Подробные правила конкурса Hack2Own на PHDays 2012

в 8:32, , рубрики: hack2own, PHDays, Pwn2Own, Блог компании Positive Technologies, метки: , ,

Все меньше времени остается до Positive Hack Days 2012, в разгаре онлайн-конкурсы, в которых разыгрываются инвайты. Однако на самой площадке форума в техноцентре Digital October тоже будет происходить много всего интересного. Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.

В 2011 году, продемонстрировав уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows, призерами соревнования Hack2Own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые и получили главный приз — ноутбук и 50 тыс. руб. В этом году бюджет конкурса значительно увеличен и составит более 20 000 $. Победителям будет чем заполнить новенькие кейсы :)
image

Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. Под катом подробные правила участия в соревновании.

Внимание! Для участия в конкурсе необходим ноутбук.

Зачем нам это?

Мы просто хотим сделать мир безопасней. Мы стремимся поддерживать ответственный подход к разглашению информации о найденных уязвимостях. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя программного обеспечения.

Взлом веб-браузеров: правила проведения конкурса

Подробные правила конкурса Hack2Own на PHDays 2012В каждом раунде атака осуществляется на один из указанных браузеров; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является контролируемый участником запуск приложения в операционной системе путем проведения удаленной атаки клиента.

Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Программное обеспечение, предлагаемое для эксплуатации

Первый раунд: Microsoft Internet Explorer 9, Google Chrome 19.0.1084, Mozilla Firefox 12.
Второй раунд: Microsoft Internet Explorer 8/9, Mozilla Firefox 10/11/12, Google Chrome 16/17/18/19, Opera 11/12, Apple Safari 5.0/5.1.1/5.1.2.

В третьем раунде допускается эксплуатация последних версий типовых сторонних компонентов для браузеров: Adobe Flash Player (11.2.202.235), Adobe Reader (10.1.3), Java (7 update 4). Перечень браузеров идентичен таковому во втором раунде.

Используемые платформы

Первый раунд — Windows 7 Service Pack 1 (x64). Второй и третий раунды: Windows 7 Service Pack 1 (x64/x86) и Windows XP SP3 (x86).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, название браузера, выбранного в качестве цели атаки, используемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы

I место — 137 000 руб.
II место — 75 137 руб.
III место — 50 137 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Окончательно решение о версиях программного обеспечения, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия. Соответствующая информация публикуется на сайте форума PHD по адресу www.phdays.ru. После проведения каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все ПО, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Взлом мобильных устройств: правила

Подробные правила конкурса Hack2Own на PHDays 2012Атака на одно устройство осуществляется за один раунд с использованием одного вектора атаки; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. После каждой попытки эксплуатации уязвимости операционная система восстанавливается в первоначальное состояние. Критерием успеха является контролируемый участником запуск приложения на устройстве путем проведения удаленной сетевой атаки.

Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Условия участия

К конкурсу допускаются участники, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, операционную систему, выбранную в качестве цели атаки, тип устройства (планшет или смартфон) и планируемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы

I место — 137 000 руб.
II место — 75 137 руб. + iPhone 4S
III место — 50 137 руб.

В случае если на определенное место претендуют нескольку участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное. Кроме того, все участники получат ценные призы и подарки от организаторов форума, компании Positive Technologies, и спонсоров мероприятия.

Используемые платформы

Первый раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4.
Второй раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4 + популярное ПО стороннего производителя (обсуждается с организаторами при регистрации на конкурс).
Третий раунд: планшет или смартфон с iOS 5.0, планшет с Android 3.0, смартфон с Android 2.3.

Технические детали

Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация об этом публикуется на сайте форума PHDays). Для участия в конкурсе используются устройства в стандартной конфигурации «из коробки» — за исключением настроек, необходимых для организации сетевого подключения. После проведения каждой попытки эксплуатации уязвимости устройство перезагружается и возвращается в начальное состояние.
Обычным вектором атаки является посещение специально сформированного сайта через стандартный браузер устройства. В случае использования других векторов атаки (получение SMS или MMS, просмотр электронной почты и т. п.) участник указывает на это в заявке при регистрации.

Все программное и аппаратное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Эксплуатация уязвимостей уровня ядра: правила конкурса

Каждый участник получает возможность продемонстрировать эксплуатацию уязвимость уровня ядра операционной системы. Эксплойт, предложенный претендентом, должен давать непривилегированному пользователю возможность повысить свои привилегии в системе до уровня суперпользователя.

В каждом раунде атака осуществляется на одну из указанных платформ; организаторы конкурса запускают исполняемый файл, предоставленный участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является изменение участником уровня привилегий с непривилегированного пользователя — до максимально возможного в системе. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющие на степень риска согласно методике CVSS).

Используемые платформы

Первый раунд:

  • Windows 7 Service Pack 1 (x64);
  • Windows Server 2008 SP2 (x64);
  • Debian Linux 3.3.5;
  • FreeBSD 9.0;
  • OpenBSD 5.1;
  • OS X 10.7.4.

Второй раунд:

  • Windows 7 Service Pack 1 (x86);
  • Windows Server 2003 SP2;
  • Windows XP SP3 (x86);
  • Debian Linux 2.6.32-45;
  • FreeBSD 8.0;
  • OpenBSD 5.0;
  • OS X 10.7.1.

Третий раунд: набор платформ идентичен таковому для первого раунда. Возможно использование популярного ПО для обеспечения безопасности (антивирусов, HIPS, и т. п.) стороннего производителя (обсуждается с организаторами при регистрации на конкурс).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника и платформу, выбранную в качестве цели атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность.

Призы

I место — 75 000 руб.
II место — 50 000 руб.
III место — 30 000 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация публикуется на сайте форума PHDays). После каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все программное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно.

Чтобы ответственно подойти к разглашению информации, можно:

  • связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
  • передать информацию об уязвимостях в CERT;
  • передать сведения об уязвимостях через UpSploit;
  • передать описание уязвимостей, приняв участие в одной из официальных программ вознаграждения за найденные уязвимости, например в Zero Day Initiative.

Автор: ptsecurity

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js