Конкурсы на площадке форума — не забудьте ноутбук!
15.05.2012
30—31 мая в Москве, на форуме Positive Hack Days, можно будет послушать доклады знаменитых экспертов в области ИБ и молодых ученых, поучаствовать в семинарах и мастер-классах, понаблюдать запротивостоянием хакеров в CTF. У вас будет также возможность самим поучаствовать в хакерских баталиях. Представляем список конкурсов, которые пройдут на площадке Digital October во время форума Positive Hack Days 2012.
Внимание! Для участия в следующих конкурсах необходимо принести с собой ноутбук.
Hack2own
Участники конкурса проведут демонстрацию эксплойтов (каждый получит три возможности для проведения атаки). Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра.
К соревнованию допускаются специалисты, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru до 28 мая 2012 года.
Если участник не может лично присутствовать на площадке в дни проведения PHDays 2012, организаторы форума по договоренности могут провести демонстрацию эксплойта от имени автора.
В 2011 году призерами конкурса hack2own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые продемонстрировали уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows и выиграли главный приз — ноутбук и 50 тыс. руб. Описание найденной уязвимости было отправлено в компанию Apple, и несколькими днями позже производитель подтвердил наличие проблемы.
Авторские права на используемые в ходе конкурса программы и методики являются собственностью участника и организатору не передаются.
Наливайка NG
Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности (Web Application Firewall, WAF). Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы.
Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере.
В прошлом году в этом конкурсе победил Владимир Воронцов, эксперт по безопасности onsec.ru (после шести ошибок он сумел найти все нужные уязвимости).
Охота на лис NG
В рамках конкурса предлагается обнаружить точку беспроводного доступа стандарта 802.11 a/b/g/n с заранее известным ESSID — либо взломать пароль для подключения к беспроводной сети, зашифрованный методом WPA-PSK. Расположение точки доступа будет периодически изменяться.
Чтобы стать победителем, участнику достаточно выполнить одно из двух условий:
-
первым определить точные координаты текущего расположения беспроводной точки доступа и сообщить об этом организаторам;
-
первым взломать пароль точки доступа и сообщить об этом организаторам.
Для участия следующих конкурсах в дополнение к ноутбукам (или вместо них) понадобятся креатив и воля к победе :).
Don’t copy that floppy
Участникам предстоит найти спрятанные организаторами информационные носители (дискеты различных форматов) и суметь прочесть хранящуюся на них информацию. Дискеты могут оказаться где угодно — на стене или за колонной, под столом или на спинке стула, а возможно, будут просто лежать на полу, в уголке.
Обнаруженные носители и прочитанная с них информация (в любом виде, позволяющем идентифицировать записанные данные) должны быть представлены организаторам в зону конкурсов. Победители определятся в конце второго дня форума: ими станут участники, которым за время проведения конкурса удастся найти и верно считать данные с наибольшего числа носителей.
2600
По условиям конкурса необходимо осуществить звонок с таксофона на заранее определенный номер — и при этом возвратить жетон организаторам. Итоги будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание.
Участникам запрещается осуществлять любые действия, которые могут причинить ущерб конкурсному таксофону!
Большой ку$h
Конкурс позволит участникам проверить свои знания и навыки в области эксплуатации типовых уязвимостей в веб-службах системы дистанционного банковского обслуживания (ДБО). В конкурсных заданиях будут фигурировать реальные уязвимости приложений интернет-банкинга, выявленные специалистами компании Positive Technologies при анализе защищенности соответствующих систем.
Конкурс проходит в два этапа. Сначала участникам будут предоставлены копии виртуальных машин, содержащие уязвимые веб-службы ДБО (аналог реальной системы интернет-банка). В течение заданного времени участникам нужно будет обнаружить уязвимости в системе. На втором этапе участникам предстоит, также за ограниченное время, воспользоваться выявленными уязвимостями для несанкционированного вывода денежных средств.
По итогам соревнования каждый участник получит денежное вознаграждение, равное сумме денежных средств, похищенных им из игрового сервиса интернет-банка. Social Engineering in Russian Style
Каждому участнику будет предложена фотография человека, по которой невозможно однозначно его распознать, и набор тезисов, характеризующих этого человека. (Изображенная на снимке персона будет присутствовать на форуме.) Конкурсант должен будет определить личность этого человека и совершить ряд заданных действий (например, получить его визитку или сфотографироваться с ним в определенном ракурсе). Победителем будет считаться участник, выполнивший наибольшее количество заданий за наименьшее время. Подведение итогов конкурса состоится во второй день форума.
Для участия в конкурсе потребуются решительность, коммуникабельность и харизма. Владение НЛП на 137 уровне является преимуществом :)
Игра в ящик
Участникам конкурса будут предоставлены два неперемещаемых контейнера, закрытых замками, которые управляются RFID-считывателями. Соответствующие RFID-метки будут закреплены в отдалении от считывателей таким образом, чтобы открыть замки непосредственно с их помощью было невозможно.
Задача — открыть один или оба контейнера, чтобы завладеть спрятанными внутри призами и подарками.
Лучшая хакерская футболка
У каждого из участников форума есть возможность выделиться среди конкурентов и коллег, надев свою хакерскую футболку, которую он считает самой интересной или смешной, самой модной или забавной. Специальные агенты организаторов PHDays сфотографируют всех желающих принять участие в этом конкурсе. Победитель будет объявлен во второй день форума. Все победители конкурсов получат памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и спонсоров мероприятия. Полный список конкурсов представлен на официальном сайте Positive Hack Days 2012.
Как видите, у каждого будет шанс проявить себя. До встречи на Positive Hack Days 2012!