サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
画力アップ
rintaro.hateblo.jp
昨年は自分にとって一番環境に変化があり濃密な1年だった。多くの新しいことを経験し学んだ年だからだと思う。経験とは、主にはピッツバーグにてCMUの学生として過ごし卒業したことである。 CMUの生活は、目の前に広がる未経験を凝縮した海みたいな感じで、経験値も広がりもすごかった。今回はその留学の振り返りを書こうと思う。本当はもう少しまとめてから書こうかとも思ってもいたし、全然技術的でもない。でも想いが冷める前の今のうちにどうしても書いておきたい。 書き始めると想いが入ってしまってだいぶ長くなってしまった。だいぶ削ったけど、面倒な方は最後の「まとめ」を読んでもらえればと思う。 はじめに2017年9月から2018年12月の16か月で、社費留学にてCMUのINI (Information Networking Institute) にてMaster of Scienceの学位を取得するプログラムを修了
現在、ブロック暗号ではAESが広く使われている。ブロック暗号は、平文を固定長のブロックに分割して暗号化する暗号方式で、数種類存在する暗号利用モードを指定して暗号化を行う。この中にはCBCというモードが存在するが、サービスの実装によってはこのCBCモードに対してパディングオラクル攻撃を適用することができる。 パディングオラクル攻撃を用いると、鍵を持っていないにも関わらず暗号文を解読できてしまうとよく言われるが、実は同じ仕組みを用いることで暗号文の改ざんも行うことができる。本エントリでは、PKCS #7パディングを実装しているAES CBCに対して、パディングオラクル攻撃を使った暗号文の解読と、それを応用した暗号文の改ざんをやってみる。 暗号利用モード暗号における利用モードでは、ECB, CBC, OFB, CFBの4種類が良く知られている。例えば、最も単純なECBモードの暗号では、すべてのブ
2018/9/28 12PM から 2018/10/12 12PM (EST) の336時間、picoCTF 2018が開催された。自分も会社にいたときに大会を何度か開催した経験があったし力になりたいという思いと、毎年1万人を超える競技者が参加するpicoCTFの進め方を吸収したいという思いがあり、Developerとして参画した。このエントリでは、どういう風に準備や運営を進めていき、どんな学びがあり、どんなことを感じたか、について触れようと思う。 picoCTFとはpicoCTFは、Middle school, およびHigh Schoolの学生を主な対象としており、セキュリティの世界に足を突っ込むキッカケとなるような体験を与えることを目的とした、教育に主眼を置いたCTFである。このため、難易度についても初歩的なもの(それこそncコマンドを使ってみる、ssh接続してみるといったもの)から
明日からカーネギーメロン大学の授業が始まり、タイトルのとおり学生になってくる。 この記事は昨年度末ぐらいから書こうと思っていたが、タイミングを逸し続けていた。ただ、かなりの時間をこの準備にかけてきたし、同じような取り組みをしようとしている方がもしいるなら参考にもなるかもしれないので、備忘も兼ねてやってきたことを書こうと思う。 経緯2016年の初めに、会社からMBAでなくセキュリティ系で留学にチャレンジしてみないかと声がかかる。この手の社費留学は会社では初めてらしく、突拍子のない話だった。正直、まず語学力からして留学を目指すなんて選択は自分のこれからの選択肢にすらなかったし、最初聞いたときには相談内容を理解するのに少し時間がかかった。 ただ、開発の側面からではあるけど入社してからこれまでセキュリティのことばかり考えてきて、どうすればもっとレベルアップできるか少し悩んでいた自分にとっては願って
前回のエントリで、hexdump コマンドを使ったら想定した順序でバイナリがダンプされず苦い思いをした。 得点にも繋がった可能性もあると思うと悔やまれたため、整理(今更…)。 なお、今回はリトルエンディアンの環境で試している。 hexdumpバイナリをダンプしたいときは hexdump をよく使う。 いつもは -C オプションを付けてASCIIと一緒に見るが、オプションをつけないときと挙動が違う。 オプションなしでhexdumpを呼び、"ABCD" を16進数で表す。 [root@kali] # echo "ABCD" | hexdump 0000000 4241 4443 000a 0000005 2byteずつ読み込み、それを逆転させて出力しているため、想定した並び順となっていない。 紛らわしすぎる。 -C オプションを付けると1byte単位で読むようになり、想定した順序で出力された。
けっこう前の話になるが、社内でセキュリティコンテストをやってきた。 会社は某SIer. システム開発とか構築、運用やその他業務がある。 システム開発ではもちろんセキュリティについても考慮しなければならないわけで、その啓蒙、スキル底上げの一助になればと思い、一部のCTFチームメイトとともに運営側に参加した。 自分は、コンセプトとか全体的なやり方の策定、問題作成、当日の運営をメインにやらせてもらった。 すべては公開できないが、いろいろと悩んだこともあったので書ける範囲で書こうと思う。ボカすところはボカして書く。 コンセプトまず、"SIer"でのコンテストは、どんな問題にしたら良いのか。 業務のどのフェーズでもセキュリティを考慮する必要はあるが、まずは開発時にしっかりしたものを作れるようにしたい。ということでスコープは「開発時に求めるセキュリティ」とした。 では、ここで求められるものは、どんなも
昨日まで、都内某所でpwn合宿に参加してきたのでその感想を。 pwn合宿ではあるが、pwnばかりというよりは常設CTFとかMMA CTFを各自やったり妨害コンテンツのアニメに見入ったりして、pwnはほとんどできない楽しい内容だった。 基本的にはもくもく会だったが、今までチームメイト以外の人と一緒にpwnとかCTF合宿をやる機会がなかった自分にはこうした経験は刺激も大きく、参加してよかったと思える合宿だった。 個人的に一番良かったと思えたのは、合間で色んな人と話ができたこと。 問題を解いた後に他の解法を聞いてみたり、問題以外でも日ごろ感じていることを話したり、経験したことがないCTFの話に聞き入ったり。 特にチームビルディングの話は面白くて、みんな色々と考えているんだな、と知れたことも収穫だった。 今回用に問題を作ってもらったものもあったので、せっかくなので少し紹介したい。 4問あって、he
SECCON2014 オンライン予選もひと段落した。 前回のエントリ書いたときにreversing力が欲しいとか思ったので、手始めにCTF for Beginnersのバイナリを見てみた。 といってもそこまでちゃんと見たわけではないけど…。 問題名とかは忘れてしまったので、バイナリファイル5つをファイル名順に見ていく。 第1回に参加したため、第2回とは問題ファイルが違っているかもしれない。 なお、IDAはデモ版でなくてFree版を使っている。 なぜデモ版を使わないの? と言われると特に理由はないです。しいて言えばデモ版のメリット/デメリットを評価できてないからかな。 今度調べてみよう。てか有償版ほしい。 ctf_bin1 ctf_bin1 ファイルが与えられるため、fileコマンドで確認する。 [root@kali] # file ctf_bin1 ctf_bin1: Microsoft
このページを最初にブックマークしてみませんか?
『security etc...』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く