Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Capture the flag! -タタカエ・セカイのために-

76,342 views

Published on

Java女子部2015/10/31

Published in: Technology
  • Be the first to comment

Capture the flag! -タタカエ・セカイのために-

  1. 1. Capture the Flag! -タタカエ、セキュアな世界のタメに- Dahlia* (@dahlia_cocoa)
  2. 2. whoami • なまえ:Dahlia* • 好きなもの:Java/Web技術 ラブライブ! /Sound Horizon Vocaloid / TRPG etc... • ぶろぐ:http://blog.moonfire.info • ついったー:@dahlia_cocoa 2015/10/31 Java Girls Halloween! 2
  3. 3. Agenda • CTFとは • ちょっとだけチャレンジ! • もっとやりたい人へ 2015/10/31 Java Girls Halloween! 3
  4. 4. CTFとは? what’s “CTF”?? 2015/10/31 Java Girls Halloween! 4
  5. 5. CTFとは • Capture The Flag (騎馬戦とか棒倒しみたいな、相手陣地の旗を 奪う競技みたいなやつ)の略。 • 転じて、コンピュータセキュリティ技術の競技のこと を指すことも。 – 今回はこっちの話! 騎馬戦とか知らん。 2015/10/31 Java Girls Halloween! 5
  6. 6. CTFとは • サイバー攻撃の手段に対する知識や、 攻撃からコンピュータを守る知識などを全力投下 する競技。 • 日本ではSECCON、 海外ではDEFCON、等が有名な大会として 挙げられる。 – ちなみにDEFCONの本戦の舞台はラスベガス。 ラスベガスやばい。 2015/10/31 Java Girls Halloween! 6
  7. 7. CTFとは • CTFの大まかな分類 – 攻防戦形式(King of the Hill Style) • 自分のサーバを守りつつ、他のチームのサーバを攻撃したり、 問題サーバに攻撃を加えて答えをゲットしたり、 他のチームに答えを奪われないように問題サーバを守ったり。 • とにかく大変そう(やったことない。) – クイズ形式(Jeopardy Style) • パケットキャプチャのログとか脆弱性のあるWebサイトなどな ど、出題者が準備した問題の中から、 回答となるキーワードを探し出すだけの簡単なお仕事。 • 常設のものもあるのですぐ挑戦できるよ。入門におすすめ。 2015/10/31 Java Girls Halloween! 7
  8. 8. CTFとは • CTFの大まかな分類 – 攻防戦形式(Attack & Defense Style) • 自分のサーバを守りつつ、他のチームのサーバを攻撃したり、 問題サーバに攻撃を加えて答えをゲットしたり、 他のチームに答えを奪われないように問題サーバを守ったり。 • とにかく大変そう(やったことない。) – クイズ形式(Jeopardy Style) • パケットキャプチャのログとか脆弱性のあるWebサイトなどな ど、出題者が準備した問題の中から、 回答となるキーワードを探し出すだけの簡単なお仕事。 • 常設のものもあるのですぐ挑戦できるよ。入門におすすめ。 2015/10/31 Java Girls Halloween! 8 今回は こっちの話だよ!!!
  9. 9. CTFとは • CTFのジャンル(一例) – Web • Webアプリケーションの脆弱性(XSS,SQLi等々) を突いて答えをゲット。 – ちなみにDahliaはWebくらいしかロクにできません。 Web問もロクに出来なくてひたすら泣いた日もあります。あれはきつかった。 – Network • パケットを解析し、答えをゲットする。 – Forensics • HDDとかUSBメモリのイメージファイルを解析して答えをゲット。 – Binary • とにかくバイナリを読め。きっと答えはある。 – Pwn(Pwnable) • プログラム(実行ファイル)の脆弱性を突いて挙動を変化させて答えを 見つけたりするらしい。バイナリ問と似てるとか何とか聞いたことある。 2015/10/31 Java Girls Halloween! 9
  10. 10. CTFとは • CTFのジャンル(一例) – Web • Webアプリケーションの脆弱性(XSS,SQLi等々) を突いて答えをゲット。 – ちなみにDahliaはWebくらいしかロクにできません。 Web問もロクに出来なくてひたすら泣いた日もあります。あれはきつかった。 – Network • パケットを解析し、答えをゲットする。 – Forensics • HDDとかUSBメモリのイメージファイルを解析して答えをゲット。 – Binary • とにかくバイナリを読め。きっと答えはある。 – Pwn(Pwnable) • プログラム(実行ファイル)の脆弱性を突いて挙動を変化させて答えを 見つけたりするらしい。バイナリ問と似てるとか何とか聞いたことある。 2015/10/31 Java Girls Halloween! 10 バイナリ系苦手なので 説明はしょります
  11. 11. CTFとは • 前のスライドはあくまでも「一例」 – 複数のジャンルにまたがる問題や、なぜか焼け焦げた QRコードを解析させる問題、トリビア問題などなど。 問題ジャンルは多種多様。 • たぶんこれからもジャンルは増えます。 • 何が身につくか? – 問題解決能力(というかデバッグ能力)、 コンピュータに対する深い知識、 セキュリティ方面の知識は結構身につく。 – いわゆる「じわじわ効いてくる系」の技術。 2015/10/31 Java Girls Halloween! 11
  12. 12. CTFとは • 難しい問題に最初から手を出すのはやめよう。 – SECCONの予選問題、手も足も出なくて辛かった。 – しかし! そこで諦めたら負け! 今ある知識+αで解ける問題も、あるよ! • 今回は、とても(?)簡単な問題を紹介。 – 解説しながら解いてたら5分じゃ済まないので 今回は解き方の手順だけを雑に提示します。 おうちに帰ったら、れっつちゃれんじ。 • とあることを知ってればすぐ解けます。マジで。 2015/10/31 Java Girls Halloween! 12
  13. 13. ちょっとだけチャレンジ! Let’s solve the question! 2015/10/31 Java Girls Halloween! 13
  14. 14. ちょっとだけチャレンジ! • 常設CTF(クイズ形式)のひとつ、 ksnctfから、こちらの問題をチョイスしたで。 50点問題だからきっと解ける。 http://ksnctf.sweetduet.info/problem/8 • 解き方のヒントは次のスライドにて! 2015/10/31 Java Girls Halloween! 14
  15. 15. ちょっとだけチャレンジ • おもむろに.pcapファイルをDLする。 – .pcapという拡張子の時点でパケット読めっていわれてますね – 拡張子が突いてないときは file コマンド叩こう。 • WiresharkなりNetworkMinerなりにぶっ込む – 持ってない人はとりあえずWireshark入れとこう。 • どんな通信をしているか見てみる – Wiresharkの使い方については割愛。 • Basic認証について調べてみる – 「問題のタイトル」や「問題文」にヒントがある。 だいたいそんなもん。 • Basic認証について理解したら、もう一度通信を観察。 それで答えに繋がる手がかりはみつかるはず! 2015/10/31 Java Girls Halloween! 15
  16. 16. ちょっとだけチャレンジ • もし業務でBasic認証を常用している人は 一度解いてみることをオススメします。 – Basic認証って本当にSecureなのかな? – ついでにDigest認証について調べると楽しいよ! 2015/10/31 Java Girls Halloween! 16
  17. 17. もっとやりたい人へ More! More! More! More! More!!!!!!!! 2015/10/31 Java Girls Halloween! 17
  18. 18. もっとやりたい人へ • 常設型CTFサイトでお勉強。 – 「ksnctf」や「akictf」でググってみよう • SECCONの予選問題を解いてみる – 得点の低い問題は意外とアッサリ解けるかも? – WriteUp(解き方の解説)を読むだけでも勉強に なる。 • CTF for Beginners、CTF for Girls等の 勉強会に参加してみる。 – CTFプレイヤーとしてもスゴい人たちが教えてくれるよ。 – 東京の勉強会はすぐ埋まった・・・・ 2015/10/31 Java Girls Halloween! 18
  19. 19. まとめとおまけ Conclusion 2015/10/31 Java Girls Halloween! 19
  20. 20. まとめ • CTFでセキュリティの知識や、それ以外の技能を身 につけることは十分可能 – ただし、外部の許可されていないサーバに向けて、CTFの ノリで攻撃を投げるのは絶対にやめろ。 • 攻撃の手段が分かれば、守るための手段や、 自分が関わってるアプリケーションの脆弱性にも目が 向けられるかも? – CTFは楽しいです。でも、攻撃だけではなく、 守ることにも注目するのも、超大事なこと。 自分たちのためにも、自社のお客様のためにも。 • CTF、難しいけど、たのしいよ! – 最近ご無沙汰だけど…… – 女性限定の勉強会・競技会もあるのでぜひ! 2015/10/31 Java Girls Halloween! 20
  21. 21. おまけ:もーっと知りたい人のための資料 • 予選はクイズ感覚の「超高度な知恵くらべ」 http://www.atmarkit.co.jp/fsecurity/special/151c tf/ctf01.html • セキュリティ・ダークナイト(1):プレイ・ザ・ゲーム! CTFが 問いかけるハックの意味 http://www.atmarkit.co.jp/ait/articles/0911/30/ news091.html • CTF(Capture the Flag)って何? http://www.slideshare.net/KenjiAiko/ctfcapture- the-flag • CTF超入門 (for 第12回セキュリティさくら) http://www.slideshare.net/kikuchan98/ctf- 45624362 • SECCON 2015 http://2015.seccon.jp/ 2015/10/31 Java Girls Halloween! 21
  22. 22. Thank U for Listening!

×