2011年、当時のWindows用Safariインターネットブラウザーの最新バージョンでゼロデイ脆弱性 (CVE-2011-0222)を実証した後、主賞を受賞したCISSRT代表のNikita TarakanovとAlexander Bazhanyukが、 5万ルーブル 今年、コンテストの予算は大幅に引き上げられ、20,000ドル以上になります。 勝者には新しいケースを記入するものがあります:)
競争は、ブラウザの脆弱性の悪用、モバイルデバイスの脆弱性の悪用、カーネルレベルの脆弱性の悪用の3つのカテゴリに分けられます。 カットの下で、競争への参加のための詳細なルール。
注意! 競争に参加するには、ラップトップが必要です。
なぜこれが必要なのですか?
世界をより安全な場所にしたいだけです。 発見された脆弱性に関する情報を開示する責任あるアプローチを維持するよう努めています。 したがって、競争には重要な条件が含まれています。参加者は、脆弱性の検出の瞬間から6か月以内にソフトウェアメーカーに通知する必要があります。
Webブラウザのハッキング:競争ルール
各ラウンドでは、これらのブラウザーのいずれかで攻撃が行われます。 コンテスト主催者は、参加者が提供するリンクをたどります。 ラウンドごとに1つの攻撃ベクトルが許可されます。 第1ラウンドで成功を収めた後、参加者は第2ラウンドまたは第3ラウンドでそれぞれ第2位と第3位になります。 成功基準は、リモートクライアント攻撃による、オペレーティングシステムでの参加者による制御されたアプリケーションの起動です。
主催者は、使用される脆弱性の種類とその悪用の条件(ユーザー介入の必要性、CVSS方法論に従ってリスクの程度に影響を与える攻撃やその他の条件の制限)に応じて参加者の評価を下げる権利を留保します。
操作用に提供されるソフトウェア
ラウンド1:Microsoft Internet Explorer 9、Google Chrome 19.0.1084、Mozilla Firefox 12。
ラウンド2:Microsoft Internet Explorer 8/9、Mozilla Firefox 10/11/12、Google Chrome 16/17/18/19、Opera 11/12、Apple Safari 5.0 / 5.1.1 / 5.1.2。
第3ラウンドでは、ブラウザ用の一般的なサードパーティコンポーネントの最新バージョン(Adobe Flash Player(11.2.202.235)、Adobe Reader(10.1.3)、Java(7 update 4))の動作が許可されます。 ブラウザのリストは、第2ラウンドのリストと同じです。
中古プラットフォーム
最初のラウンドはWindows 7 Service Pack 1(x64)です。 ラウンド2および3:Windows 7 Service Pack 1(x64 / x86)およびWindows XP SP3(x86)。
参加条件
このコンペティションは、事前登録したスペシャリストに公開されています。 申請はphdcontests@ptsecurity.ruで受け付けています 。 登録終了日は2012年5月28日です。 アプリケーションは、参加者の名前、攻撃のターゲットとして選択されたブラウザの名前、使用された攻撃ベクトルを示す必要があります。 コンテストの主催者は、参加者がコンテストの対象となる事項について能力を確認しない場合、申請を拒否する権利を留保します。
賞品
私は配置-137,000ルーブル。
II位-75 137ルーブル。
III位-50 137ルーブル。
複数の競合他社が特定の場所を主張している場合、勝者はエクスプロイトの技術的特性(開発の複雑さ、安定性など)の専門家の評価を通じて特定されます。
Positive Hack Daysフォーラムのすべてのイベントへの参加は、コンテスト参加者には無料です。
技術的な詳細
コンテストに使用されるソフトウェアバージョンの最終決定は、イベントの2週間前までに行われます。 関連情報は、PHDフォーラムWebサイト( www.phdays.ru )で公開されています。 脆弱性を悪用しようとするたびに、オペレーティングシステムは元の状態に復元されます。 攻撃を実行するために必要なすべてのソフトウェアは、参加者が独自に選択して使用します。 各参加者には、有線または無線ネットワークへの接続が提供されます。
モバイルデバイスのハッキング:ルール
1つのデバイスに対する攻撃は、1つの攻撃ベクトルを使用して1ラウンドで実行されます。 コンテスト主催者は、参加者が提供するリンクをたどります。 第1ラウンドで成功を収めた後、参加者は第2ラウンドまたは第3ラウンドでそれぞれ第2位と第3位になります。 脆弱性を悪用しようとするたびに、オペレーティングシステムは元の状態に復元されます。 成功基準は、リモートネットワーク攻撃を行うことにより、参加者が制御するデバイス上のアプリケーションの起動です。
主催者は、使用される脆弱性の種類とその悪用の条件(ユーザー介入の必要性、CVSS方法論に従ってリスクの程度に影響を与える攻撃やその他の条件の制限)に応じて参加者の評価を下げる権利を留保します。
参加条件
事前登録された参加者は、コンテストに参加することができます。 申請はphdcontests@ptsecurity.ruで受け付けています 。 登録終了日は2012年5月28日です。 アプリケーションは、参加者の名前、攻撃のターゲットとして選択されたオペレーティングシステム、デバイスの種類(タブレットまたはスマートフォン)、および計画された攻撃ベクトルを示す必要があります。 コンテストの主催者は、参加者がコンテストの対象となる事項について能力を確認しない場合、申請を拒否する権利を留保します。
賞品
私は配置-137,000ルーブル。
II位-75 137ルーブル。 + iPhone 4S
III位-50 137ルーブル。
複数の競合他社が特定の場所を主張している場合、勝者はエクスプロイトの技術的特性(開発の複雑さ、安定性など)の専門家の評価を通じて特定されます。
Positive Hack Daysフォーラムのすべてのイベントへの参加は、コンテスト参加者には無料です。 さらに、すべての参加者は、フォーラムの主催者、Positive Technologies、およびイベントのスポンサーから貴重な賞品とギフトを受け取ります。
中古プラットフォーム
ラウンド1:iOS 5.1.1またはAndroid 4.0.4を搭載したタブレットまたはスマートフォン。
ラウンド2:iOS 5.1.1またはAndroid 4.0.4を搭載したタブレットまたはスマートフォン+人気のあるサードパーティソフトウェア(コンテストへの登録時に主催者と話し合いました)。
ラウンド3:iOS 5.0を搭載したタブレットまたはスマートフォン、Android 3.0を搭載したタブレット、Android 2.3を搭載したスマートフォン。
技術的な詳細
コンテストに使用されるソフトウェアバージョンの最終決定は、イベントの2週間前までに行われます(これに関する情報は、フォーラムのウェブサイトPHDaysで公開されています )。 競争に参加するために、ネットワーク接続を整理するために必要な設定を除き、デバイスは「すぐに使える」標準構成で使用されます。 脆弱性を悪用しようとするたびに、デバイスは再起動し、初期状態に戻ります。
一般的な攻撃ベクトルは、デバイスの標準ブラウザを介して特別に形成されたサイトにアクセスすることです。 他の攻撃ベクトル(SMSまたはMMSの受信、電子メールの表示など)を使用する場合、参加者は登録時にアプリケーションでこれを示します。
参加者は、攻撃を個別に実行するために必要なすべてのソフトウェアとハードウェアを選択して使用します。 各参加者には、有線または無線ネットワークへの接続が提供されます。
カーネルレベルの脆弱性の悪用:競合ルール
各参加者は、オペレーティングシステムのカーネルレベルの脆弱性の悪用を示す機会を得ます。 申請者によって提案されたエクスプロイトは、特権を持たないユーザーに、システム内の特権をスーパーユーザーのレベルまで高める機会を与えるべきです。
各ラウンドでは、これらのプラットフォームのいずれかで攻撃が行われます。 コンテスト主催者は、コンテスト参加者が提供する実行可能ファイルを起動します。 ラウンドごとに1つの攻撃ベクトルが許可されます。 第1ラウンドで成功を収めた後、参加者は第2ラウンドまたは第3ラウンドでそれぞれ第2位と第3位になります。 成功基準は、参加者の特権レベルを非特権ユーザーからシステムで可能な最大レベルに変更することです。 主催者は、使用される脆弱性のタイプとその悪用の条件(ユーザーの介入の必要性、攻撃の開発の制限、およびCVSS方式によるリスクの程度に影響するその他の条件)に応じて、参加者の評価を下げる権利を留保します。
中古プラットフォーム
ラウンド1:
- Windows 7 Service Pack 1(x64);
- Windows Server 2008 SP2(x64);
- Debian Linux 3.3.5;
- FreeBSD 9.0;
- OpenBSD 5.1;
- OS X 10.7.4。
第2ラウンド:
- Windows 7 Service Pack 1(x86);
- Windows Server 2003 SP2;
- Windows XP SP3(x86);
- Debian Linux 2.6.32-45;
- FreeBSD 8.0;
- OpenBSD 5.0;
- OS X 10.7.1。
第3ラウンド:プラットフォームのセットは、第1ラウンドのものと同じです。 一般的なサードパーティのセキュリティソフトウェア(ウイルス対策、HIPSなど)を使用することができます(コンテストへの登録時に主催者と話し合います)。
参加条件
このコンペティションは、事前登録したスペシャリストに公開されています。 申請はphdcontests@ptsecurity.ruで受け付けています 。 登録終了日は2012年5月28日です。 アプリケーションは、参加者の名前と攻撃のターゲットとして選択されたプラットフォームを示す必要があります。 コンテスト主催者は、参加者が自分の能力を確認しない場合、申請を拒否する権利を留保します。
賞品
私は75,000ルーブルを置きます。
II位-50 000ルーブル。
III位-30000ルーブル。
複数の競合他社が特定の場所を主張している場合、勝者はエクスプロイトの技術的特性(開発の複雑さ、安定性など)の専門家の評価を通じて特定されます。
Positive Hack Daysフォーラムのすべてのイベントへの参加は、コンテスト参加者には無料です。
技術的な詳細
コンテストに使用されるソフトウェアバージョンの最終決定は、イベントの2週間前までに行われます(情報はPHDaysフォーラムのWebサイトで公開されています )。 脆弱性を悪用しようとするたびに、オペレーティングシステムは元の状態に復元されます。 攻撃を行うために必要なすべてのソフトウェアは、参加者が独自に選択して使用します。
情報の開示に責任を持ってアプローチするために、次のことができます。
- ソフトウェア開発者に連絡し、見つかった脆弱性の詳細な説明を直接提供する。
- 脆弱性情報をCERTに渡します。
- UpSploitを通じて脆弱性情報を送信します。
- たとえばZero Day Initiativeで見つかった脆弱性に対する公式の報酬プログラムの1つに参加して、脆弱性の説明を伝えます。