情報セキュリティエリートが世界中から集まるフォーラムへの招待状を得るために、いくつのタスクを解決する必要がありますか? Webアプリケーションに対する成功した攻撃の数は、テキーラの飲酒グラスの数と同じですか? ソファから立ち上がらずに世界中のハッカーと戦う方法は?
カットの下には、情報セキュリティフォーラムPositive Hack Days 2012の競争プログラムに関するストーリーがあります。
戦いを誘う
フォーラム参加者の登録は、5月14日の正午に開始されます。 申込者の最大数に達した時点で締め切ります-開始からわずか数分で、全員がイベントに参加できるわけではありません。 そのため、PHDays 2012への招待を20回行う2つのコンペを開催することにしました。
コンペ1
5月7日から25日に開催される「Explode the Town」と呼ばれるコンテストで、10の招待状が集められます。 参加者にさまざまな問題を解決し、特別なキー(フラグ)を提供します。 参加者の個人ページのフォームを使用して審査員に送付する必要があります。 フラグが正しければ、対応するポイントが付与されます。
タスクは「Web」、「暗号」、「リバース」、「ソーシャルエンジニアリング」のカテゴリに分類されます。
コンペ2
Hackers Against Forensicsと呼ばれるコンテストで、さらに10件の招待状が集められます。 参加者は、インシデントの調査とマルウェアの検索(「法医学の専門家」)および高度なハッカー攻撃(「ハッカー」)の実装に挑戦することができます。 誰が強くなるかは、競争の結果を示します。
ハッカーは、オペレーティングシステムのイメージにトロイの木馬を導入します。 このトロイの木馬の仕事は、それ自体を隠し、防御し、「ハッカー」がインターネット経由で仮想マシンにアクセスできるようにすることです。 画像は主催者のリソースに掲載されます。
「法医学者」の仕事は、「ハッカー」によって置かれたバックドアの存在についてシステムを調査し、その中和を確実にすることです。
サイトでの競争
5月30日と31日にDigital Octoberテクノロジーセンターに参加できる人は誰でも、お互いに繰り返し戦うチャンスがあります。 ラップトップを持参することを忘れないでください。ほとんどのコンテストに参加するにはノートパソコンが必要です。
バルクNG
参加者は、セキュリティフィルター(Web Application Firewall、WAF)で保護されたWebアプリケーションに対して攻撃を成功させる必要があります。 Webアプリケーションには、有限数の脆弱性が含まれており、これらの脆弱性を連続的に悪用することで、とりわけOSコマンドの実行が可能になります。
コンテストの合計所要時間は30分です。 5分ごとに、WAFのアクションが最も頻繁に反応した参加者は、強いストロングドリンク50 mlを飲むように招待され、競技会での戦いを続けます。
勝者は、サーバーでコマンドを実行する段階で最初にメインゲームフラグを取得できる人です。 昨年、ONsecのセキュリティ専門家であるウラジミールヴォロンツォフが勝者になりました。
Hack2own
競争の一環として、参加者はエクスプロイトデモンストレーションを行います(それぞれに攻撃の機会が3回与えられます)。
競争は、ブラウザの脆弱性の悪用、モバイルデバイスの脆弱性の悪用、カーネルレベルの脆弱性の悪用の3つのカテゴリに分けられます。 事前登録された専門家の参加が許可されています。 2012年5月28日まで、phdcontests @ ptsecurity.ruで申し込みを受け付けています。
PHDays 2012の期間中に参加者が個人的にサイトに参加できない場合、フォーラムの主催者は同意により、彼に代わって悪用のデモンストレーションを実施できます。
2011年、Hack2ownコンテストの勝者は、Nikita TarakanovとAlexander Bazhanuk、当時のWindows用Safariインターネットブラウザーの最新バージョンでゼロデイ脆弱性(CVE-2011-0222)を実証し、メイン賞(ラップトップと50千ルーブル 脆弱性の説明がAppleに送信され、数日後、メーカーは問題の存在を確認しました。
今年のロックピッキングコンテストは開催されません :(
オンラインコンテスト
フォーラムの枠組み内で、サイトでの競争に加えて、インターネットユーザーが参加できる多数のオンライン競争が開催されます。 PHDays 2012の期間中にモスクワにいられない場合でも、世界中のハッカーとの戦いで自分の強さを試すことはできません。
ハッシュランナー
このコンテストでは、暗号化ハッシュアルゴリズムの分野の参加者の知識と、パスワードハッシュ関数を破るスキルをテストします。 参加者には、さまざまなアルゴリズム(MD5、SHA-1、BlowFish、GOST3411など)によって生成されたハッシュ関数のリストが提供されます。 暗号化解除された各パスワードのポイントは、アルゴリズムの複雑さに応じて付与されます。 勝者になるには、限られた時間内にできるだけ多くのポイントを獲得し、すべての競合他社に先んじる必要があります。
重要! 1位の受賞者には、特別賞-AMD Radeon HD 7970グラフィックスカードが贈られます。
PHDays Online HackQuest 2012
このコンペティションの参加者は、情報セキュリティに関するさまざまなタスクを解決するために手を試すことができます。 フォーラムの2日目に、オンラインHackQuest参加者は、対面競技PHDays CTF 2012の結果に影響を与えることができます。
競技中、参加者にはVPNゲートウェイへのアクセスが許可されます。 このゲートウェイに接続した後、ターゲットシステムを個別に見つけて、それらの脆弱性を見つける必要があります。 脆弱性が悪用されると、参加者はキー(フラグ)にアクセスできます。キー(フラグ)は、参加者の個人ページのフォームを使用して審査員に送信する必要があります。 フラグが正しければ、対応するポイントが付与されます。
すべてのフラグはMD5形式で表示されます。 コンテストの勝者は、残りの前に100ポイントを獲得する参加者です(最大数)。 100ポイントを超える参加者は、従来、個別の賞品を受け取ります。
さらに、PHDays 2012フォーラムの完了後14日以内に、オンラインHackQuestの非クレジット参加が可能になります。
コンテストのすべての受賞者と受賞者は、PHDaysフォーラムの主催者であるPositive Technologies、およびイベントのスポンサーから記念すべき賞品とギフトを受け取ります。
PSコンテストの完全なリストは、 Positive Hack Days 2012フォーラムの公式ウェブサイトに掲載されています。