お久しぶりです。みらい(@Minimal_Mirai)です。
先日、セキュリティミニキャンプ in 山梨 2023に参加させて頂きましたので参加記のようなものを書こうと思います。
はじめに
参加前のスペック
京都にある某情報系専門学校 4回生。
在学中は主にOffensive Securityについて学んでおり、今年の夏にOSCP(PEN-200)を取得しました。
次の目標として300レベルの資格を取りたいと考え、現在OSWE(Web-300)勉強中です。
Web周りの技術や知見をもっと知りたいと思っていたため、講義内容に興味を持ち応募させて頂きました。また開発系の知識の少なさは感じているところでそういったバックグラウンドがあると何をするにも、より理解度が上がると思いました。
受講内容について
1日目
1講座目:サイバー犯罪の現状と関連法・情報倫理について
技術を扱う際の法的リスクや倫理について学びました。
講師の方がなぜこういったセキュリティに興味を持つ人達が集まれる場を作り交流を推奨しているかというお話をされていて、失うもの(友人やコミュニティからの信頼、リスペクト)を持つことでダークサイドに傾くことを防げるという意見を述べられており、技術を学ぶ人間としてとても重要な内容だと感じました。
倫理的なラインをしっかりと持った人間と関わることが大切で、平然とラインを超えていく環境であれば少なからず悪い影響を受けるため注意しましょう。
コマンドを叩く前にsudo実行時の文言を思い起こすことが重要です。
あなたはシステム管理者から通常の講習を受けたはずです。
これは通常、以下の3点に要約されます:#1) 他人のプライバシーを尊重すること。
#2) タイプする前に考えること。
#3) 大いなる力には大いなる責任が伴うこと。
2講座目:独自言語でサウンド・プログラミングとセキュリティ
独自言語によるサウンドプログラミングと、自作ツールや言語を公開する際のセキュリティについて学びました。
ライブコーディングで脆弱性について解説されており、とても迫力がありました。
さらっとカーネルのソースコードを読みに行って、〇〇の原因はここですねと言うような場面があり、こうやって深掘っていくんだなと思いました。
自分もPayload送信時やExploit実行時にエラーが出た時に深掘って原因となっている箇所までしっかりと特定する癖を付けないといけない(戒め)
2日目
3講座目:libFuzzerで始めるファジング入門
ファジングやソフトウェアテストについて、libFuzzerの実習と共に学びました。
かなり学術的な内容や文献に触れることができ、また今後CTFのの問題を解く際に学んだ内容を活かせないかなど色々と考えることが多かったです。
4講座目:ソースコード解析によるWebアプリケーションの脆弱性調査入門
CodeQLという静的解析ツールを動かしながら実際のOSSソフトウェアでの実例を学びました。
かなり本格的な内容で、課題に沿ってこれはこういう処理でこのクエリは〇〇を検出するためにこう書いているんだろうなという所が理解できる場面と理解が追いつかない場面があり、手を動かして追っていくだけで必死な部分がありました。
実際に自分で一からクエリを書いたり改善できるように今後もっと学んで積極的に使っていきたいです。リアルワールドのバグバウンティに興味があった自分にとって、とても興味深く面白い講座でした。
おそらく資料公開されていると思うので興味がある方はそちらをご参照ください。
感想
今までセキュリティキャンプ等に参加しておらず、キャンプ系は今回が初参加でした。
感想としては色々な分野のすごい人達がたくさん集まる場という印象がとても強く、モチベーションになります。
またセキュリティに特化している方と、他分野からセキュリティに興味を持った方など様々な動機から参加されている方がいるため、セキュリティ以外でも非常に学びが多かったです。
名刺交換されている方々も多く、名刺を作って持っていく方が良いなと感じました(自分も作らなくては...)。
まとめ
圧倒的にモチベーションの高い方々が多く、多方面で強い方々が沢山いる事をとてもリアルに感じることができ、とてもいい経験ができました。
講師やスタッフの方々、このような機会を頂き本当にありがとうございました!
セキュリティ・ミニキャンプ in 山梨 2023、とても楽しかったです!!
— みらい (@Minimal_Mirai) September 24, 2023
セキュリティもっと強くなれるよう頑張ります💪#seccamp pic.twitter.com/cV1VZefK2R