初めに
Micro Hardening Basicとは
セキュリティをゲーム感覚で学ぶ競技 Micro Hardening の超入門編です。
参加者(皆様)は販売サイトの運営の主人公となり、迫りくる攻撃(不正アクセス、データ改ざんなど)から防衛し、スコアを競います。2人1組のチーム戦となります。(3人1組になる可能性もあります)
== 攻略難易度 ==
Micro Hardening v1, v2では販売サイトを運営するスキル (Webサーバやデータベース、Wordpress管理など) が求められますが、初学者にはなかなか難しかったという声からBasic版が誕生しました。感覚的な攻略推奨レベルは下記のとおりです。
Micro Hardening Basic (攻略推奨レベル 3) [今回]
Micro Hardening v1 (攻略推奨レベル 10) [7/28開催予定]
Micro Hardening v2 (攻略推奨レベル 15)
引用元(https://sc4y.connpass.com/event/316767/)
上記に書いてある通り超入門編、つまり超初心者編という前回のShield stoneで大戦犯をかました私にはうってつけの競技会でした。
メンバーは同じ学校の同級生と先輩の3人で挑みました。
本番までの準備
私と先輩が前日開催されたShield stone参加者ということもあり、初心者向けといいつつ難易度高いんじゃないかと考え、(Shield stoneが初心者向けといいつつ難易度高かった)チートシートの作成をして準備を整えていきました。といっても本番まで1週間しかなかったため、Shield stoneで使用したチートシートを流用するかたちでの作成でした。また、Micro Hardening参加者である先輩から基礎的なlinuc操作を教えてもらうなど準備を進めていきました。
本番
オンラインでの参加だったので、開始は12時から始まりました。12時から13時までは本競技会についての説明があり、13時から競技開始でした。
1セット目
1セット目は事前に決めいていたTodoリストを基に堅牢化を努めました。内容としては「rootユーザーへのssh接続拒否」「不要ユーザの削除」「ユーザーのパスワード変更」「wafの設定」などを中心に努めました。
45分と短い時間のため優先度の高いものから対策をしたのですが、その判断は正しかったようで順調に売り上げを伸ばし、売上上位に入ることができました。
↑team16が自分たちのチーム
2セット目
2セット目では1セット目考えていた以上に対策をしていて、攻撃を見ることができなかったので「rootユーザーへのssh接続拒否」など最低限の対策だけをして攻撃を見ることにしました。
最低限の対策だけにしたが大きく売り上げは落ちていないので、基礎的な対策をするだけでいいのではないかと考えました。
3セット目
3セット目では1,2回目のセットを通して基本的な対策をしていれば売り上げを伸ばせることが分かったので基本的な対策をすぐに終わらせ、さらに別の対策をするようにしました。内容をいうと参加される方が面白くなくなるので言わないでおきます。
team7と2000点差とがついてしまったので、原因を探していたのですが、わかりませんでした。実際なぜ2000点差ついたのかわかりませんが、アパッチを再起動したタイミングでクローラーが商品を買いに来てて売り上げに入らなかった、というのが私たちがだした結論です。
まとめ
Sheld Stoneとは違い本当に初心者向けとでした。(Shiled stoneは超がついてないからあの難易度になったのか?全く初心者向けじゃなかった)超とつくだけの難易度だったのではないかと初心者ながらに思いました。
主催者の方が「事前資料に記載されている対策一覧さえできれば売り上げはだせる。その対策もGoogleなどで調べればすぐでてくるものだけ」という様なことを言っていたので
参加するときに掲げた目標が「バックアップの取得をする」だったのですが、スクリプトを実行してwww/html配下のバックアップの取得をすることができたのですが、crontabを使用して定期的にバックアップを取得することが出来なかったのが少し心残りです。
できなかったこともありましたが、3セット合計で売上1位だったので良かったです。
Micro Hardening v1,v2の参加したいけど自身が無いなという人はまずはBasicから参加して自信をつけてみてはどうでしょうか。とても楽しい競技会でした。運営の方々、先輩方ありがとうございました!次回も参加したいなと思います