全自動ハッキングシステム同士の対決!? DEF CON 24 CTF & CGCレポート

tessy

October 14, 2016 11:00
by tessy

8月4日から7日にかけての4日間、アメリカ・ラスベガスにてDEF CON24が開催された。前回のDEF CON23の記事に続いて、今年もCTF関連の様子を紹介しよう。

CTFを全自動で行うシステム「CGC」

昨年のDEF CON閉会式では、CTFの表彰と共に今年の競技についてのアナウンスがあった。一部では話題として出ていたのだが、DARPA(米国防高等研究計画局)の主催するCGC(CyberGrandChallenge)との連携になるとのこと。CGCはソフトウェアの脆弱性解析、パッチ開発、適用といったCTFで行っていることを全自動で行うシステムを開発する競技で、2013年にプロジェクトが始動した。104チームからなる予選を通過した7チームがDEF CON初日に開催される決勝戦に進出する。この勝者チームが翌日からDEF CONのCTFに参戦し人間たちとの攻防戦をするというものであった。

今年のDEF CONのテーマが、「The rise of the Machines」とされている。ご存じのとおり、これはターミネーター3のタイトル名「Terminator 3: Rise of the Machines」だ。入場券を兼ねて配布される参加者バッジのスケルトンをはじめとして、自動化されたCGCの大会開催を意識してのものと思われる。

今年の参加者バッジ。明らかにターミネーターを意識して作られたデザイン
毎年開催されるDEF CONバッジコンテストの模範解答はこちら
(以下、本文中の写真は筆者撮影)

CGCはいったい何なのか?

今年の(人間の)CTFの話をする前に、まずCGCの解説する必要がある。というのも、DEF CON開催まであと1ヵ月弱となった6月末に、今年のCTFはCGCのゲームフォーマットを使用するというアナウンスがされた

通常の攻防戦で行われるCTFは各チームに配付されたサーバーで稼働する脆弱なサービスに対して、脆弱性の修正による防御と他チームへの攻撃、サービスの稼働の得点で競われる。CGCで使用される各チームサーバーはDCREEと呼ばれる通常数百あるシステムコールを7つに制限したカスタムのLinuxをベースとしたオープンソースOSを用いて行われる。

しかし各チームはサーバーを操作することができず、CB(Challenge Binary)と呼ばれる問題ファイルが提供され、見つけた脆弱性にパッチをあてて、バイナリを差し替えることで防御RCB(Replacement Challenge Binary)をする 。見つけた脆弱性については攻撃コードPoV(Proof-of-Vulnerability)を作成する。

PoVは相手のシステムをクラッシュさせEIPと他のレジスタの値を制御し、メモリ上の特定の領域のデータを読み出すことで攻撃成功となる。参加者チーム/機械たちは、提供されたCBに対して解析を行い、RCBの提出、PoVの提出を行い、中央の運営のサーバーにて5分に1度CB/RCB自体が正常に動作をしているのかのチェックを行うとともに各チームから提出されたPOVを元に攻撃、防御の成功可否を集計して得点が配分される。CGCでは8時間の96ラウンドで競技が行われた。

CGCでは競技が始まってしまうと、人間達はなにもすることがないため、TV中継のような解説を入れるなどを行い、CTFをe-Sports化するという新しい試みを行っていた。競技は淡々と進む感じであったが、運営も想定していなかった脆弱性を発見、修正するチームがでたり、過去の脆弱性を模した問題はほとんどのチームが圧倒的なスピードで修正する様を見せたり、個人的にはなかなか楽しんで見ることができた。

優勝はCMU(カーネギーメロン大学)の教授、学生などからなる私企業のForALLSecureのMayhem。 CMUではexploitを自動で生成するなどの研究を古くから行っており、これらが証明できる機会だったとコメントしている。

CGC最終結果

CGCについてはすでに公式サイトなどで結果や当日の動画などが公開されている。また公式レポジトリでは様々なファイルが公開されている。また3位になったShellphishチームのMechanical Phishについてはすでにソースコードが公開されている

CyberGrandChallenge風景

DEF CON CTFの話

さて本家のCTFは日本からはbinjaが2年ぶりに参戦をしている。その他の顔ぶれは昨年優勝の韓国DEFKOR、常勝チームアメリカPPPをはじめとして、韓国、台湾、ロシアを始めとする14の人間チーム+CGC優勝のMayhem。

競技はCGCの表彰式の関係で、金、土、日の11時30分から20時、10時から20時、10時から14時と例年に比べ少しだけ短い時間での開催となった。しかし、初日はサンプル問題でのテストが上手く動作せず、実際に競技が始まったのは15時過ぎとさらに短縮がされた。

3日間でLEGIT_00001 ~ LEGIT_00004、LEGIT_00006 ~ LEGIT_00009という8つの問題が出題された。

初日は短い時間ではあったが終了時点で、昨年優勝の韓国DEFKORが3万700点と大きくリードした。2位にアメリカPPPが2万4553点、3位は台湾のHITCONが2万2486点と続き、日本のbinjaは12位と初速の差が大きく出た結果となった。

2日目は、ラウンドが巻戻るトラブルからスタート。例年のとおり得点が表示されなくなったため、詳細は不明であるが、2日目終了時点で1位はアメリカPPP。2位には中国b1o0pが、3位は韓国DEFKORが入った。binjaはこの日8位までもちなおす。

3日目は順位すらも隠されてしまったが、最終的には2日目の結果そのままの順位で終了となった。

9月6日になって、ようやく最終結果が公開され、日本のbinjaは8位、期待をされていた機械のMayhemは最下位であった。実はMayhemは、2日目まではパケットデータが正しく提供されなかったり、ラウンドが巻き戻されたりと機械にとっては辛い闘いとなったようである。

また、最終日の夜にCTFチームが集まるパーティがあり、そこの席で興味深い話を聞いた。先のルール説明では省いていたのだが、問題ファイルCBにパッチをあてたRCBを提出すると、次ラウンドでは得点がカウントされず、提出したRCBが全チームに公開されるという競技仕様があった。これにより、不完全なパッチを試行錯誤することができず、確実な防御をする必要が出てくるが、それは他チームに自分たちの手の内を明かして防御方法を教えることになる。binjaチームはこの仕様を見越して、自分たちのパッチを流用されることを想定し事前にバックドアを仕込んだパッチを作成するなどの策を取っていたとのこと。

今回優勝したPPPは当初はそれを想定していなかったが2日目からバックドア入りのパッチを使用していた。PPPのすばやい対応力もさることながら、競技の仕様から攻撃の方法を見つけていたことや、PPPの作成したパッチのバックドアを発見し無効化して使用したことなど、なかなか日本もやるなと思わせる話であった。

優勝したPPPを始め参加していた人たちの記事を集めておいたので、興味のある方は以下を参照していただきたい。

来年のDEFCONとこれから開催されるCODE BLUE

今までDEF CONのCTF運営は今まで最大4年という慣例があり、数年ごとに運営チームは変更されてきた。しかしLegitbsは来年5年目も運営を継続するようである。

今年のDEF CON閉会式にて、彼らからは以下の様なアナウンスがされた。

We will be making some changes for 2017.We will be running a far more traditional capture the flag rule set with a twist.The 2017 capture the flag will feature a custom processor architecuture running on a new operation system.
(意訳:2017年は今までのCTFからはさらに改良したチャレンジをし、カスタムアーキテクチャや新しいOSなどを扱っていく)

世界の大会との連携もまた継続されるとのことで、またアツイ闘いが始まる。最初の出場権を得られる大会は12月にある台湾のHITCONのCTFで、オンライン予選は10月8日から10日に開催された。

来年の競技についての説明

さて、今年CGCで優勝をしたForAllSecureのTyler氏、韓国のDEFKORチームの面々などCGC経験者が10月CODE BLUEにて講演のため来日します。特にCGC優勝チームが競技の話をするのはおそらく世界初のことになるだろう。




tessy

tessy

AVTOKYO/sutegoma2 代表
おもしろいこと、ビールを求めて世界をさまようサラリーマン。最近はもっぱらCTFは参加者側というより運営側ばかり。

ハッカーの系譜(11)スタートアップ養成する「Yコンビネーター」 (6) 株式と転換社債を使った「賢い」資金援助

May 23, 2017 08:00

by 牧野武文

養成機関運営の問題点 グレアムは、ビアウェブのときの仲間であるモリスとブラックウェルに声をかけてみた。2人はスタートアップ養成機関というアイディアは実に面白く、成功するだろうと太鼓判を押してくれた。ただ、モリスはすでにマサチューセッツ工科大学の教職の地位を得ており、ブラックウェルも自分のスタートアッ…