情報危機管理演習forKOSENに参加した話-1日目
はじめに
こんにちは、よるなしです。
久しぶりの投稿になってしまいました。
さて、今回はタイトルの通り「情報危機管理演習forKOSEN」について話していこうと思います。
これはなに
毎年開催されている情報危機管理コンテストのコンテンツを用いた実践的な
情報危機管理演習を実施することにより、情報セキュリティを学ぶ高専生の、
実践的なインシデントへの対応力を養成する。
だそうです。
これを見たとき僕はいまいち内容が理解できませんでした。
多分読んでいる人もそう思うでしょう。
ひょんなことから(プロコンのディスコに流れてきた)このイベントを知り、
興味本位で申し込みました。
旅費が出るということで気軽に申し込めました。
僕の現在のスキル
- C(++)読める
- CTF歴3日
- 競技プログラミング歴8ヶ月
- ネット系は無理
- 低レイヤーの住人
こんな感じでボロボロです。
ハード屋にネットワークができるかどうか不安ですが、なんとかなるだろう
と思ってました。
出発
今日ですね。
朝の7時くらいに起きて、近鉄名古屋駅へ。
僕の高専からは僕を合わせて二人参加、さらに引率の技術職員の方と共に高知に向かいます。
移動手段はなんと飛行機です。
僕が飛行機に乗るのは実に5年ぶりです。
おまけに国内線を乗るのは12年ぶりでした。
僕が乗ったのはこんな飛行機です。
今までで一番小さいと思います。
フライト時間は実に55分、すごい速い。
はい、高知竜馬空港でございます。
本当に早かった...
お昼ご飯ですが、空港内にあったお店で食べました。
高知といえばカツオのたたきだと誰かが言っていたような気がしたので僕はカツオ丼をチョイス。
非常に美味しかったです、ちなみにお値段1100円。
ということで、ご飯を食べたあとは高知高専にむかいます。
空港をでて驚いたことは「高専がものすごく近い」ということです。
というか周りに高専以外ないんじゃないかな...
コンビニすらないのは流石に驚いた...
10分くらいで高知高専に到着。
うーん、弊高専との比較で申し訳ないがグラウンドが広かった。
弊学の1.5倍程度だろうか?
まぁ、そんなことはおいていて今回は専攻科棟で行われるようで
結構入り口から遠かった...
専攻科棟は他の建物と比べて新しいようでした。
なんかエレベーターにあったので撮ってみた。
とりあえず、中にはいって受付を済ませて会場に入ると
なんか強そうな人とつよそうな機械(ルーターやCiscoの電話なんか)がグループの机ごとにおいてありました。
どうやら他高専の方とチームを組んで実施するらしい...
開始
※ちなみにここから会場の写真はないです(申し訳ない...)
僕のチームの方々は全員強そうでした...
というか僕だけ1年生であとは全員3年生以上でした...こわい...
もちろん皆さん情報科、電気科なのは僕だけ...
まぁ、それはそれとして
最初に軽くお話があってから説明を受けました。
どうやらこれは、実際の会社のシス管と同じことをするらしい。
チームごとに社名があって、主催者側が攻撃を仕掛けるらしい...
機器の構成なんかも実際にある感じのやつでした(遠隔地にサーバーがあったりする)
そんなこんなで始まるわけです...
その1.ホームページ改ざん
最初の攻撃はホームページの改ざんでした。
イノウエさんという顧客のホームページが書き換えられて
登録完了
100万円支払え
みたいな画面が出てくるようになったからなんとかしてくれ
ってことでした。
ホスティングサーバーにsshでつないで該当のファイルを見てみるとhtmlに不正なphpのヘッダがくっついているのを発見。
僕たちのチームでの対応策は
- バックアップデータから復元
- 該当箇所だけ削除(diffで違いがここしかないことを確認)
で、まず1.を実行するために顧客とCEOの瀬尾さんに許可をもらいます。
連絡手段としてメールと電話があるのですが
- イノウエさんの連絡先を知らない(改ざんの報告は別の人から来た)
- CEOさんがメールを読むのがおそすぎる
という問題が...
とりあえず、改ざん報告をした人にメールで問い合わせるも
「連絡先をしらない」
は???
って感じでしたが冷静にCEOの瀬尾さんに電話で問い合わせ。
連絡先とついでに許可ももらう。
瀬尾さんにはこのタイミングで顧客とネゴれば連絡いらない、と言われる。
そしてイノウエさんの連絡先を入手したわけですが、
「バックアップ時点よりもあとに変更を加えたからバックアップから復元以外の方法を探して」
と言われ、phpヘッダーを外すことを提案。
承認を得られたので書き換えて、終了。
その2.改ざん、再び
その後、完了報告をした直後にまた電話が。
「また書き換わっている」
うーん、どうしたものか。
とりあえず、サーバーのログを見る。
すると、特定のアドレスからポート総当り攻撃をして侵入してきた痕跡が。
ここで対処法を考える。
- sshで使っているポート以外を塞ぐ
- 攻撃元のアドレスを弾く
- イノウエさんのパスワードを変更してもらう
ここで問題点が
- ポートを塞ぐ→他の顧客に迷惑がかかるのでNG
- アドレス弾く→本当にそれが攻撃者か断定できない
- パス変更→承認を得ればいける
ということで3.を実行。
許可を取るとあっさりOK、しかし
「パスワード変更しておいて」
こっち側で勝手に変更しろと...
とりあえず迷った僕、
suでrootになってpasswdで変更。
パスワードはleet記法や記号を使ってそれっぽく
1n0u3_aBc_(忘れた)
こんな感じに変更。
あとはこれを電話で伝えて、終わり。
3.自社サイト、止まる
今日最後のトラブルでした(未解決)
瀬尾さんから
「自社のサイトにアクセスできない」
というメールを受け取る。メール見ろや
ログを見てみると一つのアドレスから大量のアクセスが。
おまけに見てみるとたくさんのユーザとして同じアドレスからの
攻撃が。
これはいわゆるDoSってやつですかね。
アドレス弾くか、といったところで今日は終了
講演
JPCERT/CCの方が講演をしました。
Emotetというマルウェアの話とインシデント対応のお話でした。
ホテルへ
ここから宿泊先のホテルに向かうわけですが、
田舎すぎてホテルが高専の近くにないんですよね。
ということで高知駅までバスで移動。
1時間位でしょうか?そのくらいかかりました。
740円の理由がわかりました...
これは小銭を減らそうと10円玉を積極的に使う僕
んでもってホテルへ。
ホテルはこんな感じ
荷物だけおいて晩御飯を食べに行きます。
特に決めていなかったので食べログで適当に評価の高い店へ。
ちなみに屋台でした。
餃子、ラーメン、おでんの店でかなり混んでいました。
一つ、気になったのはその屋台の近くの自動販売機。
面白い価格設定してます。
ソフトドリンクの代わりだそうです。
とりあえず、おでん、ラーメン、餃子を各1人前注文。
まずはおでん、盛り合わせで全員具が違いました。
僕のはこんな感じ、ロールキャベツ美味しかったです。
次に来たのは餃子。
揚げ餃子のようでカリッとしていてとても美味しかった。
ここは餃子の店ですね、間違いない。
最後、ラーメン。あっさりな醤油ラーメン、うまい。
ということで晩御飯でした。
...
で、今に至ります...
明日は朝早いので起きれるか心配ですが、まぁなんとかなるでしょう。
そんなところで今回はこのへんで失礼します。
ではでは。
Emacsを使い始めたお話
どうも、よるなしです。
今回はエディタを乗り換えた話をしようと思います。
僕は結構雑食で、かなりの数のエディタを使ってきました。
しかし、どれもいまいちピンとこなかったんですよね。
僕が求めているのは
- 最低限の機能しかない
- キーボードだけで操作できる
- 拡張性が高い
- かっこいい(最重要)
で、すべてを満たしたエディタがEmacsだったんですよね。
Emacsを触り始めて3日時点で感じたメリット・デメリットですが、
まずメリット
- 軽い(モダンなエディタと比較して)
- キーバインディングが使いやすい
- Emacs Lispによって拡張が可能(パッケージが豊富)
- かっこいい(かっこいい)
こんなところでしょうか。
ただ、デメリットもあって
- 拡張性が高すぎてスクリプトを書くのが面倒くさい
- 環境移行が結構面倒
ただ、これに関してはそこまで困ってないので今のところは快適に使えています。
が、メインのPCをWindowsに戻してしまった影響でEmacsを入れるのが面倒(Linuxならコマンド一発)になってしまい結局今は使っていないんですが。
ただ、サブPC(Linux)には入っているのでそちらで作業するときはバリバリ使っていく感じになります。