┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.23】 発行:2015.10.07(水) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 SECCON 2015 広島大会「熱血シェルコード」募集開始 0x02 「CTF for ビギナーズ 2015 熊本」開催報告 0x03 協賛企業「NRIセキュアテクノロジーズ株式会社」様より 0x04 CTF for GIRLS運営メンバーからの一言 ──────────────────────────────────── 0x01 SECCON 2015 広島大会「熱血シェルコード」募集開始 ────────────────────────────────────  昨日よりSECCON 2015 広島大会「熱血シェルコード」の募集を開始しました。 今回の熱血シェルコードでは、様々なアーキテクチャでのExploitを競います。 近年IoTが叫ばれる中、x86のみに限らず様々なアーキテクチャが攻撃の対象とな り得ます。それらを実際にExploitして脆弱性の確認をすることで、検証するた めの技術を競います。適合する参加者は、以下のような方です。 ・様々なコンピュータ・アーキテクチャに興味のあるかた ・来るべきIoTの時代に先行して検証技術を身につけておきたいかた ■ SECCON 2015 広島大会「熱血シェルコード」開催要項 日程:2015年10月24日(土) 定員:24名 [先着順] 場所:広島市立大学 サテライトキャンパス 主催:SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA) 共催:セキュリティもみじ/広島市立大学 プログラミング同好会 ■ 会場までのルート 会場は広島市立大学サテライトキャンパスになります。 会場へのアクセスは、以下をご参照ください。 http://www.hiroshima-cu.ac.jp/service/content0020.html 正面入口よりご入場ください。 ■ 大会競技詳細 熱血シェルコードは、様々なアーキテクチャ(20種類程度)のシェルコードを書く ことで サーバを攻略していく競技です。競技前には、簡単なサンプルとなるシェ ルコードを元にした講義や演習を行う予定です ので、シェルコードを書いたこと がない方も安心してご参加ください。 サーバ・プログラムの動作環境は、GDB付属のシミュレータを予定しています。 目の前に立ちはだかる様々なアーキテクチャを突破し全国大会への切符を掴むのは誰!? ■ 当日のスケジュール 12:30 開場&受付 13:00 自己紹介 13:15 講義:熱血シェルコード作成の基礎(岩村誠) 13:45 演習:実際に入力してみよう 14:15 休憩 14:30 競技開始 17:30 競技終了 17:45 答え合わせ 18:00 解散 ■ 参加者の持ち物 ・ノートPC(有線LANに接続できること) ・PCに以下の多アーキアセンブラ出力環境をインストールしてくること  (GCC3版, GCC4版の両方を使います)  http://kozos.jp/books/asm/  (GCC3版) cross-20130826.tgz  (GCC4版) cross-gcc4-20130826.tgz ・有線LANを使うので、PCにLANポートが無い場合は、USBのLANアダプタなどが必要です ・LANケーブル(1人1本) ・電源タップ  机によってはコンセントまで少し距離がある場合がありますので  電源タップを各自追加でご持参いただけると有難いです。 ・熱血さ ■ 優勝特典 優勝者には、2016年1月末に東京電機大学(東京千住キャンパス)で開催される 「SECCON 2015 決勝大会(international)」の決勝進出権が与えられます。 ■ 申し込みページ SECCON 2015 広島大会「熱血シェルコード」よりお申し込みください。 http://seccon2015.connpass.com/event/21015/ (SECCON 実行委員会 運営事務局より) ──────────────────────────────────── 0x02 「CTF for ビギナーズ 2015 熊本」開催報告 ────────────────────────────────────  2015年9月12日(日)13時から東海大学 熊本キャンパス 新1号館にてCTF for ビギナーズ2015 熊本を開催しました。開催当日はちょうど台風が通り過ぎた後で、 さわやかな晴天となりました。後日談となりますが開催翌々日に阿蘇山が噴火しま したが、そのような予兆はまったく感じられませんでした。  今回はCTFの解説から始まり、ネットワークとWebの講義を行ってからCTFに チャレンジする半日コースでした。開会に先立ち、会場となった東海大学九州キャン パス長の中嶋教授からあいさつがありました。その後、CTF for ビギナーズ恒例と なった三村氏からのCTFについての解説や法律・倫理面での説明から講義が開始さ れました。続いてネットワーク講義が保要氏より行われ、休憩をはさんでWeb講義 が前田氏より行われました。  CTFは予定より若干遅れて15時35分からの開始となりました。開始当初パトラン プが不調のため運営スタッフにより復旧作業がありましたが、すぐに復旧し参加者 が次々と回答するたびにパトランプが勢いよく点滅していました。  CTF開始から30分程度経過し解答ラッシュがひと段落した段階で妨害コンテンツ の導入となりました。今回は三村氏と前田氏による雑談形式の妨害コンテンツでした。 内容は講義の振り返りでしたが、途中にはCTF問題のヒントとなるようなコメント も含まれていたため、中にはかなり聞き入っていた参加者も見受けられました。開始 が若干遅かったため予定より5分遅れて17時5分にCTFは終了しました。今回の最高 得点は2400点で同着の参加者が3人いました。地方大会として2400点が3人という ことは珍しく、九州地方のセキュリティ技術者の底力が感じられました。  回答編では参加者が気になる問題を中心に佳山氏の司会で進められました。バイナ リ100問題では、問題作成者側から「Macユーザには難しく、Winユーザだと比較的 解きやすい問題」など、参加者が自分の環境だけでは認識しにくいポイントの解説も ありました。またWeb400問題ではWeb100点問題で使用したorを使用できないよう にしてあり、unionを使用するような工夫をしたことや、インジェクション対策のバグ (orを一回だけ削除する仕様のためoorrは処理されてしまう)を準備したことなど裏話 が披露されました。  最後に勝利者インタビューとして2400点を獲得した3人の参加者に登壇頂き、それ ぞれコメントを頂きました。 1位のxnataba氏は昨年のビギナーズに参加しており、その時にCTFで全く歯が立た ず悔しい思いをしたため、今回は雪辱を果たせてうれしいですとのコメントでした。 2位のptr-yudai氏と3位のotyaken氏はCTF初心者ながら高得点を取れてびっくりした とのコメントで、ptryudai氏は今年のSECCONに参加予定でこれからも頑張っていき たいとも話されました。  最後に竹迫委員長より終わりのあいさつがあり、無事にCTF for ビギナーズ熊本 が終了しました。          (CTF for ビギナーズ運営メンバーより) ──────────────────────────────────── 0x03 協賛企業「NRIセキュアテクノロジーズ株式会社」様より ────────────────────────────────────     ~『NRIビジネスインターンシップ』のご案内~ こんにちは。 NRIセキュアテクノロジーズ株式会社の人事部インターンシップ担当です。 弊社は、株式会社野村総合研究所(NRI)と合同でインターンシップを開催して います。本インターンシップでは、現場で社員とともにセキュリティの最前線の テーマに取り組んでいただきます。セキュリティ業界のリアルを体感し、自分の 力を大きく伸ばすチャンスです。是非チャレンジをしてください! -------------------------------------------------------------  ■NRIビジネスインターンシップ応募受付中!   https://working.nri.co.jp/intern/   応募締切: 2015/10/22(木)正午  ※日当8,000円(研修期間を除く・交通費含む)  ※遠方の方には、旅費の補助や宿泊施設(社員寮)もございます。 ≪コースの紹介≫ ------------------------------------------------------------- ■ITソリューションコース(9日間) https://working.nri.co.jp/intern/contents/it/index.html ------------------------------------------------------------- ◆疑似体験ではなく実務体験  基本スキル研修の後、各部署に配属され、  プロジェクトメンバーとなって社員とともに実際の業務に従事できます。 ◆社員の本当の姿に出会える  実際に働く社員の姿や職場の空気感をリアルに感じられます。  形だけの疑似体験では得られない経験ができます。 配属後は社員がインストラクターとしてマンツーマンでサポートします。 ※NRIセキュアのインターンは、  本コースの「情報セキュリティソリューション」に該当します。 ※NRIの経営コンサルティングコース(5日間)も募集しています。 ------------------------------------------------------------- 自らのキャリアや適性を考えていく上で、きっと役に立つ、 充実した時間を過ごしていただけると思います。 皆様のご応募を心よりお待ちしております。 (NRIセキュアテクノロジーズ株式会社 人事部インターンシップ担当より) ──────────────────────────────────── 0x04 CTF for GIRLS運営メンバーからの一言 ──────────────────────────────────── 我が家は夫婦共にCTFをやっています。小さい子供が2人いるため、長時間を要す る競技参加は夫に譲り、現在は運営という立場でCTFに関わっています。GIRLSの 運営では、特定カテゴリに拘らず各々挑戦したいカテゴリの問題作成をやったりと、 競技とはまた違った形で勉強になることがたくさんあります。今はまだPCを起動 した瞬間キーボードを全力で叩きにくる子供たちですが、そのうち母が作った問題 を解いてくれる日がくるかもと楽しみにしています。ちなみに、娘は0歳4ヶ月で お気に入りのiPadをスワイプしています。デジタルネイティブ恐ろしい!                   (CTF for GIRLS運営メンバー:鈴木より) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON実行委員会は、多くの皆様からの無償のご支援と、スポンサー企業様   からの協賛金・寄付金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2015 SECCON 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい