どんぐり戦記

「お前らの成長具合は俺からみると,どんぐりの背比べ」と言われはやn年.どんぐり戦記はじまります.

CodeBlue2018学スタとして参加しました!

CodeBlueに応募した話

去年の夏に行われたCTF4GにてこのCodeBlueっていうイベントを知って、そこから情報をチェックするようになりました。そして!CodeBlueに学スタがある!って存在を知って来年は応募したいなぁ〜と超ゆるふわ〜〜〜っと考えてました。

実際に応募してみた(NOC編)

応募が開始されたとき、まだ私はセキュリティもPro of Proではないけど、なにか私にもできるかなとって思いながらまずはNOCに応募!(初心者でもいいって書いてあったから行けるやろ)志願理由と自分が今まで学んできたことを記入して応募しました! 結果は落選 んん?私のTwitterのフォロワーのPro of Proな方々もみんな落選!?(ファッ!?) 何を基準に選んでいるのだCodeBlue恐ろしい...って思っていました。

実際に応募してみた(学スタ編)

そんなこんなでかんがえていたら、学スタの応募が始まりました! 応募自体はCodeBlueの学スタ応募サイトで応募して。 結果は、受かりました

CodeBlueの学生スタッフ(学スタ)って何するの?

学スタの活動日は3日間! 1. オリエンテーションと前日準備 2. CodeBlue1日目 3. CodeBlue2日目 学スタは1日目か2日目のどちらかを公聴日としていただけるので、実質仕事をするのは1日です。 主には会場運営を学生で回します。

  • 誘導(会場前で会場への誘導をする)
  • 受付(参加証の手渡しを担当)
  • スピーカーアテンド(スピーカーのお付きの人英語が重要)
  • スライド送り等発表のサポート(英語力)
  • ドアキーパー(導通レシーバーの回収と各トラック会場の入れ替えなどのイベント業務)
  • カメラ担当(会場内を写真取る)
  • コアスタッフの個人付き

という仕事を割り当てられて仕事する感じでした。 学生スタは基本的に1日は会場内スタッフとして働いて、その他は講演を聞いたり基本的には自由でした。 一般に公聴するとなったらうん万円する内容を学スタは運営をすることによってダタで聞ける! そして!なんと言っても実際にセキュリティ界で最前線で働くひとたちに実際にあっておはなしを聞けたりいろんなチャンスや自分自身の幅が広がるそんな素敵な体験ができる役割(?)です!!!

CodeBlue学スタとしてのしごと1日目

初日一日目、前日の確認とオリエンテーションの日でした 最初はぼっち参加でガッチガチに緊張してたけど、優しいまっちゃさんとヴァルカンさんが「緊張しなくてもいいんだよ。ここはそういうところじゃないから」っておっしゃってくれて緊張がほぐれました。 その後のオリエンテーション(スポンサーの企業の方面交え)でもなかなか学スタの輪の中に入れなかった私を企業の担当の方を連れて話やすい環境を整えてくださったりと、本当にお二人には感謝の気持ちが溢れんばかりです...! そんなこんなで時間はあっとゆう間に過ぎ、持ってきていた名刺約20枚は学スタ同士で交換したもの、企業の方からもらったもにすべてかわっていました。(名刺足りなかった) 今まで自分が成長してなかったなと思っていたけれど、そんなことはなく自分は去年の自分よりは確実に伸びているんだ!って感じることができたオリエンテーションでした!

CodeBlue学スタとしてのしごと2日目

私はCodeBlue開催中の2日間の1日目は公聴日で2日目が会場スタッフだったので、学スタとしてのしごと2日目は実際に講演をきいて必死にメモを取ってました。

基調講演 ミッコ・ヒッポネンさん

  • IoTの革命
  • 犯罪者は仮想通貨を狙う
  • お金はデータになってきている
  • 仮想通貨は悪いことはない
  • 犯罪者が仮想通貨は追跡不能だから、お金に足がつかないからそこを狙っている

    ブロックチェーン

  • ブロックチェーントランザクションを追うことができる
  • お金を追跡できる
  • ブロックチェーンはあしをつけまくると解析不能

    ランサムウェア

  • 暗号通貨のせいで増えた
  • 詐欺も増えた(イーサを倍にして変えすとか)
  • 誰かになりすまして詐欺を行う
  • 銀行とかお金がたくさんあるところを狙う
    • かんたんな標的ではない
  • 仮想通貨はスタートアップで銀行よりも盗みやすい
  • 政府も暗号通貨を狙っている(北朝鮮とか)
  • 国がお金を盗む行為をする行為はもはや戦争

    スパイ活動

  • スパイ活動は情報を見ているだけで、攻撃はしていない
  • だから、サイバー戦争というのは違う
  • スパイ=情報を集める
  • 情報がバーチャルになっているから、どこでもサイバースパイができる
  • リアルの現場から、オンライン空間にスパイ活動が移動した
    • 実際は場所が拡大した
  • 政府はサイバー兵器が大好き(誰が使ったかわからない)

    ウクライナの事例

  • ウクライナの税務申告ソフトをロシアがハッキング
  • サーバ復帰に全世界にエンジニアが向かった
  • ADサーバーもやられた(バックアップをとってなかった)
    • こんなに情報を盗まれないだろと誤算がことを大きくした

      ミスは何だったか?

  • 自動アップデートによって感染した
  • 想定ミス
  • エンジニアが検知するための時間がロスタイム
  • 企業が気づいたとしてもされたあとだから意味ない

    ticketmaster

  • インベンターがハッキングされた
  • Javasprictのすべてがハッキングされた
  • クレカ番号が盗まれた

    Target

  • お客さんがカードを使った瞬間に無すまれた
  • ハッカーは冷蔵個の温度を管理するシステムから入られた
  • クレカのターミナルに入られた
  • 500の企業が今攻撃を受けている
  • ネットワークに侵入されている
  • ネットワークが大きければ大きければ侵入される

    今後気をつけること

  • あらゆるものがコンピューター化されている
  • コンピューターセキュリティは社会のセキュリティ
  • 新しいディバイスが攻撃対象
  • IoTとかコネクティッドディバイス
  • IoTディバイスは弱いからそこから入って家のネットワークをハッキングする
  • 今はIoTディバイスをどうにかすべき
  • IoTのセキュリティは最悪
  • IoTディバイスは古い技術をつかっているという可能性だから解決した問題でも重大な問題がある
  • どんなインターネットを残すのか

※きれいにメモが取れていたのでメモをコピペしてこのまま掲載させていただきます。

スマートガンの安全装置をリモートでクラッキングする:セキュアなBLE実装を確認する オースチン・フレッシャーさん ダニエル・スーさん

今の時代ガンケースもBluetooth通信や生体認証で簡単に管理できるようになったが、そのセキュリティはどうなのか?という検証を行っていました。

IoTディバイスをどうやってクラッキングするのか?そもそもIoTディバイスに使われている通信技術は最新のものではないので脆弱性を多く含み、値段を安くするためにセキュリティは最小限です。クラッキングを行うガンケースはBluetooth4.2を使っておりアマゾンでも人気商品。実際にBluetooth通信をキャプチャするとこのガンケースはユーザが決めた暗証番号が平文で流れているのがわかったとともに、ガンケース側に暗証番号が伝わる前に特定のコマンドが流れることに気づき、実際には暗証番号を送らなくても特定のコマンドを伝えればガンケースが空いてしまうという欠陥があることがわかった。今はメーカー側にこの事実を伝えたが対応されているかはわからないと語っていました。

その他数箇所聞いてたのですが、メモを取る速度が遅い関係でビデオデータしか残っていないので(文面に起こすのがめんd)割愛させていただきます。

CodeBlue学スタとしてのしごと3日目

私はドアキーパーをやっていたのですが、仕事内容的にはイベント運営とそんなに変わりませんでした。 ストラップチェック(公聴資格の確認)・会場内誘導・同通レシーバーの回収・ドアの開閉 などなど... 公聴は中に入って仕事しながらだったら聞けるという感じのおいしい仕事でした! 私自身、バイトで超○議とか東京ゲー○ショウだったりとか大きいイベントスタッフとしての経験と某百貨店店員経験があるので楽にこなせました。 学スタは技術力が必要というよりかは、こういったイベント運営能力のほうがこのドアキーパーという仕事は重要だと思います。同じトラックの人たちにはイベントのプロとか呼ばれてバタバタ動いてたけど、とてもやりがいがあって楽しい仕事でした!

CodeBlue学スタとしてのしごと3日目〜ネットワーキングパーティー

CodeBlueのすべてのトラックとCTFなどの大会や企業展示の撤収が終了後に学スタとCodeBlue参加者&講演者を対象としたパーティーがありました! ここでは、実際に学スタだけではなくいろんな企業の方やさっきまで講演していた人とかと間近で話せるすごく豪華なものでした。

私は、学スタ内で2日間の成功について話したりおつかれ話をしたりなどなどしたり、、山本さんについていってたくさんの企業の人と名刺交換をさせてもらったりとちょっとした就活をさせていただきました。

CodeBlue学スタに参加して何が変わるのか

交友関係がすごく広くなって今まで学校とかサークル単位で見ていたものが変わりました。例えば企業の人ともFBで繋がれたりTwitterで他学校の人やセキュリティのproとも繋がれたりいろんな人とこの3日間で出会うことができました。 出会うことができ新しいコミュニティを築くことができるのはとっても大きいことだと思います。 また、技術のことに対してもセキュリティという枠の中で集まるので普段聞けないお話や貴重な体験が多くできました。 学校では幅広く学んでいるのでまだ深い話やセキュリティのトレンドなどまだ私が知らないことをたくさん知れた機会だったのですごく参加して成長を感じました。 たくさんの出会いと経験をさせていただいたCodeBlueというイベントと学スタとしてお世話になったヴァルカンさん・まっちゃさん・山本さんを始めとする多くの人に感謝しています。ありがとうございました😊

また来年も応募して何らかの形でCodeBlueに関わりたいと思うのでよろしくおねがいします。 f:id:shimomu-sora:20190302235236j:plain