俺、Hardeningで何やったっけ?いや、沖縄で何やったっけ?
-
Upload
typhon-666 -
Category
Technology
-
view
1.013 -
download
0
Transcript of 俺、Hardeningで何やったっけ?いや、沖縄で何やったっけ?
俺、Hardeningで何やったっけ?いや、沖縄で何やったっけ?
2016/05/30 #ssmjp@Typhon666_death
おしながき
• Hardening参加決定
•参加確定~羽田出発
•沖縄到着~Hardening開始
• Hardening開始~終了
• Hardening終了~Softening開始前
• Softening開始~その日就寝するまで
自己紹介• Typhon (テポ)(TW:@Typhon666_death)です。
• セキュリティエンジニアやってます(たぶん)。
• 趣味:ヘドバン出来る音楽(デスメタル、でんぱ組、アニメスピードトランス)勉強(セキュリティ、数学、AI、言語)
• コミュニティ:OWASP Japan Promotion TeamSecurity-JAWS 運営メンバーAISECjp 運営メンバー全脳アーキテクチャ(WBA)若手の会 お手伝い
• 公開スライド:http://www.slideshare.net/Typhon666_death
Hardening参加決定気の持ちよう• 2015/08のWAS NIGHT@六本木SuperDeluxで@yakumo3 さんからssmjpでチーム組んででましょう!となって、@nekoruri さんと一緒に申し込んで3人とも参加決定
• セキュリティ製品のMSSとIR、営業ライク、コンサルをしてきたので、Hardening環境で設定ごりごり、診断ごりごりできない自分にはつらぽよでしかない
• PMに立候補はしなかったが自分なりにこの大会を楽しむ(あわよくば優勝する)にはどうしたらいいかを考えた
参加確定~羽田出発オンラインMTG
• Cybozu Live→スケジュールやTODOをスレッドで管理
• Google Docs→ドキュメントやスプレッドシート管理→チームで利用する最低限のツールのセットアップ手順書を共有→チームのスキルマップを作製
• Hangout→通話とチャット(居酒屋ではやらないほうがいい)
参加確定~羽田出発ツール/持ち物■ソフト
• IRCチャット用ツール
• diff/Wireshark/画面キャプチャツール/RDP/エディタ/FFFTP
• Office(PPT,DOC,XLS)
• 仮想OSイメージあるいはマウントしたもの
■ハード
• ノートPC2台(競技利用、調べ物)、タブレット(競技ルール参照用)
• LANケーブル×20本?、HUB×2、電源タップ ←一人PC一台なんて、誰が言った???
• USBメモリ(予め使いそうなツールをひと通り入れておくとか、障害報告書のテンプレートいれとくとか)
• モバイルルーター/テザリングできればOK ←競技環境は有線。無線提供なし。
• 筆記用具(ペン、鉛筆、消しゴム)、テープ、メモ、付箋、どこでもシート
• チームフラグ(ぱくたそ:https://www.pakutaso.com/20141234343fax.html)
参加確定~羽田出発買物• かりゆし/アロハを着こなすスキル→買えということ?と思って買ったhttp://item.rakuten.co.jp/auc-menshorman/25240230/
• ホテルと飛行機手配。モノレール沿線沿いが楽だった。
沖縄到着定番!
沖縄到着~Hardening開始前沖縄観光•首里そばhttp://tabelog.com/okinawa/A4701/A470102/47000012/
•首里城
• ホテルチェックイン
•国際通りでいかすみの塩辛購入
• アニメイト(沖縄限定有り)
• MTG前にビール
沖縄到着~Hardening開始前顔合せ/事前資料読合せ
• 10人チームだったので、10人入れてミーティングできる場所で飲み会(酒は飲んでも飲まれるな)場所:食堂ぬーじボンボンZ ←店長ももクロ好き、ハンバーグおいしいhttp://tabelog.com/okinawa/A4701/A470101/47002634/
• 前日19時頃に配布された資料を一読• ルールを頭に叩きこむ(かりゆしの値段は下げれない、等)• 評価方法は何?(これ重要)• 戦略練る(MPでリソース買占案、確実購入のために専任配置)• 環境から想定される対策案洗出し
• 資料から想定される攻撃や脆弱性洗い出し• 評価方式ってシステムを堅牢化するだけなのか?→否
沖縄到着~Hardening開始前妄想• HardeningStrategyCardの内容は普段の仕事においても基本動作
• 報告(状況はこまめにまとめる、今何やってるか見える化、5W1H)• インシデントや障害が起きたときは速やかに報告
• 競技中なので手を止めずに会話しつつ、是正対策、恒久対策も検討
• 対策は手分けする(専任である必要もなく、臨機応変に)
• 競技で用意されるECサイトはあくまで競技用• どんな運用・経営したら社長が喜ぶ?• どんなECサイトだったら嬉しいですか?
• お知らせがある• サイトがセキュアだとわかる
• どんなECサイトだと逆に嫌ですか?利用したくないですか?• 脆弱すぎる• 改竄されていると一目でわかる
沖縄到着~Hardening開始前直前に追加した持ち物•事前資料をいれたタブレット
•構成図とURLリスト、IPアドレスリストの印刷
• モンエナ×2缶、1リットルパックの紅茶
• カロリーメイト
• タバコ
Hardening開始~終了競技の中でやったこと• メールアドレスのCC設定、署名設定(この後の工数削減)
• サーバにログインして実機調査
• Webサイトを各種閲覧して、コンテンツ確認
• インシデント報告や脆弱性対応完了報告など
• DNSサーバにカスペインストール
• VPN張ってると言いながらただのHTTPなURLなので、ベーシック認証かける→社長は圧縮ソフトを使ってないし、ほんとに岡田さんがチームテーブルまで来てくれることもなかった→メールベタ書きで、ID:secret、PW:0k4d431k0 (岡田最高)
• 対象サイトにはWAFが導入されていて、安心して利用できることをアピール(社長にやっていいか確認の上、お知らせに記載)
Hardening開始~終了その他• ごはんはきちんと食べました(朝昼晩)
• ガチャガチャ引いたときに、妨害工作券GETでデスメタル流す• 何故か自分のチーム含め4チームサイトダウン(パルプンテ効果?)
•要所要所で写真撮りました• ソフトニングで使ったり
• おもひで
• ソフトニングでも使えるためのメモやログを残した• hh:mm ××をやった ←このメモが最終報告で必要
Hardening開始~終了個人的所感•社長、JPCERT、沖縄警察と報告する際に、BCCでまとめたほうが楽
•報告者が対策された脆弱性対応リストを持ってどんどん書き込んでもらうとかしたほうが良い等。(全ての対策を報告できなかったから• xx)Googleスプレッドシートに記載してもらい、1hごとにここまで報告と書く等• IRCでもSlackでも、過去TLに流れて行って追うのが大変
• IR対応やWAF運用やってるのに、Hardeningで活かせれなかった• かりゆし1が買えなくなってた理由がWAFの誤遮断とすぐに頭が切り替わらず• ModSecurityからInfoCage SiteShellになってたのを知らなくて、報連相ミス• 障害対応の切り分けの観点で、ロードバランサ障害は救えた
•自分ができなくて、チームの他の人が出来たことを目の当たりにするとやっぱ妬ましくなる(今後の目標)
Hardening終了~Softening開始前懇親会/懇親会後/資料作り•懇親会はめいいっぱい飲む、食う、名刺交換する
• LTで転職する話してた方も(行きの機内で作るとか)
• いっそ、みんなボーリング行けばいいよ• 当日思いついて予約
• Softening用の資料作成は朝四時まで続いたはず
•翌日はミス沖縄選出大会が
Softening開始~その日就寝するまで振り返り/表彰/飲む• 話聞きながらも、Cybozu Liveに所感だ、他チームの点数や評価されたところを残す
• 海見ながら弁当食べる
• 優勝商品• 豚トロベーコン• ソーキそば• LAC 伊藤さんの本• LACがリリースした音楽CD• 商品券5000円分• チームVIPはPacsecチケット
• 後夜祭は、ぱいかじを予約(LIVEあり、広い!)http://paikaji.jp/kokusai/• 他チームも同じこと考えてた
• 二次会も国際通り沿いの店
• 三次会も国際通り沿いの店
Hardening 参考リンク
• WASFORUMhttp://wasforum.jp/hardening-project/
• マネジメント力が勝利の鍵となった「Hardening 10 ValueChain」http://www.atmarkit.co.jp/ait/articles/1511/24/news019.html
• 「Hardening Projectから学ぶインシデント対応の勘所」ツイートまとめhttp://togetter.com/li/899160→Softeningの動画リンクもあるよ
• Hardening10ValueChain – SofteningDayhttps://www.youtube.com/watch?v=I1Um1l_9Vw0
• チーム現地集合検知改竄 Softening資料https://docs.google.com/presentation/d/1II98gQNCauArPEumK8IZE804Plu126GNdA7GqJ1bFG4/edit#slide=id.p
• ぱくたそhttps://www.pakutaso.com/
• Naparm Death – Strong Arm (妨害コンテンツ)https://www.youtube.com/watch?v=VXL18BMSP3Q