hisakuの日記

mh4yに参加してきた(micro hardening for youth)

mh4yとは

Micro Hardening は「衛る技術の価値を最大化することを目指す」プロジェクトであるHardening Projectから生まれたサブプロジェクトです。「セキュアなハードニングをカジュアルに競技形式で学ぶ勉強会」であるMINI Hardening Projectよりもさらにカジュアルに「ゲーム感覚で」サイバー攻撃に対処する能力を磨くことを目指しています。

Micro Hardeningでは、参加者は45分という限られた時間のなかで、提供されたECサイトに対する様々なサイバー攻撃に対処することが求められます。参加者は用意されたECサイトにログインし、スタートコマンドを実行することで、ゲームの開始を任意のタイミングで行うことが可能です。スタートコマンドが実行されると、ECサイトに対して買い物を行うクローラが動き出します。このクローラがECサイトで購入した金額が参加者の得点となり、ECサイトを安定稼働させることが高得点につながります。クローラが動作する裏側では自動的に多数のサイバー攻撃も行われ、ECサイトの安定稼働を妨害します。参加者は次々と発生するサイバー攻撃を防御し、停止したECサイトを復旧することで売上を稼ぎ、さらに防いだ攻撃に応じたボーナス得点(追加のクローリング)を得ることができます。Micro Hardeningの評価は単純に稼いだ得点のみを対象としています。

Micro Hardeningのゲームは45分を1セットとし、複数セット(最低3回以上)繰り返すことを想定しています。毎回、同じタイミングで同じ攻撃が発生するように設定しています。Micro Hardeningは報告書作成や、攻撃手法や防御方法の解説の時間を組み込まない代わりに、毎回少しずつ攻撃の状況を観測し、対処する方法を試すことで、エンジニアとしての能力向上が実現できることを目指しています。理想的にはシューティングゲームのように、敵の攻撃のパターンを覚えることで高得点を稼ぐことができるシステムにしたいと願っています。

コピペです。

 

今日は、雪が降りました。天候が心配でしたが、無事に終えることができてよかったです。本日のmh4yのことを少し振り返りたいと思います。

f:id:hisakuuU:20191116212916j:plain

入り口

まず、会場は北海道警察の本部でした。(;'∀') 札幌初開催で、北海道警察とコラボ!豪華!

LOCALが交通費支援をしており、北海道各地の方が参加しやすくなったと感じます。参加者は60人ぐらい?すごい。

会場は道警本部の会議室で、使うのは初めてらしいです。今後はイベントなどで使用する機会が増えるそうです。

会場に多分、すごく偉い方や、多くのメディアの方々がおり、最初はその雰囲気に少し身構えてしまいした。

実は、mh4yの事前講習会が札幌、千歳でありました。内容としては、mh4yを想定した簡単な攻撃手法を体験するものでした。事前資料もあり、当日まではその資料を読んだり、事前講習会の振り返りをし、準備を進めていました。

午前

講義と協賛企業の紹介などがありました。講義は、川口さんの活動歴などセキュリティ業界についてのお話を伺いました。

お昼、事前勉強会にて、お弁当で🍖肉🍖を食べたい、飲み物はRedBuleがいいと言うと快諾していただきました。そのため、当日はお肉メインの豪華なお弁当でした!もちろんRedBulもありました。わがままを聞いていただき、誠にありがとうございます。

午後

ハードニングが始まります。

事前準備ではSlackにチームを作り、担当分野を決めました。チーム名はSAPICA10です。命名理由は、メンバーが札幌と千歳に住んでいるため、それぞれの都市コードSPKからサピカ、10はsshのアドレスが事前に割り振られたアルファベットのチーム順の並びの数字だったため、忘れないようにと10にしました。(僕らはJチームだから10)

自分はWebサーバの担当となり、ApacheWordpressのお巡りさんをしていました。事前準備で、徳丸本を読んだり、インジェクション問題、DoS攻撃など、主要な攻撃対策は抑えました。また、ハードニングのwriteupも読みました。

チームメンバーについて、皆さん、協力的でありがたかったです。Slackでも話合いを多くとることができ、とても感謝しています。

競技スタート

※対策したことなどはネタバレになるので詳しくは書きません。

1回目

とりあえずwordpressとかいじいじ、不審なファイルの対処などをしました。

2回目

まさかのスコアが3万5千点、防御点はそこそこあるのに。。

3回目

現状維持でした。あらたな対策などはできていなかったと思います。

また、vncがずっと接続できず、ブラウザでスコアを確認できませんでした。しかし、会場スクリーンにスコアが移っていたため、直接困ることはなかったです。

1回目からある程度の対策はできていたため、伸びは横ばいかなと。 

結果

f:id:hisakuuU:20191116213137j:plain

結果

10位!

防御点はそこそこありますがスコアが…。2回目は多分、自分がwordpressプラグインを無駄に停止してたのかも。 確認が大切です。

所感

セキュリティの入門には最適だと感じました。事前講習会も個人的には助かりました。mh4yがどのような内容かを把握でき、初心者が当日に怯えることを防ぐことができるため、事前講習会は非常に意義があると感じます。また、北海道警察本部に侵入できたのはレアでした。なんともいえない独特の緊張感を体験できました。

micro hardeningには、復習をしながらできるのがやはり、とても身になるなと感じました。また、解説で、作業プロセスの記録(技を盗む)、作業内容の共有(もとに戻せる環境をつくる)、サービス稼働状況の調査、不審ログに関する調査(ググれば結構でるものが多い)が挙げられました。これらは、以外とできていなかったため、とても勉強になりました。

終わってから、もっとこうしたい!もう一回やりたいなどという気持ちが強く残っています。これから精進です。個人的に、今日がひとつのセキュリティに対するとっかかりになれたように感じます。セキュリティへの意識が少しでもあると、ないとでは大きな差があります。本日の経験を活かし、今後はセキュアを意識した開発をしていきたいです。

 

本日はありがとうございました。

とても楽しかったです。

おすすめされた本

シス管系女子、徳丸本、美しき策謀とか

おうちで学べる系が適している?

宣伝

沖縄でハードニングあるよ。自分はenpitとどんかぶりです。興味のある方は、熱意のこもった文章を送ろう!

 

wasforum.jp

あと、ビジネスデザイン発表会といういやつもあるらしい

f:id:hisakuuU:20191116213028j:plain

ビジネスデザイン発表会

<script>alert("終わり");</script>