CTF for ビギナーズ 2015開催報告 at SECCON 2015 カンファレンス
-
Upload
ctf-for- -
Category
Engineering
-
view
2.706 -
download
5
Transcript of CTF for ビギナーズ 2015開催報告 at SECCON 2015 カンファレンス
- 2015年開催報告 -
2016/1/30 1
内容1.CTF for ビギナーズとは2.2015年のCTF for ビギナーズ3.アンケートの結果4.今後の展望・課題
2016/1/30 2
1.CTFforビギナーズとは
2016/1/30 3
CTFforビギナーズとは• CTFの初⼼者を対象とした勉強会• 2014年から開催• 運営メンバーは学⽣が中⼼• SECCON実⾏委員会のバックアップを受けて活動
2016/1/30 4
CTFforビギナーズの基本構成1.CTFの概要
2.分野ごとの講義 (2015年はこの中から2分野ずつ)• バイナリ講義• ネットワーク講義• Web講義
3.簡易CTF
2016/1/30 5
CTFの概要• CTF とはどのようなものか
出題形式にはどのような物があるかを説明
• 許可されたサーバ と ⾃⾝で管理するサーバ以外に攻撃しないように釘を刺す• 不正アクセス禁⽌法や法律の考え⽅などの説明
62016/1/30
分野ごとの講義
• バイナリ講義• file, stringsコマンドやIDA Proを使ったバイナリ解析、実習
• ネットワーク講義• Wiresharkを使ったネットワーク解析の説明、実習
• Web講義• XSSやSQLi等の攻撃⼿法の説明とその対策
72016/1/30
分野ごとの講義• ソフトウェア開発時や障害発⽣時の原因調査などでも
幅広く活かすことができる内容
• 実⾏ファイルの解析 → デバッグ• 通信の解析 → ネットワーク構築, 障害対応• Web アプリの脆弱性とその原因 → 開発時に気づけるようにする
• 特にCTF のみに絞った内容にはなっていない
82016/1/30
CTF演習• 講義で習ったことをCTF形式で試す• CTFの雰囲気を味わってもらう• 問題は運営側が⾃作• 最後はみんなで答え合わせ
92016/1/30
2.2015年のCTFforビギナーズ
2016/1/30 10
2015年のCTFforビギナーズ• 地⽅への展開• ⾸都圏以外の都市で開催し、より多くの⼈に興味を持ってもらう• ⽇本各地でのCTF勉強会やチーム⽴ち上げを⽀援を⽬的
• CTF⼊⾨書の出版• セキュリティコンテストチャレンジブック• CTF4bに参加出来なくても、勉強出来るコンテンツの整備
• その他• 名称を“CTF for Beginners” から「CTF for ビギナーズ」へ変更• Twitterアカウント(@ctf4b) を開設
2016/1/30 11
地⽅への展開
2016/1/30
東京第1回 6/28第2回 7/6
博多第3回 11/3
12
2014年 :3回
地⽅への展開
2016/1/30
博多(Attack&Defense)
6/7(⽇)
札幌6/14(⼟)
横浜2/15(⽇)
広島2/21(⼟)
東京7/4(⼟)
⻑野7/5(⽇)
熊本9/12(⼟)
滋賀10/3(⼟)⼤阪
11/7(⼟)
奈良(Attack&Defense)
10/17(⼟)
2014年 :3回↓
2015年:10回
13
参加者数開催地 参加者数 定員 申込者数 倍率
(申込者/定員)内容
横浜 73 60 73 1.22 Binary or Network・Web、CTF
広島 47 50 47 0.94 Binary, Network, Web, CTF
博多 51 54 54 1.00 Attack & Defense (Student Only)
札幌 29 30 35 1.17 Binary, Web, CTF
東京 78 80 253 3.16 Binary, Network, Web, CTF
⻑野 52 60 71 1.18 Binary, Network, Web, CTF
熊本 48 100 61 0.61 Web, Network, CTF
滋賀 67 80 128 1.60 Binary, Network, CTF
奈良 53 55 53 0.96 Attack & Defense (Student Only)
⼤阪 10 12 78 6.50 CTF
2016/1/30 14※申込者数はキャンセル者数も含む※横浜、広島は定員が近づいた段階で申込みを締め切ったため少なめ
申込者の所属統計
2016/1/30 15
※1参加前アンケートより集計※2札幌、東京、⻑野、熊本、滋賀、⼤阪の合計申込者
社会⼈ 社会⼈
⼤学⽣ ⼤学⽣
⼤学院⽣ ⼤学院⽣
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2014 2015
社会⼈
⼤学⽣
⼤学院⽣
⾼専⽣
専⾨学校⽣
⾼校⽣
中学⽣
その他
2014年と同様の傾向
3.アンケートの結果
2016/1/30 16
開催後アンケート• セッション毎の満⾜度• CTF演習で良かった問題• 内容は想定よりどうだったか• CTFを⾏うモチベーションはどうなったか• 今後も続けたいか• その他の意⾒・感想
2016/1/30 17
セッション毎の満⾜度
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
CTFとは バイナリ講義 ネットワーク講義 Web講義 CTF演習 答え合わせ
とても良かった 良かった どちらとも⾔えない 良くなかった
2016/1/30 18
他よりも満⾜度が低い
答え合わせについての意⾒• 問題解説の時間を⻑くして欲しい• 丁寧な問題解説が欲しい• 問題解説の資料が欲しい• 全問答え合わせして欲しい
2016/1/30 19
内容は想定と⽐べてどうだったか
2016/1/30 20
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2014 2015
とても難しかった
難しかった
想定通りだった
簡単だった
内容の最適化が出来たが、まだ
調整が必要
その他の意⾒・感想• 関東ばかりなので地⽅で開催してもらって良かった• 無料とは思えない程充実した講義だった• 今後⼤会に参加したい
• 問題が難しかった• 講義の対象が曖昧だった• 演習の時にインターネット環境がなくてつらかった
2016/1/30 21
4.今後の課題・展望
2016/1/30 22
課題• 講義コンテンツの難易度• 初⼼者が「CTFに⼊りたい」と思ってくれる難易度にする
• 演習問題の難易度• 配布⽤VM内のツールを使って解ける問題• インターネットを使わないで解ける問題
• 参加登録の⽅法• 現在の⽅法だと、早く申し込んだ⼈が参加出来る• 参加者の決め⽅を再考する必要がある
2016/1/30 23
今後のCTFforビギナーズ• 2016年度も、「CTF for ビギナーズ」は続けます!• 昨年⾏けなかった地域を回りたい• 開催地は現在検討中
• 参加後にサポートできるコンテンツの⽤意• 解説資料の配布• 演習問題が復習出来る環境
2016/1/30 24
ご静聴ありがとうございました
2016/1/30 25