ZeroNights 2014: взломай и получи

в 7:25, , рубрики: hacking, Qiwi, zeronights, Блог компании «Digital Security», взлом, защита, информационная безопасность, конференция

image

ZeroNights, пожалуй, единственная конференция по безопасности в России, с которой любой посетитель может вернуться не только с объемным багажом полезных знаний, применимых на практике, но и с солидным денежным призом ;) В этом году азартная составляющая мероприятия зашкаливает. С программой конференции можно ознакомиться здесь: 2014.zeronights.ru/assets/files/schedule_rus_fin.pdf

Подробности наших активностей смотрите ниже.

QIWI созывает турнир

В этом году на конференции ZeroNights стартует специальная конкурсная секция Группы QIWI, в рамках которой пройдет CTF-соревнование в формате Jeopardy.

Специально для турнира призер международных соревнований, команда More Smoked Leet Chicken, подготовила ряд заданий в категориях Reverse / PWN / Web / Crypto / Misc. Решать задания можно будет в произвольном порядке, стоимость решения зависит от сложности задачи.

Приглашаем всех желающих принять участие в турнире в полдень 13 ноября. Победителями соревнований станут участники, набравшие наибольшее количество баллов по результатам прохождения заданий (при одинаковом количестве баллов, приоритетным считается результат, зафиксированный раньше). Призовой фонд за 1-3 места составит 60, 30 и 15 тыс. рублей.
Взломай его, если сможешь

Кроме того, любой желающий сможет принять участие в поиске уязвимостей на платежных терминалах QIWI. Два полностью рабочих терминала будут доступны в течение всей конференции.

Запрещено:

  • проводить деструктивные действия с терминалом, которые могут привезти к его физическим повреждениям
  • проводить атаки на датчики купюроприемника (фальшивые купюры, «рыбалка»)

Разрешается:

  • использовать отмычки для физического доступа к оборудованию терминала
  • подключать дополнительное оборудование к терминалу

Интерес представляют уязвимости, которые приводят к выходу в оболочку Windows и проведение поддельных платежей с помощью данных, полученных с терминала. В зависимости от критичности обнаруженных программных ошибок, вознаграждение может составить до 150 тыс. рублей и будет выплачено в рамках действующей программы bug bounty.

Конкурс от Protectimus

Соревнования будут проходить в период проведения мероприятия, принять в них участие сможет любой желающий, кроме членов жюри. Цель, задания, область поиска, временные рамки и другие подробности конкурса станут известны в день открытия ZeroNights 2014.

Призовой фонд:

  • 1 место — 8000$ + 1000$ на баланс в Protectimus
  • 2 место — 5000$ + 500$ на баланс в Protectimus
  • 3 место — 2000$ + 350$ на баланс в Protectimus

Для тех, кто любит потяжелее

Любителей железок и хакерских девайсов вновь не оставим без внимания: в этом году на ZeroNights опять будет работать открытая площадка Hardware Village. В рамках HWV любой желающий сможет потрогать, поюзать, потестить любую понравившуюся железку и получить консультацию по нюансам использования того или иного оборудования. Будут мастер-классы, посвященные безопасности встраиваемых систем и беспроводных сетей.

Для любителей DIY проведем обзор современных решений для создания своих устройств на основе следующих платформ:

  • Teensy 2.0, 3.1
  • Dragino V2
  • mbed LPC1786
  • Spark Code
  • Arduino разных версий
  • Radxa Rock Pro
  • Raspberry Pi (B+)

Радиолюбители, пользователи SDR и хакеры беспроводных сетей смогут попрактиковаться в использовании таких устройств:

  • HackRF
  • BladeRF
  • Ubertooth
  • Proxmark3

Для реверсеров встраиваемых платформ и просто интересующихся проведем демонстрацию и обучим работе со следующими хакерскими девайсами:

  • Facedancer
  • Die Datenkrake
  • Bus Pirate, Bus Blaster
  • JTAGulator
  • Papillio Pro FGPA
  • USB IR Toy
  • Open Workbench LogicSniffer

В формате мини

Если ты можешь не только ломать системы и устройства в два-три приема, но также готов собрать интересный девайс и рассказать о нем хакерскому сообществу, не проходи мимо Hardware Village! В этом году энтузиасты этой секции запланировали три состязания для любителей хакерских девайсов:

1) Взлом встраиваемых систем

Этот конкурс будет продолжаться в течении всей конференции. Первый, кто взломает изготовленное организаторами хакерское устройство, получит его в подарок. Уникальных девайсов будет несколько.

2) Stand up and Hack, конкурс мини-докладов

Благодаря этому конкурсу любой начинающий ресерчер сможет выступить на публике без особых формальностей. На специальной доске в течение всего времени конференции каждый желающий сможет оставить заявку — тему доклада. После появления каждой третьей темы в работе HW Village будет объявляться перерыв, во время которого будут звучать мини-доклады. Лучшие выступления обещаем наградить.

3) HackDev — разработка и презентация своего хакерского устройства

Данный конкурс дает возможность людям, проводящим ночи за пайкой/сборкой своих хакерских девайсов, явить миру свое изобретение и провести его презентацию. Авторы лучших устройств получат ценные призы.

Python Arsenal Contest

Это конкурс инструментов для решения сложных задач в процессе Reverse Engineering. Мы полагаем, что он принесет пользу всему сообществу специалистов по безопасности, так как плагины будут доступны всем желающим, и будет происходить обмен опытом. Чтобы принять в нем участие, необязательно участвовать в конференции, — можно сделать это удаленно.

Правила

  • Проект/скрипт/плагин/расширение должно использовать библиотеку с сайта pythonarsenal.erpscan.com/.
  • Новый инструмент (ранее не публиковался) либо мажорное обновление к уже известному проекту/библиотеке/плагину с новыми интересными функциями.
  • Необходимо описание, требования, руководство по установке.
  • Присылайте ваши разработки на pythonarsenal@zeronights.org.
  • Результаты будут объявлены на конференции ZeroNights (14 ноября 2014).

Призы: уникальная хакерская футболка и сувенир (персональный стальной значок), размещение в зале славы, стикеры. Призы будут выдаваться в различных номинациях.

Номинации

  • Лучшая тулза/плагин/библиотека для эксплуатирования багов
  • Лучшая тулза/плагин/библиотека для расследования инцидентов
  • Лучшая тулза/плагин/библиотека для реверсинга
  • Лучшая тулза/плагин/библиотека для фаззинга
  • Лучшая тулза/плагин/библиотека для анализа вредоносного ПО

Комитет

  • Аарон Портной (Exodus Intelligence)
  • Александр Матросов (Intel)
  • Дмитрий 'D1g1' Евдокимов (Digital Security)
  • Хальвар Флэйк (Google Inc.)
  • Джастин Зайц (Immunity Inc.)

Вообще, конкурсов в этом году так много, что мы даже сделали специальный раздел на сайте, где рассказываем о каждом из них максимально подробно: 2014.zeronights.ru/

До встречи на конференции!

Автор: oprisko

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js