PHDays IVフォーラムの開始前には、ほとんど残っていません。 CTF大会のファイナリストはすでに特定されており、プログラムの形成(パート1および2 )と、PHDの「どこでも」イニシアチブの枠組み内での準備作業が本格化しています。 もちろん、これはこれに限定されるものではなく、最も興味深いレポートとマスタークラスに加えて、フォーラムのゲストは刺激的な競争プログラムを見つけるでしょう。
ちょっとした歴史
伝統的に、PHDaysの間に開催される競技の中で、主な場所は応用テストに与えられ、その間に参加者はハッキングと保護の実践的なスキルを実証することができます。
過去数年間、Positive Hack Daysでは、 ミニチュア鉄道制御システムを防御し、 ロックを破り、 インターネットバンクの保護に抜け穴を探し、ATMから直接お金を盗み、レーザーとモーションセンサーを詰め込んだ複雑なハッカー迷路を通過しました。 PHDaysでのみ、このようなエキサイティングなアドベンチャーに参加できます! ネットワークインフラストラクチャのセキュリティ分析やリバースエンジニアリングなど、従来のテストについても説明していません。
そして、ここに主催者が今回準備した世界中の「白い帽子」のテストがあります。
サイトでの競争
注意! ほとんどの競技会に参加するには、ラップトップを持参する必要があります。
クリティカルインフラストラクチャ攻撃(CIA)
鉄道モデルの運用に基づいて実際のICSシステムのセキュリティを分析する競争( Choo Choo Pwn )は、PHDays IIIによって絶対的なヒットとなり、主催者は情報セキュリティ会議の世界ツアーを開催することで本物のロックスターのように感じることができました(レポートを参照) ソウルとハンブルクについて)。
今年、競技中、競技者はACS TPネットワークにアクセスでき、指定された期間内に、おもちゃの世界の特定の部分のパフォーマンスを混乱させるか、ターゲットシステムへのアクセスを制御する必要があります。
これが昨年の様子のビデオです 。
受賞者には、フォーラムの主催者から記念すべき贈り物が贈られます。
ビッグクー$ h
PHDaysでの「Big Ku $ h」コンテストのおかげで、誰もが銀行口座からお金を盗む攻撃者になりすますことができます-法的問題に遭遇するリスクはありません。
このコンテストは、リモートバンキングシステム(RBS)のWebサービスにおける典型的な脆弱性の悪用の分野における知識とスキルをテストするように設計されています。 競争力のある割り当ては、インターネットバンキングアプリケーションの実際の脆弱性によって表されます。この脆弱性は、かかるシステムのセキュリティの分析において、ポジティブテクノロジーズの専門家によって特定されました。
コンテストは2段階で開催されます。 まず、参加者にはRBSの脆弱なWebサービス(典型的な脆弱性を含む実際のインターネットバンキングシステムの類似物)を含む仮想マシンのコピーが提供されます。 一定の時間内に、競合他社はシステムの脆弱性を検出する必要があります。 それから、彼らは資金の不正な引き出しのために発見された脆弱性を利用しなければなりません。
勝者は、システムから「引き出した」すべてのお金を自分自身に取ります!
ハッキングを生き残る
ハリウッドの超大作との連想を呼び起こすもう1つの競争は、レーザーフィールド、モーションセンサー、パズルを解く、人工知能との戦い、爆弾処理など、さまざまな障害で構成される本物のバイオハザードです。 PHDays IIIの障害物コースを通過し、他の人よりも速く走るには、本当に試さなければなりませんでした!
今年、このコンテストは、エキサイティングなものになることを約束します。バグとレーザーに新しいハイテクテストが追加されます。 受賞者と受賞者には、主催者から素晴らしい贈り物が贈られます。
WAFバイパス
参加者には、多くのさまざまな脆弱性を含むWebアプリケーションのソースコードと、 アプリケーションインスペクターを使用した脆弱性のスキャンに関するレポートを含むアーカイブが提供されます。 課題は、新しいセキュリティシステム( アプリケーションを保護するPositive Technologies Application Firewall )を回避することです。 ソースコードがあれば、参加者は検出された脆弱性の存在を確認し、他の脆弱性を見つけようとします。
受賞者には、フォーラムの主催者から記念すべき贈り物が贈られます。
ATMをそのままにする
昨年、ATMがPHDaysで物理的にハッキングされた場合、反対側からアクセスすることになりました。 「ATMをそのままにする」を選択すると、参加者はATMの脆弱性を悪用するスキルをテストできます。
一部のATMモジュールの物理制御層へのアクセスが提供されます。 タスクはそれらを調査し、デバイスを完全に制御することです。 受賞者にはギフトが贈られます。
2600
タスクは、公衆電話から事前に定義された番号に電話をかけることです。 トークンは主催者に返却する必要があります。 結果はフォーラムの2日目に発表されます。 勝者を選ぶとき、審査員は参加者がタスクを完了することを許可した方法の独創性を考慮します。 昨年、このコンテストは非常に人気がありました 。
コンテストの主催者からの贈り物に加えて、勝者は公衆電話の通常のトークンを置き換えるユニークなPHDaysコインを受け取ることができます。
注ぐ
クラシックポジティブハックデイズ。 フォーラムの2日目の終わりに向けて、すべての戦闘が既に終了し、CTFの勝者が決まっており、誰もが非公式の環境でコミュニケーションを取り続けたいと願っています。 参加者は、セキュリティフィルターで保護されたWebアプリケーションに対して攻撃を成功させる必要があります。 このアプリケーションには、有限数の脆弱性が含まれており、これらの脆弱性を連続的に悪用することで、特にOSコマンドを実行できます。
コンテストの合計時間は30分に制限されています。 5分ごとに、攻撃者が保護具によって最も頻繁に識別される参加者は、50 mlの強い強い飲み物を飲むように誘われ、戦いを続けます。 勝者は、サーバーでコマンドを実行する段階で最初にメインゲームフラグを取得できる人です。
注ぐことはとても楽しいので、昨年、PPPチームの一員としてCTFで戦ったジオホット自身も抵抗できませんでした。 ちなみに、彼は初めて「ナリバイカ」の勝者になりました。
ジオホットが一括で勝つ
フォーラム主催者からのお土産は、コンテストの勝者の賞品を待っています。
オンラインコンテスト
なんらかの理由で5月21日と22日にモスクワに行けない人は、オンラインコンテストに参加できます。
ハッシュランナー
この競争の枠組みの中で、フィールドの参加者の知識がテストされます
暗号化ハッシュアルゴリズム、およびパスワードハッシュ関数を破るスキル。 競合他社には、さまざまなアルゴリズム(MD5、SHA-1、Blowfish、GOST3411など)によって生成されたハッシュ関数のリストが提供されます。 勝つためには、限られた時間内にできるだけ多くのポイントを獲得し、すべての競合他社に先んじる必要があります。
インターネットユーザーは誰でも競争に参加できます。 参加登録は5月8日にphdays.ruで開かれ、フォーラムの開始まで続きます。
コンテストの勝者は、PHDaysの主催者から素晴らしい賞品を受け取ります。
PHDays Online HackQuest
主催者-PentestIT Laboratory。 PentestITチームに加えて、Ares(Intercepter-NGの開発者)、Yuri Khvyl(ウイルスアナリストCSIS-www.csis.dk )およびIvan Novikov(d0znpp、OnSec-onsec.ru)がタスクの開発に参加します。
PHDays Everywhereサイトへの訪問者は、別のチームの順位がありますが、PHDays IVフォーラムの期間中に開催されるコンテストに参加することができます。 ゲームインフラストラクチャは、できるだけ実際の状況に近く、攻撃を受けた会社の複数のブランチを含む分散ネットワークになります。 正しく解決されたタスクごとに、参加者はポイント(フラグ)を受け取ります。 勝者は、最も多くのポイントを獲得した人になります。
コンテストの勝者は、PHDaysとPentestITラボの主催者からの素晴らしい贈り物を待っています。
競争力のあるインテリジェンス
この競争により、フォーラムの参加者は、インターネット上の情報を検索および分析し、競争力のあるインテリジェンスのツールとテクニックを使用して、どれだけ迅速かつ効率的にできるかを知ることができます。
フォーラムの少し前に、特定の組織に関連する問題についての情報が公開されます。 コンテスト参加者のタスクは、最小限の時間で出された質問に対する可能な限り多くの正解を見つけることです。
インターネットユーザーは誰でも参加できます。 5月8日からphdays.ruのWebサイトで登録できるようになります。 ( 昨年の競争の様子に関するレポートを読んでください。)
すべてのコンテスト受賞者にはPHDays IVへの招待チケットが贈られ、受賞者には主催者から記念品が贈られます。
Twitterレポーターおよびブロガー向けのコンテスト
PHDaysでは、ハッキングスキルを示すだけでなく、文学やレポーターの才能を発揮することで最高の人材になることができます。
まず、アクティブなTwitterユーザーは、2015年のポジティブハックデイへの大賞と招待状を獲得することができます。 昨年、勝者はArtem Ageevで 、彼はPHDays IVへの招待を受ける資格があります。
コンテストに参加するには、フォーラムの2日間に@phdays twitterアカウントに登録し、#PHDaysハッシュタグでツイートを書く必要があります。 n。フォーラムの最後に、主催者はブロードキャストの全体的な品質を評価し、当然のリツイートの数を計算し、勝者の名前を伝えます。
小さなフォームの達人ではなく、従来のキャラクターよりも140のブログ投稿を好む人に絶望しないでください。 PHDaysを訪れ、コンテストやマスタークラスに参加した感想を書いて魅力的な記事を書き、Twitter( 英語またはロシア語 )、 FacebookまたはVKontakteでリンクを送信してください。 受賞者は2015年に賞とPHDaysへの招待状を受け取ります。
昨年の受賞者の投稿に注目してください( 1位 、 2位 、 3位 )。 それらすべてにPHDays IVチケットの資格があります。もしあなたのメモが最高のものの1つであるが、まだ私たちに連絡していないなら、それをする時です-phd@ptsecurity.comに書いてください 。
PHDays Everywhereハックスペースへの訪問者のために、今年は追加の排他的コンテストが提供されることを思い出させてください。
Positive Hack Daysの一環として、世界中の情報セキュリティの専門家の戦いに参加しましょう!