日本Androidの会秋葉原支部ロボット部 Advent Calendar 2020 19日目です。
勉強会の出席率はイマイチですが、セキュリティとかでネタないの?ということで、セキュリティ+教育ということで、pwn.collegeの紹介です。
pwn.collegeとは
pwn.college とは、アリゾナ州立大学の Zardus こと Yan Shoshitaishvili氏と kanak こと Connor Nelson氏によって作成された、オープンソースの教育プラットフォームです。
サイバーセキュリティの概念について実践的に学び、それを実践(手を動かす)することによって初心者の白帯レベルから黄色帯レベルに上げていこうというのがコンセプト。
作成者の一人、アリゾナ州立大学の准教授でもあるYan氏は、知る人ぞ知る?DEFCONのCTF(Capture The Flag=サイバーセキュリティをテーマにした競技)の現在の運営であるOOO(Order of the Overflow)のリーダーを務めています。それ以前のカリフォルニア大学サンタバーバラ校(UCSB)では強豪CTFチームShellphishを率い、2016年にはDARPAの運営するCyberGrandChallenge(全自動で攻撃、防御を行う競技)で3位の成績を収めるなどの輝かしい経歴があります。
そんな彼が2019年12月に台湾で開催されたカンファレンスHITCONにて、pwn-college betaとしてリリースをアナウンス、今年の8月に正式なバージョンとして公開されました。
DEF CON CTF主辦人在HITCON CTF論壇,首度公開PWN College開源課程 | iThome
#何が出来るの?
pwn.collegeでは、主に以下のような環境で学ぶことができます。
- 講演動画 on YouTube:アリゾナ大学の2020年秋の情報セキュリティコースの講義動画
- 講演動画 on Twitch:アリゾナ大学の2020年秋の情報セキュリティコースの講義動画。授業がある時はライブ配信される
- CTF環境:実際にCTFの課題に挑戦が出来る環境
- サポート1:Discordによるサポート
- サポート2:メーリングリスト(GoogleGroups)によるサポート
まずはベース知識を得るためにIntroモジュールから始めましょうとのこと。この辺を見ると、ベースとなる知識としてコンピュータアーキテクチャからアセンブリ、Linuxのプロセスといったテーマが並び、これらを学んでおきましょうとなっています。
#CHALLENGES登録方法
実際に動いている問題環境へのアクセスは以下で登録をします。
https://cse466.pwn.college/
登録にあたっては特に難しいことは無く、ユーザ名、メールアドレス、パスワードで登録が出来ます。
Challenges から問題を選択。「Run Challenge」ボタンを押すと問題が有効になります。
スコアサーバの「Terminal」タブから問題サーバにアクセス(挑戦)が出来るほか、設定で公開鍵を登録しておくことで、 直接サーバに接続をすることも可能です。
ssh cse466@cse466.pwn.college
記事執筆時点では367問が公開されており、全問クリアをしているのは12人です。
#番宣
番宣するならもう少し余裕みて早めな投稿にするべきでした(笑)。
本日(12/19)開催されるSECCON2020電脳会議 にて、pwn.collegeの紹介講演があります。
実際にpwn.collegeを作成、運営してる2人を迎え、日本からはCTFを教育に実際に活用されたり教育的価値を考察されたことがある小出先生、中矢さんとの対談になっています。
時差と通訳の関係もあり事前録画での配信ではありますが、翻訳音声入りのチャンネルもありますので、よかったら登録をして見てみてください。
https://www.seccon.jp/2020/ep201219.html
余談
白帯、黄色帯などの帯の色による階級システム、Yan氏の説明の「wax on, wax off」…そうThe Karate Kid (邦題:ベスト・キッド)の空手の階級、修行の仕組みが取り入れられています。
リアルなベルト表彰システム?もあり、Exploitationの6つのモジュールをクリアすると黄色帯レベル、出題されている全部の問題をクリアすると青帯レベルとして、申請をすると物理ベルトが提供されるようです(現在製作中とのこと)。
https://pwn.college/belts
あと、現在はpwn(問題を攻略してサーバの権限を取得する)カテゴリの問題だけですが、今後は他のカテゴリも対象にしていきたいとのことでした。