Tahoo!!

自分の勉強していること(コンピュータ関連 / ネットワーク / セキュリティ / サーバ)や趣味について書いていきます

MINI Hardening #1 に参加した

2015/03/07にMINI Hardening #1に参加してきた。

MINI Hardening Project #1 - connpass

Hardeningは、前から興味はあったものの、沖縄で開催されていて学生的には気軽に参加できないこと、一緒に出場してもらえそうなメンバーが居ないことなどにより参加の敷居が高かった。
しかし今回、東京で開催ということで参加してみた。

事前準備

3人1チームということだったが、誰か知らない人と組んでみたいという気持ちがあったので、誰かとあらかじめチームを組むのではなく、運営の方々にチーム編成に関しては任せていた。
その結果、ほぼ面識がない方々だった*1ので、メールで「当日どのような方法で情報の共有をするか」、「リーダーを誰にするか」などをあらかじめチーム内で決めておいた。 あとは当日の競技はVPNで行われるとのことだったので、VPNクライアントで試験環境などの設定、接続テストを行った。

当日

まずはチームメンバーに改めて自己紹介をして、接続のテスト。
すると、何だか接続が安定せず、pingでサーバへ疎通確認してみると、6回に2回くらい "Request time out"が帰って来てた。嫌な予感が…
11:00になると、Hardeningとはということや競技ルールなどが説明された。

競技中

競技は、12:00 - 15:00の3時間。(本家のHardeningは8時間耐久らしい)
サーバのヘルスチェックのスキャンで得られる運用ポイントと最後に提出する報告書の評価によって得られる報告書ポイントの合計が高いチームが優勝というルールで、時間内に各チームに与えられる守るべきサーバの脆弱な箇所を修正してサーバをより堅牢にしていき、その対応を報告書にまとめるという競技だった。

自分は、サーバに入ってとりあえず設定を見てこれは危ないという部分の修正や普段運用しているサーバで行っているような設定への変更などをして、その作業をチームメンバーで共有ということを主にやっていた。
ただ、競技中もとにかくVPNが不安定で何度もサーバから切断されて、やりたかった作業が満足に出来なかったのはつらかった…(汗

結果

結果は、7チーム中1位!
競技序盤から他のチームより運用ポイントを多く獲得出来たのが大きかったと思う。

ただ、その後の答え合わせでは、ああそんなところにも脆弱性あったのかーとか、その発想はなかったとか思うことも多かったので、まだまだということも実感した。 ちなみに、景品はHardening界隈では有名(?)な麻袋を頂きましたwありがとうございます!

感想

一言で言うととても楽しかった。 CTFはよくやるけど、脆弱性ついてーとか暗号解読してーとか攻撃寄りの競技。でもHardeningは、自分のサーバを堅牢にして運用するという守るスタイルの競技で防御寄りでとても新鮮だった。
また、対応した事項を報告書に書いて提出するというプロセスも、CTFと違って実務に近いと感じた点であった。実務経験はないから、こういったプロセスを経験することはとても勉強になる。

このようなプロセスを競技として行うことによって、ゲームのような感覚で一連のセキュリティ対応を学べると感じたので、CTFと同じようにセキュリティ教育に有効であると思った。

今まではどういうものかわからなかったので気軽には参加出来なくて参加を渋っていたが、今回のMINI Hardeningで参加したいという気持ちになった。今度また沖縄でもHardeningが開催されるらしいので是非参加したいと思った。沖縄にも行きたいですしね!w
最後に、準備が大変だったと思いますがこのような素晴らしい大会を開いて頂いたMINI Hardening運営スタッフの皆様、本当に楽しかったです。ありがとうございました!

*1:Twitterでフォローしている方ではあった