SANSが開発するCTFプログラム「NetWars」を、NRIセキュアテクノロジーズ様提供のもと体験できるイベントに参加してきました。
https://www.nri-secure.co.jp/event/2019/netwars
結果、学生94人の参加者のうち、4位を獲得することができました!
これは間違えて終了30分前の画像を上げてしまったツイート。
正しくは↓の通りです。
あと10位以内の副賞として、NetWarsのメダルももらいました!!
本エントリでは秘密保持のため、問題の内容について取り上げることができませんが、公開情報をもとに話せることを書きたいと思います。
形式
Core NetWarsに準じたプログラムで、個人戦のトーナメント(Jeopardy形式のスコア対決)でした。
6時間で多数の問題が出題され、以下の5つのレベルで構成されていました。
レベル1 : ローカルのLinux(もしくはWindows)環境(root権限なし)でプレイ 出題回答形式
https://sans-japan.jp/training/core_netwars_ex.html
レベル2 : ローカルのLinux(もしくはWindows)環境(root権限あり)でプレイ 出題回答形式
レベル3 : DMZへ攻撃を仕掛ける CTF形式
レベル4 : DMZからイントラネットへ侵入 CTF形式
レベル5 : 他の参加者との攻防戦 攻防戦形式
ここでの「ローカルのLinux」とは、会場で配布されるVMイメージのことです。
また、困った時は問題中のヒント(開けても減点にはならない)を見れるため、積極的に活用できました。
今回の参加者は1人だけレベル4に到達、16人がレベル3に到達といった様子でした。
所感
上記の通り、レベル2まではLinuxやWindowsの知識を問う問題でした。
シェルやLinux、Forensics関連の知識がないとそもそもペネトレーションの土俵に上がれないという構成になっており、セキュリティをやるにはやはりシステムそのものに関する深い造詣は欠かせないのだなと感じました。
ところでレベル3全然分からなかった…
普段CTFはWeb中心にやっているので、さぁいよいよDMZ攻撃だ!と意気込んだものの返り討ちに遭って悔しかったです。
これからまた修行を積んでいきます。
トーナメント中の様子
- 英語で書かれた問題の意味を汲み損ね、何個か減点を喰らう(もったいない)
- 途中、10位争奪戦(メダルをもらえるかどうかの境目)に揉まれ、かなり緊張する
- 集中しすぎた結果、配布されたお弁当を食べるのが遅くなる
- Level 2で分からない問題が出たため、すっ飛ばしてLevel 3に行こうとする
- Level 3が余計に分からなかったため、Level 2を見直したらまだ解いてなかった問題が見つかる
- シェル芸人やっててよかった!(???)
結果
先述の通り、4位を獲得しました。
「セキュリティに興味がある(募集要項より)」学生が集う中でこの成績はかなり嬉しいです。
欲を言うと、3位からもらえた表彰状が欲しかった。
というのも実は3位の方とは同スコアで、ヒントを見た回数の少ない方が上位に入るというルールに基づいた順位だったためです。
1回でも減点を減らせれば…!
それにしてもNetWarsとても楽しかった!
オンサイトのCTFは周囲にライバルがいる緊迫感があってとても燃えますね。
レベリングも挫折しない設計で、最後まで諦めずに取り組むことができました。
今年で学生最後のため、NRI Secure NetWarsは来年以降参加できなくなってしまいますが、いつか本家NetWarsに参加して実力を発揮したいです!
最後に、この機会(通常は20万以上払って受けるらしい!)を与えてくださったNRIセキュアテクノロジーズ様に厚く御礼を申し上げます。
コメント