Сколько задач нужно решить, чтобы получить приглашение на форум, где со всего мира соберется элита информационной безопасности? Равняется ли число успешных атак на веб-приложения — количеству выпитых рюмок текилы? Как сразиться с хакерами по всей планете, не вставая с дивана?Под катом рассказ о конкурсной программе форума по информационной безопасности Positive Hack Days 2012.
Битва за инвайты
Регистрация участников форума начнется в полдень 14 мая. Мы предполагаем, что она будет закрыта по достижении максимального числа желающих — уже через пару минут после старта, и попасть на мероприятие смогут не все. Поэтому мы решили провести два конкурса, в которых разыграем 20 пригласительных на PHDays 2012.
Конкурс № 1
10 приглашений будут разыграны в ходе конкурса под названием «Взорвем городишко», который пройдет с 7 по 25 мая. Мы предложим участникам решать разнообразные задачи и получать специальные ключи (флаги); их необходимо отправлять жюри с помощью формы на личной странице участника. Если флаг правильный, за него будут начислены соответствующие баллы.
Задания разделены на категории «Веб», «Крипто», «Реверс» и «Социнженерия».
Конкурс № 2
Еще 10 приглашений будут разыграны в ходе конкурса под названием «Хакеры против форензики». Участники смогут попробовать себя в расследовании инцидентов и поиске вредоносного ПО («криминалисты») и в реализации изощренных хакерских атак («хакеры»). Кто окажется сильнее — покажут результаты состязания.
«Хакеры» внедряют троян в образ операционной системы. Задача трояна — скрываться, защищаться и любым способом предоставлять «хакеру» доступ к виртуальной машине через Интернет. Образы будут размещены на ресурсах организаторов.
Задача «криминалиста» — исследовать систему на наличие заложенного «хакером» бэкдора и обеспечить его нейтрализацию.
Конкурсы на площадке
Шанс неоднократно сразиться друг с другом будет и у всех, кто сможет 30 и 31 мая оказаться в техноцентре Digital October. Не забудьте захватить с собой ноутбук: он понадобится для участия в большинстве конкурсов!
Наливайка NG
Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности (Web Application Firewall, WAF). Веб-приложение, в свою очередь, содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, в числе прочего, осуществить выполнение команд ОС.
Общая продолжительность конкурса — 30 минут. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжить борьбу в конкурсе.
Победителем становится тот, кто сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. В прошлом году победителем в этом конкурсе стал Владимир Воронцов, эксперт по безопасности компании ONsec
Hack2own
В рамках конкурса участники проводят демонстрацию эксплойта (каждый получает три возможности для проведения атаки).
Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. К участию допускаются специалисты, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru до 28 мая 2012 года.
Если участник не может лично присутствовать на площадке в дни проведения PHDays 2012, организаторы форума по договоренности могут провести демонстрацию эксплойта от его имени.
В 2011 году призерами конкурса Hack2own стали: Никита Тараканов и Александр Бажанюк, представители компании CISSRT, которые продемонстрировали уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows и выиграли главный приз — ноутбук и 50 тыс. руб. Описание найденной уязвимости были отправлены компании Apple, и несколькими днями позже производитель подтвердил наличие проблемы.
Конкурс Lock Picking в этом году не состоится :(
Онлайн-конкурсы
В рамках форума, помимо конкурсов на площадке, пройдет большое количество онлайн-соревнований, принять участие в которых сможет любой пользователь Интернета. Если в дни проведения PHDays 2012 вы не сможете быть в Москве, это не помешает вам проверить свои силы в битве с хакерами со всего света.
Hash runner
Этот конкурс подвергнет проверке знания участников в области криптографических алгоритмов хэширования, а также их навыки взлома хэш-функций паролей. Участникам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, BlowFish, GOST3411 и др.). Очки за каждый дешифрованный пароль будут начисляться в зависимости от сложности алгоритма. Чтобы стать победителем, необходимо набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.
Важно! Обладатель I места получит специальный приз — видеокарту AMD Radeon HD 7970.
PHDays Online HackQuest 2012
Участники этого конкурса смогут попробовать свои силы в решении различных заданий по информационной безопасности. Во второй день форума участники Online HackQuest смогут повлиять на результаты очного соревнования PHDays CTF 2012.
Во время проведения соревнования участникам будет предоставлен доступ к VPN-шлюзу. После подключения к данному шлюзу им придется самостоятельно отыскать целевые системы и обнаружить в них уязвимости. В случае успешной эксплуатации уязвимости участник получает доступ к ключу (флагу), который необходимо отправить жюри с помощью формы на личной странице участника. Если флаг правильный — за него будут начислены соответствующие баллы.
Все флаги представлены в формате MD5. Победителем конкурса становится участник, который раньше остальных наберет 100 баллов (максимально возможное число). Участники, набравшие более 100 баллов, традиционно получают отдельный приз :)
Кроме того, Online HackQuest будет доступен для участия вне зачета в течение 14 дней после завершения форума PHDays 2012.
Все победители и призеры конкурсов получат памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и от спонсоров мероприятия.
P.S. Полный список конкурсов представлен на официальном сайте форума Positive Hack Days 2012.
