起きたら庭が白くなってました。

事前課題

キャンプ2週間前くらいに事前課題が2つ出されました。

1つ目は指定されたものを調べてレポートするという内容で、調べてもよくわからなかったりして非常に薄い内容になってしまいました。。。

2つ目はメモリイメージが配布され、それを解析しわかったことについてレポートするという初めて触る分野。とりあえずvolatility走らせて怪しそうなのがあればそれを書けばいいかなと思ってました。が、甘かったです。なにが怪しいのかわからなかった。。。

1日目

1日目はセキュリティ人材の不足の現状や、イギリスのbinというゴミ箱を例に個人情報の取り扱いなどの内容で、セキュリティ人材は現段階で8万人も足りないという話は衝撃的でした。今回はセキュリティの現場のことでしたが、IT業界はどの現場も人材が足りないんだろうなぁと。

夜の部では3つのグループに分かれ事前課題の2つ目のメモリイメージを解析をして、その解答？と2日目の講義の準備です。
メモリ解析では全く役に立てなかった。グループメンバーつよい。ほんとにつよい。そして役に立てなくてスマンかった。要復習。

2日目の準備はかなり手間取った。8GBのzipを渡されて展開されたら20GBになるよーって言われて詰んでました。ディスクイメージまるまるだったので納得。ホテルで一緒の部屋になったちゅっちゅーさんに相談したら、余ってるパーティション小さくして新しくexFATでパーティション作ればいいよというアドバイスを頂き、自分の環境で2日目の課題をできるように。本当にありがとうございました。

2日目

2日目は1日目の夜に用意したディスクフォレンジックでした。

午前は、ブートレコーダやNTFSの仕様を見ながらバイナリエディタで解析し、指定されたファイルを探す内容。ここは仕様をちゃんと理解していないとすぐに間違えてしまうところで、先生やチューターさんに何度も助けられました。完全に勉強不足でした。。。
午前の自習課題はマルウェアのMFT Entryが指定され、NTFSの仕様通りに読み解き、本当の感染時刻を特定するという。ここで仙豆さんにめっちゃ教えてもらって、理解できなかった部分を理解。そしてなんとか本当の感染時刻を特定できました。要復習。

午後は、午前にやった内容をツールでやろう！という内容。ここからが本番で、ツールの使い方を学び、自習課題で隠されたファイルの検出。そして自動化。ちゃんと理解すれば条件を書くだけだったくさいので、理解していた人はちゃんとできてたっぽい。要復習。

最後に宿題を出され、感染経路などまだ明らかにしていない部分を明らかにする内容。がんばります。

感想

今回は本当に参加してよかった。バイナリレベルのことはあまりやったことがなく新鮮で、普段は気にせず使ってたファイルの構造やディスクの構造に触れ、解析することができたので非常にいい経験になりました。何度かついてけなくなりそうでしたが、先生やチューターのお陰で最後までついていくことができました。
今回はセキュリティの分野に飛び込むには良いきっかけだと考えています。今まではセキュリティ分野はすごく難しそうだなぁと思っていて、精神的に手がでませんでした。まぁ、実際難しかったわけですが。しかしどの分野もそうですが、最初から簡単だと思えることはないと思います。なので、きっかけさえあればどんな難しい分野も飛び込んでいけると思います。
また、1日目のチューターさんのお話にもありました、「情報を出したところに情報はあつまる」という言葉は印象が強かったです。あまり情報を発信したことがなかったので、これからは情報を発信して行き、マサカリを受けていきたいと思います。
理解した部分もありますが、理解できなかった部分も多いです。理解したというより、知るという感じの部分もありました。こういうのは割りとすぐに忘れてしまうので、復習をしていかなければならないと思います。「理解した」だけでは終わらず、「完全に自分のもの」というレベルに持っていかなければ今回の講義は無駄になってしまいます。なので、復習をし、手を動かしていきたいと思います。

最後になりましたが、キャンプ実施委員会、講師、チューター、参加者、その他関係者の方々、みなさん、本当にありがとうございました。またどこかでお会いしましょう。

それでは。