SecHack365 0x03 北海道
はじめに
近況から申し上げますと、人生の夏休みは続くよと聞かされていたのに、大学の後期が始まっても教職科目の所為でちっとも休みがありません。何なんですかね...当たり前なんですけども。
それはさて置き、10/13(金)~10/15(日)にSecHack365 第3回目の集まりがありました。今回は北海道なので移動が楽。会場の定山渓に到着すると紅葉が鮮やかでした。秋ですね。
温泉同好会で来たばっかりだとは言えない()
目次です。
♪ラグ-ン♪水の王国ゥ~~~ラグ-ンッ!!!
後期が始まったので、再度公欠について先生に問い合わせてみたけど、やっぱり駄目でした...。「証明書類があってもプライベートな理由でしょ?」との事。弊学でも認知度を上げないと無理なのかなぁ、先生に政治を試されてる気がする。という事で、「おのれJABEE。」という気持ちを新たにしました。
Day0 10/13
いつもより余裕をもっての出発でしたが、Day2で必要な公的書類が手元になかったので、途中パスポートセンターに寄って現地調達しました。
身分証現地調達ミッションdone #SecHack365 (@ 北海道パスポートセンター in Sapporo, 北海道) https://t.co/Id6bnPobCC pic.twitter.com/4OsS8BeWhz
— さわだ.@preTokyo (@takuzoo3868) 2017年10月13日
会場に到着してからは、夜まで何もないとの事だったので温泉にのんびり浸かってました。屋上の露天風呂から見下ろす紅葉がやっぱり綺麗。ラグーンは...先日飽きるほど遊んだのでパス。
福岡縁日 revisit
福岡回で実施さてたハンズオン形式のワークショップが時間を拡大して帰ってきました!前回は魅力的なワークショップだらけで泣く泣く2つに絞ったので有難いです。基本トレーナーの方々が資料を公開してくれているので、夏はちょこちょこ手を動かしていたのですが、「機材の関係で金欠の自分にはどうにもなんねぇ!」というワークショップを選択しました。講師はNICTの安田さん。ふたを開けてみればまさかのマンツーマン指導でした。濃い時間をありがとうございます!
QRcodeによる可視光通信の実装と偽装対策
RPiでIoTセンサーの構築までは本でも見かけたりするようになりましたが、それって簡単に情報を改竄出来て危ないよね。という話から対策を考えて実際に実装してみようという内容です。可視光通信の利点は障害物がなければ、瞬時にデータの取得が可能な事ですが、QRcodeのような形式で読み取る際に、上から異常な値を書き込んだシールでも貼るとどうしようもないですね。与えられた課題は盗聴回避と改竄検知を機能として追加するものでした。
時間内にできたのはQRcode用のデータ整形くらいで、改竄検知は色々思案しているうちに終わってしまいました。ワークショップの終わりに解答例の解説を貰えたので、暗号系の勉強と並行したいです。更に後日配布して戴いたコードがRubyとPythonの両方ありまして、これがまた凄く翻訳の勉強になる。おすすめされたKURO-IOTEXP/KIT3も買いたいですが、まずは手元の暗号理論の本を読み進めようかなと思います。
Day1 10/14
北海道回のメイン作業時間は実はこの日だけ。ハッカソンと並行してパラレルセッションが開催されました。故にスケジュールもぎっしり。夜の発表は疲れ気味でした...
秋の自慢回
福岡回からの進捗報告会です。チームでIoT系のシステムマネージャを作成しているのですが、データの可視化手段としてD3.jsの勉強をしてましたよという辺りで自分の担当分は終わってしまいます...。今後は管理画面としてdashboardの設計にも手を出したいので、時間はあまり残ってないなという印象です。煮詰まったらチームメイトやトレーナーに相談ですね。四六時中相談できる環境が整ってるのはSecHack365の強みだと思います。はい、頑張ります。
マルウェア講座Ⅰ
ここの内容については詳しく書けません。大雑把に言いますと、マルウェアの脅威や対策について話し合ったり、実務系の話を聞いたという所でしょうか...(記述的に不味かったら訂正しますので連絡ください...)。参加したきっかけは、NICTから提供されているデータセット解析の一環としての他に、ハニーポットを構築して自宅で解析してみようと考えていたからです。でも法律面や倫理面で心配事が多かったので、まず話を聞いてみよう、個人では無理だと感じたら諦めよう位の気持ちでした。結果としては、一番収穫の多かった縁日となりました。ここで、適用しようと決まったルールがあるのですが、これは学内の授業評価とかに利用できそうな気がします。
簡易無線(特定小電力)ハッキング
海外で多発しているReplay Attackについて、その技術を学び、危険性を体感しようというハンズオンです。講師はPwCの神薗さん。 簡易無線とは27MHz帯や50GHz帯など無線従事者を必要としない無線の総称だそうです。(浅学なので間違いがありましたら指摘してもらえると助かります)。周波数の割り当てについては、スポンサーである総務省さんの資料を参照。最初は無線の基礎知識に始まり、電波法の解釈など座学メインですが、後半は実際にReplay Attackを体験しました。Replay Attackとは、特定の無線を傍受しそっくりそのまま任意のタイミングで送信する無線における攻撃手法です。今年の4月にはテキサス州ダラス市でReplay Attackにより防災無線が夜中に鳴ってしまう事件が起きています。詳細は以下のニュース記事*1*2などに載っています。
ハンズオンでは実際に、ねずみ君のラジコン無線をスニッフィングし、無線アダプタでキャプチャした波形を送信し、コントローラを介さずねずみ君が動いてしまう様子を体験しました。専門外の人から見れば、よく分からん事をやっているなと感じるかもしれませんが、一度原理がわかってしまうと、とても簡単です。故に危険だと感じました。簡易無線は巷に溢れ過ぎているので、現状では明確な対策のしようがないのも問題です。一番は危ないなら捨てちゃう事ですが、それも難しいでしょうし「うーん...」といった所です。
夜の倫理セッション
夕食を済ませ、会場に戻ると見覚えのある方がいらっしゃいました。去年のミニキャンプ北海道*3にてお世話になった北大の町村先生によるゲストセッションという形で恒例の倫理セッションです。今回は情報セキュリティに対する事故対応を議論しました。配布資料には社名は伏せられていましたが、思いつく事例がいくつかあるなぁ、そんな感じでした。法で行動を縛るほどでもないけど、皆が意識しないと何かあった時に危ない。だから緊急対応をマニュアル化したりするんだろうなと。今、大学の講義として受けている技術者倫理や情報関連法規に近いかな?
ゴール宣言
チームで北海道回は、各々の機能を接続しようと決めていたので、自分の場合はDBから蓄積されたデータを取得し描画する事でした。実際は環境構築してAPIサーバーの起動がやっとでしたが、チームメイトに助けられAPIを叩くスクリプトが完成したのでまぁまぁの進捗は出せたかなと思います。今後は整形されたデータ形式に合わせてD3のスクリプトを少し弄る必要があります。次の大阪までに可視化は目途をつけたい...
1G3mでの発表だったのですが、成果物に対する「愛」があるので、中々時間内終了せずちょっと疲れてしまいました...(コメントは素直につけたつもりですが、失礼がありましたら申し訳ないです。) 皆、実装を進めていたり、凄いなぁと感じる内容ばかりです。資料は皆で共有するのが原則なので後でしっかり見ておきます!
Day2 10/15
石狩某所にあるさくらインターネットさんのデータセンターへ見学に行きました。ちょうどNHKでPonanza特集をみた後だったので、稼働している箇所を見れるかもしれないと楽しみでした。詳細は非公開でお願いしますとの事だったので、大したメモも取らずに回ってしまったのですが、大量のサーバを稼働させるデータセンターならではの工夫が沢山あったと思います。特に北海道という気候を活かした設計は大学でも(情報系や寒冷地建築の方々の間で)有名だったので、実際に見学することが出来て嬉しかったです。「スケッチしたい...」という心の叫びが通じたのかわかりませんが、帰りに見学内容の図解入りの栞を頂けたので感謝しています。
おわりに
地元なので特に何もせずに自宅へ帰ってきました。それにしても札幌は近い様で遠い...。ちょっと疲労感はありましたが、温泉とサッポロクラシックがすべて吹き飛ばしてくれたと思います。あと、期間中がとても楽しいので回を増すごとに解散後が寂しく感じるんですよね...。SecHack365の記事は公開設定にしてた筈なのですが、どうやら全部非公開にしてました。頃合いを見て東京回と福岡回も備忘録として残しておきたいと思います。 大学の公欠がとれないなど個人的な問題は多々ありますが、SecHack365の環境は本当に恵まれていると感じます。企業や研究で活躍されてる方々から直接教えて頂いたり、四六時中相談できるコネクションがあるのは有難いです。 モチベーションを維持したまま、次の大阪まで開発を続けます!待ってろよ、たこ焼き!!!!
