ふるつき2

裏ブログです。うそです

今週末はCTFに出なかった

土曜日にbWluaSBoYXJkZW5pbmc=というイベントがあってそちらに参加していたので、土曜日のCTFには出られなかった。なぜbase64エンコードしたかというと、私はこの競技(と運営)が少し苦手に感じたのでそういう愚痴を書くけど、それを運営や他の参加者が検索でみつけてほしくないと思ったから。見つけてほしくないのは嘲笑われるのが嫌だからです。

ISUCONの練習とおもって参加したんだけど、申請していた3人だけではなく知らない人もまぜこぜのチームになっていて、いきなりコミュニケーションしろと言われてもできないし、あいてのスキルもわからないからとりあえず我々が作業者になって残りの二人は悪いけど特に何も言わず放っておいたら、うまいこと役割をみつけてくれていた。競技では複数の言語によるマイクロサービスの実装とか、mysqlとかdrupalwordpressと7年前からcommitされていない個人開発っぽい掲示板が動いていたりするインスタンスとかが合計4つ与えられて、それを守ればよかった。これみよがしに複数の実装があったり古い実装があったりしたのでそちらを修正すべく作業してしまっていたが、本質はインフラで、とにかくRedisのbindingをやめるとかDBのパスワードを変えるとかw でセッションを見張るとかLinuxのなかに何が入っているかをみるとか、そういう調査や抜本的改善が必要だった。複数言語による実装のマイクロサービスなんて放っておいてもよいくらいだった。

競技も難しくて、現実世界がそういうものだから、というのはあるだろうけどこちらの措置にたいして点数が良くなったとか悪くなったとかいうフィードバックはない。いきなりサービスが停止するような攻撃が飛んできたり、どれが仕様で何は逸脱していいのかわからなかったりする。大昔の高専セキュリティコンテストもそうだけど、何を求められているかわからないけどはいやってね、というのは苦手だ。結局何をやってもうまくいかないし競技に集中していたら空腹になるしで言葉も多少乱暴になってしまいよくなかった。しかしISUCONではこうなるまいと思えたので、とりあえずISUCONの練習という目的は達成できているかもしれない。

……ということがあったので土曜日は疲弊していてCrypto CTFには出られなかったし、UIUCTFは翌日からでも良かろうと思ってそもそも参加する気がなかった。去年も何かしらがあって出場できなかったので、2年連続でCrypto CTFを逃したのは惜しいことだ。しかしUIUCTFについては担当である暗号分野はほとんど解いてもらっていたし、問題数も少なくとくに面白くもないようだったので全然参加する気にならず、結局日曜日も月曜日の朝も参加することはなかった。quantumみたいな問題があって解けないということで呼ばれたが、guessingっぽかったのでやはりやらなかった。UIUCTFって去年もこんなだっただろうか。もうすこし歯ごたえのある問題と言うか、まともな問題が出ていたような気がしていた。

しかしこれは私の印象で、Web分野なんかはそう悪くなかったらしい。カテゴリが違えば作問者が違うだろうから、同じチームにいたり同じadminのチェックを受けていてもやはり問題のレベルや数や質というものは変わってくる。今回はたまたまWebはあたりで、cryptoは外れだったんだろうと思う。他の分野はどうかしらないが、OSINTはチーム内でもやはり面白くなかったという声を聞いた(面白いOSINT問題というのは見たことがない)。

開催されていたCTFを楽しめなかったのは悲しいことだ。CTFというのはだいたい半分以上はそういうクオリティなのだから、面白くないなりに例えば素早く解いてしまうとか、あるいはレーティングやprizeをモチベーションにするとかして、とにかくなんでもいいから解ききる力を身に着けたり、チームに貢献できるようになりたいと思う。一方でやはり面白くないCTFに参加しても仕方がない、チームごとボイコットしてしまえという気持ちもある*1

*1:このあたり、カテゴリによって問題の質が大きくなるCTFではより難しい