┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.01】 発行:2014.06.20(金) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 SECCON 2014 予選スケジュール公開 0x02 CTF for Beginners 初心者向けCTF勉強会が活動開始 0x03 CTF for GIRLS 女性限定ワークショップが想定外の人気 0x04 協賛企業「NRIセキュアテクノロジーズ株式会社」様より 0x05 連載:ksnctfの問題にチャレンジ!「Easy Cipher 50pt」 ──────────────────────────────────── 0x01 SECCON 2014 予選スケジュール公開 ────────────────────────────────────  今年も暑い季節がやってまいりました。6月10日に SECCON 2014 事業開始式を 開催しまして、今年度の SECCON 2014 予選スケジュールを公開しました。  今年度の SECCON 2014 では、通常の CTF 予選の大会の他に、有志による CTF 勉強会の開催協力を行う予定で、CTF プレイヤーならびに情報セキュリティ技術 者育成の裾野拡大を狙います。各 CTF 予選や CTF 勉強会の詳細については、以 下の URL で逐次情報を追記していきます。  http://2014.seccon.jp/ ──────────────────────────────────── 0x02 CTF for Beginners 初心者向けCTF勉強会が活動開始 ────────────────────────────────────  最初の SECCON 2014 オンライン予選は、7/19(土) から開始されますが、それ までに、何回か有志による CTF 勉強会を開催することになりました。 ▼ 第1回 CTF for Beginners 日程:2014年6月28日(土)13:00~18:00 会場:グリー株式会社 9Fセミナールーム 定員:100名 → 130名の応募があり申し込みを締め切りました 詳細:http://2014.seccon.jp/2014_06_CTF_for_Beginners.html 過去の SECCON 参加チームの学生が中心となって運営を進めている勉強会です。 メルマガよりも先にTwitterで告知をしたところ、定員を大幅に超える申し込み をいただきまして、別の日程で第2回の勉強会を開催することになりました。 ▼ 第2回 CTF for Beginners 日程:2014年7月6日(日)13:00~18:00 会場:渋谷ヒカリエ21F DeNA本社(受付11F) 定員:100名 → ※本日より募集開始 詳細:http://2014.seccon.jp/2014_07_CTF_for_Beginners2.html こちらは、メルマガでの告知が最初の勉強会となりますので、興味のある方は ぜひお早めにお申し込みください。 ~ CTF for Beginners 開催にあたって ~  最近、標的型攻撃や脆弱性という単語がマスメディアで飛び交い、何かと情報 セキュリティが注目される時代になりました。皆さんは「脆弱性」とか「攻撃」 ということを聞いてどう思うでしょうか。私は正直怖いと思っています。対策を しようにも、そもそも「攻撃」とはどのようなことかが分からないと、具体的な イメージが浮かばないのではないでしょうか。  また、皆さんは「CTF」についてもどのようなイメージを持っていらっしゃる でしょうか。いろいろな方がいるかと思いますが、どのような問題が出るかや、 そもそもどういう競技なのかが分からず「怖い」という印象や「私には出来ない」 という印象を持っている方もいるのではないでしょうか。  今回そのような方向けに CTF for Beginners という名前で情報セキュリティに 関する技術を初歩の初歩から勉強するワークショップを行うことになりました。 前提知識は不要です。やる気と自分のコンピュータだけ持ってくれば参加できる ワークショップです。最近の情報セキュリティのニュースはとにかくなんだかよ く分からないけれど怖い。CTF には参加してみたいけれど、何をすればいいのか が分からない。研究や趣味で情報セキュリティの勉強がしたいけれど、取っかか りが欲しい。どうでしょう、まずこのワークショップに参加して、知識をつけて みませんか?                     CTF for Beginners代表 三村 聡志 ──────────────────────────────────── 0x03 CTF for GIRLS 女性限定ワークショップが想定外の人気 ────────────────────────────────────  お隣の韓国では「Power of XX」という名称で、女性限定の CTF 大会が数年間 継続して開催されています。日本でも女性の情報セキュリティ技術者がもっと活 躍できる場を増やしたいということから、SECCON 2014 では、女性限定のワーク ショップを開催支援することにいたしました。運営スタッフはすべて女性で、初 の試みになりますが、新聞などのメディア報道の影響もあり、メルマガで告知を 流すタイミングがとれなくなるぐらい瞬間的に申し込みが殺到してしまいました。  第1回のワークショップの結果によって、今後も継続して第2回を開催するかど うか、また女性限定の予選大会を実施するかどうか検討いたしますので、今回申 し込みを逃してしまった方は、次回開催をお待ちください。 ▼ 第1回 CTF for GIRLS 女性限定ワークショップ 日程:2014年6月29日(日)10:00~18:00 会場:グリー株式会社 9Fセミナールーム 定員:50名 → 80名の応募があり申し込みを締め切りました 詳細:http://2014.seccon.jp/2014_06_CTF_for_GIRLS.html ~ CTF for GIRLS 開催にあたって ~  高校生の時に情報セキュリティの世界に出会い、大学入学後本格的に情報セキ ュリティ技術を学び初め、今では情報セキュリティ分野の研究を仕事としている 私がまず言えることしては「情報セキュリティ技術習得において男女に差は無い」 ということです。しかし、現在の情報セキュリティ業界の偏った男女比から、情 報セキュリティ技術に興味を持ったものの、社会的・心理的なハードルの高さを 感じて、その習得を諦める女性が多いように感じられます。  そこで今回、情報セキュリティ技術に興味を持つ女性達が、気軽に技術的な質 問や何気ない悩みを話しあうことが出来るコミュニティ作りを目的として 「CTF for GIRLS」を企画致しました。「CTF for GIRLS」では今後、コミュニテ ィ形成の一環として女性同士で情報セキュリティ技術を教え合うワークショップ や、その他女性向けCTFイベントの開催を致します。  その「CTF for GIRLS」の第一回目の企画として6月29日に女性向けCTFワー クショップを開催致します。CTF を通じて情報セキュリティ技術の面白さを是非 体験してみませんか?                      CTF for GIRLS主催 中島 明日香 ──────────────────────────────────── 0x04 協賛企業「NRIセキュアテクノロジーズ株式会社」様より ────────────────────────────────────  NRIセキュアテクノロジーズは、昨年に引き続き2014年度もSECCON大会を応援 いたします。NRIセキュアは、マネージドセキュリティサービスを中心としたワ ンストップのセキュリティサービスを提供する情報セキュリティ専門企業です。 今年の8月には、SANS NetWars TournamentというCTFイベントを1日のSANSトレー ニングとセットで開催します。こちらのイベントで優勝するとSECCON全国大会へ の切符を手にすることができますので、腕に覚えのある未就業の学生の皆さんは、 エントリー開始の情報をお待ちください。                NRIセキュアテクノロジーズ株式会社 時田 剛 ──────────────────────────────────── 0x05 連載:ksnctfの問題にチャレンジ!「Easy Cipher 50pt」 ────────────────────────────────────  日本人の運営する常設型オンラインCTFサイト「ksnctf」をご存知でしょうか。 インターネットに接続できる環境にあれば、誰でも何時でも参加できるサイトで 主に若い人の間で人気があります。実際にksnctfでどんな問題が出題されている のか、2問目として出題されている問題「Easy Cipher 50pt」を見てみましょう。 「Easy Cipher 50pt」 http://ksnctf.sweetduet.info/problem/2 ……………………………………………………………………………………………… EBG KVVV vf n fvzcyr yrggre fhofgvghgvba pvcure gung ercynprf n yrggre jvgu gur yrggre KVVV yrggref nsgre vg va gur nycunorg. EBG KVVV vf na rknzcyr bs gur Pnrfne pvcure, qrirybcrq va napvrag Ebzr. Synt vf SYNTFjmtkOWFNZdjkkNH. Vafreg na haqrefpber vzzrqvngryl nsgre SYNT. ……………………………………………………………………………………………… なんと!いきなりびっくり。問題文はこれだけ、問題文自体が暗号になっている 模様です。これを解読しないと、何を解答すればいいのかがわかりません…。 しかし、よく問題文を見てみると…「,」や「.」の記号はそのまま残っていて、 英語の文章からアルファベットの文字をある一定の規則によってそのまま置き換 えた暗号文ではないかと推察できます。英語の文章で、一番出現頻度の高いアル ファベットの文字は「e」であることが過去の統計上からわかっています。 そこで、この暗号文に出現するアルファベットの出現頻度を調べてみましょう。  r … 出現頻度 32回(11.72%)  g … 出現頻度 24回( 8.79%)  n … 出現頻度 16回( 5.86%)  v … 出現頻度 15回( 5.49%)  e … 出現頻度 13回( 4.76%) 圧倒的に「r」の出現頻度が一番高いので「r→e」と置き替えれば良さそうです。 単語単位で見てみると「gur」が3回、「n」が2回、「na」が2回出現しています。 英語で良く出る3文字の単語は「the」と相場が決まっていますので「g→t」「 u→h」「r→e」と置き換えてみます。1文字の英単語は「i」や「a」が存在します が、出現場所と頻度からして「n→a」ではないかと考えられます。2文字「na」は 最初の文字が「a」だとすると、「at」「as」「an」などが考えられます。 しかし、ここでちょっと待ってください。いままで推測してみた文字の置き換え ルール「r→e」「g→t」「u→h」「r→e」「n→a」に何か規則はないでしょうか。 pythonを使って、アルファベット文字のASCIIコードの値を調べてみます。 >>> ord('r') 114 >>> ord('e') 101 >>> ord('g') 103 >>> ord('t') 116 これは…もしかすると…とひらめいて、試しに引き算してみます。 >>> ord('u') - ord('h') 13 >>> ord('r') - ord('e') 13 >>> ord('n') - ord('a') 13 ビンゴです!アルファベットの文字が13個横にずれているようです。 ABCDEFGHIJKLMNOPQRSTUVWXYZ abcdefghijklmnopqrstuvwxyz ↓↓↓↓↓↓↓↓↓↓↓↓↓ ↓↓↓↓↓↓↓↓↓↓↓↓↓ NOPQRSTUVWXYZABCDEFGHIJKLM nopqrstuvwxyzabcdefghijklm このアルファベットの変換規則をPerlのワンライナーで書いて、標準入力に暗号 文の1行を流し込んでみます。 $ perl -np -e "tr/A-Z/N-ZA-M/,tr/a-z/n-za-m/" EBG KVVV vf n fvzcyr yrggre fhofgvghgvba pvcure gung ercynprf n yrggre ROT XIII is a simple letter substitution cipher that replaces a letter おお。「ROT XIII」はローマ数字で「ROT 13」の意味ですね。単純な文字置換の 暗号として良く使われていたもので、解読は簡単です。アルファベットは26文字 なので、暗号と復号で同じ処理を使えます。実は日本語の漢字変換コマンドの nkfに「-r」オプションがあって、ROT13の処理がコマンド上で簡単にできます。 $ nkf -r jvgu gur yrggre KVVV yrggref nsgre vg va gur nycunorg. EBG KVVV vf na with the letter XIII letters after it in the alphabet. ROT XIII is an 本Write Upはここまで!ということで、これ以降は、ぜひ皆さんご自身の手で挑 戦してみてください。ksnctf は他にも難易度の幅がある多数の問題があります ので、腕試しのつもりでぜひ試してみてください。           遠回りな手順でCTFを解こうの会 竹迫 良範(会員番号2) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON 2014 実行委員会は、多くの皆様からの無償のご支援と、スポンサー   企業様からの協賛金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2014 SECCON 2014 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい