Если ты смелый, ловкий, умелый

^[1]Сколько задач нужно решить, чтобы получить приглашение на форум, где со всего мира соберется элита информационной безопасности? Равняется ли число успешных атак на веб-приложения — количеству выпитых рюмок текилы? Как сразиться с хакерами по всей планете, не вставая с дивана?

Под катом рассказ о конкурсной программе форума по информационной безопасности Positive Hack Days 2012.

Битва за инвайты

Регистрация участников форума начнется в полдень 14 мая. Мы предполагаем, что она будет закрыта по достижении максимального числа желающих — уже через пару минут после старта, и попасть на мероприятие смогут не все. Поэтому мы решили провести два конкурса, в которых разыграем 20 пригласительных на PHDays 2012.

Конкурс № 1

10 приглашений будут разыграны в ходе конкурса под названием «Взорвем городишко», который пройдет с 7 по 25 мая. Мы предложим участникам решать разнообразные задачи и получать специальные ключи (флаги); их необходимо отправлять жюри с помощью формы на личной странице участника. Если флаг правильный, за него будут начислены соответствующие баллы.

Задания разделены на категории «Веб», «Крипто», «Реверс» и «Социнженерия».

Конкурс № 2

Еще 10 приглашений будут разыграны в ходе конкурса под названием «Хакеры против форензики». Участники смогут попробовать себя в расследовании инцидентов и поиске вредоносного ПО («криминалисты») и в реализации изощренных хакерских атак («хакеры»). Кто окажется сильнее — покажут результаты состязания.

«Хакеры» внедряют троян в образ операционной системы. Задача трояна — скрываться, защищаться и любым способом предоставлять «хакеру» доступ к виртуальной машине через Интернет. Образы будут размещены на ресурсах организаторов.

Задача «криминалиста» — исследовать систему на наличие заложенного «хакером» бэкдора и обеспечить его нейтрализацию.

Конкурсы на площадке

Шанс неоднократно сразиться друг с другом будет и всех, кто сможет 30 и 31 мая оказаться в техноцентре Digital October. Не забудьте захватить с собой ноутбук: он понадобится для участия в большинстве конкурсов!

Наливайка NG

Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности (Web Application Firewall, WAF). Веб-приложение, в свою очередь, содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, в числе прочего, осуществить выполнение команд ОС.

Общая продолжительность конкурса — 30 минут. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжить борьбу в конкурсе.

Победителем становится тот, кто сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. В прошлом году победителем в этом конкурсе стал Владимир Воронцов ^[2], эксперт по безопасности компании ONsec

Hack2own

В рамках конкурса участники проводят демонстрацию эксплойта (каждый получает три возможности для проведения атаки).

Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. К участию допускаются специалисты, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru до 28 мая 2012 года.

Если участник не может лично присутствовать на площадке в дни проведения PHDays 2012, организаторы форума по договоренности могут провести демонстрацию эксплойта от его имени.

В 2011 году призерами конкурса Hack2own стали: Никита Тараканов и Александр Бажанюк, представители компании CISSRT, которые продемонстрировали уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows и выиграли главный приз — ноутбук и 50 тыс. руб. Описание найденной уязвимости были отправлены компании Apple, и несколькими днями позже производитель подтвердил наличие проблемы.

Конкурс Lock Picking в этом году не состоится ^[3] :(

Онлайн-конкурсы

В рамках форума, помимо конкурсов на площадке, пройдет большое количество онлайн-соревнований, принять участие в которых сможет любой пользователь Интернета. Если в дни проведения PHDays 2012 вы не сможете быть в Москве, это не помешает вам проверить свои силы в битве с хакерами со всего света.

Hash runner

Этот конкурс подвергнет проверке знания участников в области криптографических алгоритмов хэширования, а также их навыки взлома хэш-функций паролей. Участникам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, BlowFish, GOST3411 и др.). Очки за каждый дешифрованный пароль будут начисляться в зависимости от сложности алгоритма. Чтобы стать победителем, необходимо набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.

Важно! Обладатель I места получит специальный приз — видеокарту AMD Radeon HD 7970.

PHDays Online HackQuest 2012

Участники этого конкурса смогут попробовать свои силы в решении различных заданий по информационной безопасности. Во второй день форума участники Online HackQuest смогут повлиять на результаты очного соревнования PHDays CTF 2012.

Во время проведения соревнования участникам будет предоставлен доступ к VPN-шлюзу. После подключения к данному шлюзу им придется самостоятельно отыскать целевые системы и обнаружить в них уязвимости. В случае успешной эксплуатации уязвимости участник получает доступ к ключу (флагу), который необходимо отправить жюри с помощью формы на личной странице участника. Если флаг правильный — за него будут начислены соответствующие баллы.

Все флаги представлены в формате MD5. Победителем конкурса становится участник, который раньше остальных наберет 100 баллов (максимально возможное число). Участники, набравшие более 100 баллов, традиционно получают отдельный приз :)
Кроме того, Online HackQuest будет доступен для участия вне зачета в течение 14 дней после завершения форума PHDays 2012.

Все победители и призеры конкурсов получат памятные призы и подарки от организаторов форума PHDays, компании Positive Technologies, и от спонсоров мероприятия.

P.S. Полный список конкурсов будет представлен на официальном сайте ^[4] Positive Hack Days 2012. Следите за новостями!

Автор: ptsecurity