2016年1月30〜31日のtwitterセキュリティクラスタ

yousukezan
2016年1月30〜31日のtwitterセキュリティクラスタです。SECCONお疲れさまでした。

SECCON 2015 Final intercollegeが開催されました

awamori@awamori_tt

SECCON会場来た。友利奈緒がいた pic.twitter.com/JGgQweakOB

lumin@lumin

SECCON決勝戦での友利奈緒をお楽しみください。
友利奈緒保護のため一部ぼかしてあります。
友利奈緒の中心に置いたTHETA Sで全天球撮影しました。THETAアプリなどで見ると臨場感ある画像で見られます。 #seccon pic.twitter.com/8L3grDsOJy

Yasuhiro Morishita@OrangeMorishita

友利奈緒、レッドブルを飲む(世界に発信して欲しいとのこと)。 #SECCON pic.twitter.com/LhLZLq9Jwo

awamori@awamori_tt

リツイ通知がうるさくて携帯の電源切りたいという人の気持ちが分かった

友利奈緒@PINKSAWTOOTH

【悲報】チームTomoriNao、フランス/ドイツのテレビ局の取材決定。

lumin@lumin

SECCON決勝戦をAMATERAS でモニターできます。ちょうどセキュリティを突破して侵入したところです。#seccon pic.twitter.com/v3DYvm62Cq

伊藤 彰嗣@springmoon6

終了直前。dododo が優勢ですね。
#seccon pic.twitter.com/AT1vvBbSrY

伊藤 彰嗣@springmoon6

終了ー。お疲れ様でした!
#seccon pic.twitter.com/8SQ1LHuyVB
3位は九州大会の覇者、MMA! #SECCON pic.twitter.com/em6JkGtai2
3位 MMA
副賞 書籍

(´-`).。oO(お金がいいのに
#seccon

準優勝は、0x0(ゼロエックスゼロ)! #SECCON pic.twitter.com/Z7fBS19AgS
副賞はドメインwww
一人1ドメインずつ。どんなお高いのでもいいのかしらw? #SECCON pic.twitter.com/e1NsmJ9qUj
優勝(文部科学大臣賞)は、dodododo!おめでとう! #SECCON pic.twitter.com/bbqAnYUZ9v
副賞は、さくらのクラウド80万円分!
DDoSであっという間に溶けたりするんだろうかw #SECCON pic.twitter.com/S3hsBE3MGn
審査員特別賞は、m1z0r3(みぞれ)!
サービスレベルを維持した防御力が評価されました。 #SECCON pic.twitter.com/GfsHTgYgBG

同時にSECCONカンファレンスも行われました

#SECCON カンファレンスはじまた pic.twitter.com/wixZNMXPcf

Yasuhiro Morishita@OrangeMorishita

今日の招待講演のShellphishの資料を公開したとのこと。 #SECCON pic.twitter.com/j5a7brZRFX

awamori@awamori_tt

この講演で紹介される脆弱性自動検出&パッチシステム「angr」は、今年のDEF CONで併催されるDARPA Cyber Grand Challengeの決勝戦に出るって言ってた記憶。聴講しに行かないとっ twitter.com/OrangeMorishit…
#seccon カンファレンスもはじまりました
大阪seccon、csirtコンテストの報告 pic.twitter.com/2uVj0GFLd8

伊藤 彰嗣@springmoon6

SECCON 併催カンファレンスで SECCON 大阪大会についてご報告しました。運営チームとしても、非常に参考になる大会でした。ご参加いただいた皆様、改めましてありがとうございました。
slideshare.net/akitsuguito/se…
#seccon
保要さんからCTF for ビギナーズの報告 #SECCON pic.twitter.com/jPqxw2mUoj

Yasuhiro Morishita@OrangeMorishita

保要さん「CTF for ビギナーズが正式名称。beginnersのつづりを間違える方が多いので、ビギナーズとカタカナにした。」 #SECCON
「CTF for ビギナーズの参加者は社会人が多い」
「学生が運営して、社会人が参加してるという面白い関係がうまれた」
#seccon pic.twitter.com/j5K9wUH5ls
CTF for ビギナーズ 2015開催報告 at SECCON 2015 カンファレンス #ctf4b #SECCON
slideshare.net/ctf4b/ctf-for-…

本日の開催報告の発表資料を公開しました。

伊藤 彰嗣@springmoon6

女性限定ctf seccon for girls 大会開催報告
中島さん から
#seccon pic.twitter.com/1kEiYhKoSv
女子限定の攻殻機動隊REALIZE for CTFビギナーズ。
草薙少佐のようなメスゴリラ(ハイレベルな人材の輩出)を育成する競技。gkbr
#seccon pic.twitter.com/vM2F14HfIq

Yasuhiro Morishita@OrangeMorishita

「草薙素子育成計画」とな。 #SECCON pic.twitter.com/OGdhbH9mP7

Yasuhiro Morishita@OrangeMorishita

女性エンジニアコミュニティの拡大。(セキュリティ女子)という括りが無くなる位・・ #SECCON pic.twitter.com/sXmAcKhSDb
SECCON実行委員会の寺島さんから、アセアンサイバーシーゲーム報告 #SECCON pic.twitter.com/I154OAOEEX
NICTの井上さんの講演。AMATERAS零で一番開発工数がかかったのは攻撃パケットの尻尾の部分。ベジェ曲線使って三角形をどーたら軌道計算をこーたら。デバッグモードでちょっと紹介。井上さんの講演はいつも面白いです。 #seccon pic.twitter.com/2qs0u9Xrzf
アメリカのShellphishの、AIについての招待公演はじまる #SECCON pic.twitter.com/U4pH5mVwvE
Shellphishのプレゼン資料
goo.gl/mi5UBv
#seccon
ASEAN Cyber SEA Gameの報告レポート
#seccon pic.twitter.com/xVZFFVLMEk

そしてSECCONインターナショナルが開催されました

#seccon final international 開会式はじまるよー。 pic.twitter.com/1DZ3OVwGrb

友利奈緒@nkpoid

from Hoshi no umi gakuen #seccon pic.twitter.com/gcKRBzi83N

伊藤 彰嗣@springmoon6

遠藤オリンピック担当相からのご挨拶
#seccon pic.twitter.com/dVKKsU0Kl3
競技開始!(パケットが飛び交っている) #seccon pic.twitter.com/8UbNBt5Oga

SECCON CTF@secconctf

Cykorkinesis が1000点突破しました! pic.twitter.com/PoVtyIJ6XZ

lumin@lumin

友利奈緒が最後のサーバを初攻略
#seccon pic.twitter.com/LdjERzPoHj

友利奈緒@nkpoid

lumin@lumin

SECCON国際大会決勝終了です。 #seccon pic.twitter.com/NYSstPb4dn

友利奈緒@nkpoid

#seccon おわり お疲れ様でした pic.twitter.com/yhMwvtBvaf
お疲れ様でした。検証前の暫定順位は、韓国のCykorkinesisぶっちぎり。 #seccon pic.twitter.com/c7oUAjKBzi

SECCON2015カンファレンスの様子

Yasuhiro Morishita@OrangeMorishita

カンファレンス、はじまりです。 #seccon pic.twitter.com/n3gCZmO2LN
基調講演「つながるクルマのセキュリティ」 #seccon

伊藤 彰嗣@springmoon6

Jeep の車載ネットワークのハッキング。
Wifi 経由でポートスキャン、Dbus 経由で車ネットワークにアクセス、携帯網で外部からアクセス、CAN の制御を乗っとり、任意の操作を行う。何も機器を追加しなくても、遠隔から車を乗っ取れた点が優れている。
#seccon

伊藤 彰嗣@springmoon6

Can のメッセージ解析。車載lanのプロトコルで、共有バス。ノードへの通信ではなく、機能への通信を行う。認証の仕組みがないので、なりすましやdosに弱く、解析しやすい。緊急ブレーキやドアロック解除などをリプレイ攻撃で再現できる。
#seccon

伊藤 彰嗣@springmoon6

攻撃デモ。
鍵の解錠、なりすましメッセージ(スピードメーターの操作、トリップメーターの無効化)、dos 攻撃(can ポートを潰すことで、操作不能に) #seccon

伊藤 彰嗣@springmoon6

Can の機械学習の課題。
組み込みシステムだけに正常系データに対する正解率は高いが、異常系データに対して誤検知することが多い。 #seccon

伊藤 彰嗣@springmoon6

自動運転のリスクに、関する質問。
もちろん侵入経路があれば乗っとることはできるが、通常の車を操作することと比べると、繋がることを想定して物が作られていることから、問題は起こりにくいのではないだろうか。 #seccon
つながるクルマのセキュリティの講演。実際、自分の車をhackしてみたなどなど
#seccon pic.twitter.com/tFLs9AmMT7
さくらインターネットさんのIoTの話。レンタルサーバー屋さんだけかと思ったけど、シンクタンクぽい取り組みで目から鱗。すげえぇ、王様たちのヴァイキングのエンジェル投資家みたい!ワクワクした!
#seccon pic.twitter.com/eHC5XKVd7g

やぎ@linus404

DNSドメインの乗っ取り、被害者自身でなくレジストラの脆弱性を突いてくるので被害者側としては辛いな。 レジストラを慎重に選ぶぐらいしかない。 
#seccon

やぎ@linus404

なるほど、ドメインを乗っ取ればそのドメイン配下のメールも自由に読めるのか。#seccon

やぎ@linus404

レジストリロックの仕組み、ロック時の認証に脆弱性があれば、乗っ取った後にロックして復旧までの時間を延伸させるって言う攻撃が次に出そう。 #seccon
世界10カ国も参加 ハッカーの国際大会で熱戦 | TOKYO MX NEWS s.mxtv.jp/mxnews/kiji.ph…

その他に気になったことはこのあたり。

らまっこ@llamakko_cafe

今日のNightlyのアップデートで完成間近だったバグの穴が防がれてた……
アダルトサイトでクリックなしの即課金、シマンテックが注意喚起 news.mynavi.jp/news/2016/01/3…
Googleのバグ発見プログラム、報奨金の支払総額が600万ドルに news.mynavi.jp/news/2016/01/3…
【レポート】脆弱性報奨金の総額は600万円、サイボウズが2015年の振り返り news.mynavi.jp/articles/2016/…
https://matome.naver.jp/odai/2145412892605319401
2016年01月31日