2015-08-22

Trend Micro CTF Asia Pacific ＆ Japan 2015

CTF

楽しみにしていた「Trend Micro CTF Asia Pacific ＆ Japan 2015」ですが、昨日、約1ヶ月の延期が発表されました。残念ですが、トレーニングのため没になった「問題」を公開していただけば、幸いです。

　1ヶ月準備の時間が増えたので、最大限に活用したいと思います。

2015-07-08

MNCTF 2015

CTF

マクニカネットワークス主催のCTF 「MNCTF 2015」に参加しました。

　会場は、マクニカネットワークがセミナーを開催していた会場(品川)の一部で、約80名程度は楽に入れそうなスペースでした。参加者は約40名で、年齢的にほとんどの方は社会人だったと思います。

　問題は、私が日常参加しているCTFとはかなり傾向が違い、IT部門が日頃直面する課題に合わせて作成されていました。このため、大変実用的だと感じました。国内での、セキュリティ技術者育成という課題を解決するためには、こういう実務に直結するCTFが多数開催されることが必要だと思います。特に、

マルウェアの簡易解析

の問題が多かったのは、よかったと思います。

　一方、個人的には難易度に若干物足りないところがあったのと、時間が短かすぎたのが残念です。問題を解く時間は、最低でも2.5時間程度は欲しいところです。実際、問題や画面のコピーに、30〜40分を費やしてしまいました。終了後に問題が公開されるなら、この時間を問題を解くことに費やした方がよかったと反省しています。

　なお懇親会では、表彰台に上げて頂き、賞品(UP move)まで頂きました。また、同じく入賞された方と、名刺交換やディスカッションもできました。

　最後に、企画・運営を担当されたマクニカネットワークスのみなさん、ご苦労様でした。来年も是非参加したいと思います。

2015-06-17

CTF for ビギナーズ　2015　長野

CTF

SECCON 2015の一環で、7/5(日)に開催予定の「CTF for ビギナーズ　2015　長野」の受付が開始されたようです。

■CTF for ビギナーズ 2015 長野
https://ctf4b.doorkeeper.jp/events/26703

2015-07-05（日）12:30 - 19:00
開催日程
2015年7月5日(日) 12:30〜19:00 (12:00受付開始)
会場
〒380-0904 長野県長野市鶴賀七瀬中町276-6
株式会社電算会議室
概要
CTF for ビギナーズは、コンピュータセキュリティ技術を競う競技であるCTF (Capture The Flag) の初心者を対象とした勉強会です。本勉強会では、CTFに必要な知識を学ぶ専門講義と実際に問題に挑戦してCTFを体験してもらう演習を行います。
募集要項
•CTFに興味があり、これからCTFへの参加を考えている人
•年齢は問わない
•男女可能
当日のスケジュール
12:00 - 12:30 受付
12:30 - 12:50 CTFとは？
13:00 - 13:50 バイナリ講義
14:00 - 14:50 ネットワーク講義
15:00 - 15:50 Web講義
16:00 - 18:30 CTF
18:30 - 19:00 答え合わせ
持ってくる物
• 電源タップ (延長コード)
• 以下のスペックを満たすノートPC (必須) ◦無線LANに接続できること
◦HDD空き容量：20GB以上
◦メモリ：4GB以上
◦OS：VirtualBoxの最新版が動作すること
•会場ではインターネットに接続できる無線LANをご利用いただけます。

当日は、VirtualBox上で動作する環境を事前にこちらから配布し、それをPCに導入して講習を行う形式を予定しています。
動作するか心配な場合は、周りの技術が分かる方か、運営までお問い合わせ頂きますようよろしくお願いします。

2015-06-09

SECCON 2015 スケジュール

CTF

【CTF】SECCON 2015
　SECCON 2015のオンライン予選は 12/5〜12/6になったようです。SECCON 2014では、今年の1月からCTFの勉強を始めた素人にもかかわらず2月に東京電機大で行われた決勝戦にN社の有志チームのメンバーとして出場させていただきました。通常の問題を解く形式(Jeopardy形式)にも慣れていなかった上、King of the Hill 形式は全くのはじめてだったので、ほとんど何もできませんでしたが、以来5カ月、ほぼ毎週 CTFの世界戦を戦ってきて、PCの環境も整備されてきましたし、微力ながら実力も少しはつけつつあると思っています。
　今年は、国内限定のオンライン予選がないため、ガチの実力で世界で24位に入らないと予選を突破できないと思いますが、まずこのラインの突破をめざしたいと思います。ここを突破できれば、決勝でも中位以上に入ることをめざしたいと思います。
　今年の2月に「CTF for ビギナーズ in 横浜」のバイナリに参加しましたが、非常に勉強になりました。今年はネットワークとWebに関しても参加したいと思っています。あと、CSIRT演習は本職なので大阪開催で多少遠いですが、ぜひ参加したいと思います。
　学生やGirl向けの勉強会があるのに、50歳代・60歳台のシニア向けの勉強会・CTFがないのは寂しい限りです、実行委員会の方が見ておられれば、是非来年は企画していただければと思います。今後、セキュリティ要員不足を解決するためには、シニアパワーも活用する必要があると思います。

■SECURITY CONTEST 2015
http://2015.seccon.jp/
■SECCON CTF
http://www.seccon.jp/

2013-10-12

Processing

【TIPS】日本語コメントの入力方法
　Proccesing の専用エディタでは、日本語のコメントが表示できないが、簡単な設定変更で、日本語フォントが使用可能になる、この方法は以下のサイトで紹介されている。

■日本語のコメントを記述できるようにする
http://neareal.net/index.php?Programming%2FProcessing%2FTips%2FEnableJapaneseComment

2013-09-18

脆弱性情報

◆◇◆ IEの脆弱性(CVE-2013-3893)

IEに新たなゼロデイ脆弱性が発見され、Microsoft よりセキュリティアドバイザリーが公開された。また、このアドバイザリーによると本脆弱性はすでに標的型攻撃に使用されている。Microsoftが現時点で有効な対策としているのは、「FIX IT を適用」するか「EMETを使用」すること。

■Internet Explorer の脆弱性により、リモートでコードが実行される [Microsoft]
http://technet.microsoft.com/ja-jp/security/advisory/2887505

推奨対策

攻撃を回避するためのプログラム「Fix it」を適用する

脆弱性緩和ツール（EMET）の利用

■IEの未解決の脆弱性を突く攻撃発生、MSがセキュリティ情報を公開 [ITmedia]
http://www.itmedia.co.jp/news/articles/1309/18/news031.html

IE6〜IE11に脆弱性が存在

限られた件数の標的型攻撃に使用されている

■Internet Explorer の脆弱性対策について(CVE-2013-3893) [IPA]
http://www.ipa.go.jp/security/ciadr/vul/20130918-ms.html

■IEにゼロデイ脆弱性、マイクロソフトがセキュリティアドバイザリを公開 [Internet Watch]
http://internet.watch.impress.co.jp/docs/news/20130918_615777.html

■Internet Explorerに新たな脆弱性 - MSは攻撃を確認、Fix Itを公開 [マイナビニュース]
http://news.mynavi.jp/news/2013/09/18/122/

■JPCERT/CC、Internet Explorerの未修正脆弱性を突いた標的型攻撃に注意喚起 [マイナビニュース]
http://news.mynavi.jp/news/2013/09/18/137/

2013-09-03

脆弱性情報

◆◇◆ Java6の脆弱性(CVE-2013-2463)

■Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず
http://www.itmedia.co.jp/news/articles/1309/02/news023.html

「Neutrino」に、Javaの既知の脆弱性(CVE-2013-2463)を悪用する機能が加わったが、この脆弱性は Java6では修正されておらず、攻撃を受ける可能性が高い。Java7へのアップデートが推奨されている