野で物を考えられるように なる(かも?) • やばい人達と技術で会話できる!! ※技術力が足りないと殴られるような痛みを伴う • なにより安全な物を作るっていうのは浪漫!! 第一回福井技術者のつどい2014/11/23 25
26.
セキュリティをどう学ぶか? • 基礎知識を深く学ぶ
講義の後、先生を巻き込んでディスカッションとか 各技術の仕様書、ソースコードを確認する • 破壊を覚悟の上、ローカル環境でいろいろ弄る • 仮想サーバなどを借りて色々弄る • イベントに参加する 第一回福井技術者のつどい2014/11/23 26
27.
イベントに参加するとは? • 現在日本では多くのイベントが開催されています
セキュリティキャンプ SECCON(CTF) ハッカソンや有志主催の勉強会 シンポジウムやワークショップ • 参加制限は基本ないので積極的に参加しましょう 第一回福井技術者のつどい2014/11/23 27
28.
セキュリティキャンプとは • 若年層の情報セキュリティ人材を発掘・育成を目的
※画像引用元:セキュリティミニキャンプ東北2014 色々まずそうだったらとっとと飛ばします(白目 第一回福井技術者のつどい2014/11/23 28
29.
イベントに参加するとは? • 現在日本では多くのイベントが開催されています
セキュリティキャンプ SECCON(CTF) ハッカソンや有志主催の勉強会 シンポジウムやワークショップ • 参加制限は基本ないので積極的に参加しましょう 第一回福井技術者のつどい2014/11/23 29
30.
CTFとは • Capture
The Flagの略 • 決してシューティングゲームではありません • 参加者に対しコンピュータを守る経験に加え、現実の世 界で発見されたサイバー攻撃への対処を学ぶ教育手法[3] [3]Wikipedia キャプチャー・ザ・フラッグ コンピュータセキュリティより 第一回福井技術者のつどい2014/11/23 30
31.
どんな問題があるの? クイズ形式 •
各チームが、通常異なる配点の、複数の分野にわたる 問題を解答する形式 リバースエンジニアリング(Binary?) プログラムの解析、改ざん Forensics 記憶媒体のイメージファイル解析 第一回福井技術者のつどい2014/11/23 31
32.
どんな問題があるの? Pwnable プログラムの脆弱性を突いた、不正侵入不正昇格
Web Webアプリケーションの脆弱性を突いた侵入 Network ネットワークのパケット解析 Miscellaneous その他雑学やパズルなど 第一回福井技術者のつどい2014/11/23 32
33.
どんな問題があるの? 攻防戦形式 •
各チームにコンピュータが割り当てられ、お互いを 攻撃しあう形式 Flagゲッ ト!( *´艸 `) Flag 取れない ( ;∀;) 第一回福井技術者のつどい2014/11/23 33
34.
CTFについてもっと知りたい! • 時間の都合上本セッションではご紹介しきれませんので
以下のスライドをご紹介します • 「CTFとは」 http://www.slideshare.net/hiromu1996/ctf-32346373 • 「CTF(Capture the Flag)って何?」 http://www.slideshare.net/KenjiAiko/ctfcapture-the-flag 第一回福井技術者のつどい2014/11/23 34
35.
CTFをやると…? • セキュリティ分野における経験を得られる
• 自分の知識の浅い部分などを自覚できる • 競争相手・勉強仲間を得られる • 業界の人と接触する機会が増える(?) • 入賞すれば注目される、賞金や本を貰える • 学生ならご飯をおごってもらえる(これはネタ) 第一回福井技術者のつどい2014/11/23 35
36.
CTFの始め方 • インターネット上で常設されている
つまりいつでもできるCTFコンテストがあります ksnctf akictf • 後はネット上に過去問がたくさんあるのでそれを 探してきて解くという流れ 第一回福井技術者のつどい2014/11/23 36
37.
実際に問題を解いてみよう • Demo
• 今回はCTF for Beginnersの問題をお借りします • Web or Network (or Binary?) • まぁたぶんNetworkでしょう(いいですよね?) • Binaryをやるならここからは選手交代です(白目 第一回福井技術者のつどい2014/11/23 37
38.
問題を解いたら… • 是非Write
Upをネット上にアップして下さい • Write Upとは問題を解いた人がその解答の流れをまと めたものです • 簡潔明瞭なWrite Upを投稿する人は尊敬されます • 仮にヘンテコなWrite Upでも、優しい人が訂正を してくれるのでスキルアップできる! ※ただしWrite Up投稿禁止の場合もあるので注意 第一回福井技術者のつどい2014/11/23 38
39.
CTFに慣れたら… • 大会にでよう!!
• SECCON2014オンライン予選が12月6日に開催! • 自宅から一人ででも参加できる • 自分の技術力が通用するのか試せる絶好の機会 • 他にもちょくちょくオンライン大会は開催されている ので是非探して参加してみてください 第一回福井技術者のつどい2014/11/23 39
40.
大会に出たら… • 他の参加者の方と積極的に交流して下さい
• この業界、コミュニケーション能力は大事なスキルの一 つです • そういった所で交流することで、よりスキルアップ できる場や、今回のような勉強会が実現します • 飲む必要はないので、飲み会にも行って下さいね 第一回福井技術者のつどい2014/11/23 40
41.
最後に • セキュリティという分野は幅広い知識が必要
• セキュリティ技術者は決して特化型ではない • むしろ超万能型 • ゆえに多くの方から尊敬されるものです • 今より一歩先へ、一歩奥へ進んでみましょう! 第一回福井技術者のつどい2014/11/23 41
Download now