闇に飲まれたブログ

神崎蘭子を信じろ!

ヴィルヘルムスハーフェン海洋学校に入学してみた

これは はいふり Advent Calendar 2016 - Adventar の19日目の記事です.

買うまでに至った経緯

ということで, ジャケット(¥35,640)とスカート(¥18,360)を購入した.

購入レビュー

材質はやはりコスパティオだけあって, 安価な制服と違い着心地は最高であった.

ジャケットには胸ポケットが付いており, 付属のポーチはiPhone SE程度のサイズ(4インチ)であればぴったり入る仕様になっている.

 このように研究室でも実用に耐えられる.

感想

横須賀女子海洋学校制服と比べると本制服は若干高めではあったが, 完成度は抜群であった.

強いて言うならば, 冬場だとスカートがスースーするので屋外で着用するのはなるべく避けておきたいところだ.

この制服を着て, 早く進捗を上げていきたい...

セキュリティ・キャンプ九州に参加しましたよ!

9月17日(土)〜19(月)に行われたセキュリティ・キャンプ九州 in 福岡 2016に参加してきました。

セキュリティ・キャンプ自体には初参加でしたが、様々な内容が学べて良かったです。

ここでは大雑把にしか書いていないので、詳しい内容は他のWrite up等を参考にしてください。

syu-m-5151.hatenablog.com

1日目

セキュリティ・キャンプ九州 オープニング

ここでは、グループで集まって、チーム名を決めたり、今後の目標について話し合いました。

僕のチーム名は女子力を上げるために『セキュリティ・ガールズ』になったようです(?)

機械学習とセキュリティ:特徴抽出講座

園田講師より、最初に情報セキュリティに何故機械学習が必要なのかについてお話がありました。機械学習の一例として、SVMやランダムフォレストやSCWを使った攻撃検知についてお話があり、機械学習を学んでいる自分としてはとても興味深い内容でした。

その後、機械学習の問題として、何を特徴量とするべきかについて、グループ学習を行いました。

僕のチームでは、Excel(Visual Basic)を用いた悪性マクロをテーマにしました。

内容としては、実際に使われたシェルコードの中身を解析すると、ある特定の数値が頻繁に出現しているので、それを特徴量にすれば良いだろうと考えました。

かなり面白い講義だったので、もっと詳しく聞きたかったです。

情報セキュリティ技術者のための法律講座

吉井講師より、まず最初に不正アクセス禁止法がどこまで適用されるかについてお話がありました。次に、Librahack事件を題材に、どこまでがセーフなのかについてお話がありました。

自分も、スクレイピングで情報収集(という名の画像集め)を行っていた時期もあったので、今後は気をつけてないといけないですね・・・

librahack.jp

その後、全体で模擬裁判を行い、僕のチームは被告側で他のチームと言い争いました。実際にやってみて思うのが、被告側の裁判は原告側の隙をついて、どれだけ罪を軽くするかが論点だということです。

実際の裁判を傍聴したことがなかったので、裁判の雰囲気が味わえて良かったです。

2日目

Webプログラミング基礎講座(前篇)

はせがわ講師より、まず最初に脆弱性についてのお話がありました。

脆弱性の定義は結局のところ、人や立場によって異なるみたいです。

脆弱性の呼び方はたくさんあって混乱するだけなので、CEWやCVE番号で呼び合えばいいみたいです。

その後、実際にテストサーバーに設置された某SNSっぽいウェブアプリケーションを様々な手法で脆弱性を見つけていきました。

途中で、任意のHTMLタグを挿入できることがわかり、色々と遊んでいました。

実際にアプリ開発をしているので、開発者側からすると恐ろしいことですね。

最後に脆弱性を報告する際、常に向こう側に人がいることを考えなければならないことをお話されました。

僕もこれから脆弱性をたくさん報告してお金を稼いでいきたいです👍

Webプログラミング基礎講座(後篇)

服部講師より、OWASP BWAを使って、実際にPythonでBeautifulSoupとUrllib2を使って、特定のHTMLタグを抽出したり、フォームに自動ログインして、書き込むプログラムを作りました。

自分は結構早いスピードで課題に取り組んでいたので、暇な時間に他のライブラリを使って、色々と応用したりしていました。

Pythonは普段から常用していますが、やはり豊富なライブラリがあるのは最高です!

いじって壊して遊んでハッカーになろう

小出講師より、赤外線の中身についてお話がありました。

このテーマは、僕が以前参加したSECCON 2016 九州大会にも出題されていたテーマで、良い復習になりました。

2016.seccon.jp

あいにく僕が持ってきたリモコンがBluetoothオンリーだったので、他の人から借りて、赤外線の中身を解析しました。

また、irrecordを使って、赤外線を学習させてみたりしましたが、会場内のノイズが酷くてうまくいきませんでした...

家に帰って、もう一度チャレンジしてみたいと思います。

3日目

ハニーポットマルウェア解析講座

濱本講師より、ハニーポットについてのお話がありました。

ハニーポットは以前設置して遊んでいたときもあったのですが、最近では様々な種類が出てきているようで、とても興味深かったです。

その後、実際にハニーポットのログを解析し、攻撃者が何をやったのかについて話し合いました。

実際に解析してみると、通常では考えられない場所にrookitが置いてあったりして、とても参考になりました。

午後は、マルウェア解析ということでAntinny.Gを仮想環境で実行し、どのような動作をするかについて調べてみました。

実際にプロセスに着目してみると、他のプロセス名に成り済ましたりして、特定がし辛くしていていました。

色々挙動を見ているだけで、とても楽しかったです。

暇があればハニーポットに関する記事も書いていきたいと思います。

クロージング

最後に修了証を受け取り、全員で記念撮影をしました。

 

その後、会場を出て、帰りに数人で博多ラーメンを食べました。

実は東京出身(福岡在住)なので、醤油ラーメン派なのですが、みんなで食べるラーメンは最高でした!

まとめ

最初はとても不安でしたが、色々な人と交流できて、より一層情報セキュリティに対する意欲が高まりました。

これからは単に自分の中に閉まっておくだけではなく、ここで学んだことを色々な人に教えていきたいです。

来年こそは全国大会に出場するぞ👍

最後に、セキュリティ・キャンプ九州 in 福岡にご協力いただいた関係者各位に感謝を申し上げます。本当にありがとうございました!

自己紹介

Deep Learningや自然言語処理を学んでいるメテオです。

現在は、某企業でウェブアプリケーションの開発を行っています。過去にはDC関係のお仕事やWebデザインなどもやっていました・・・

最近はCTFを8人くらいで挑んだり、脆弱性見つけてお小遣い稼ぎしたりしてます!!

よろしくお願いしますー

広告を非表示にする