За сколько можно взломать мобильную сеть?
Надежно ли электронное правительство
в эпоху WikiLeaks и Anonymous?

Взлом АСУ ТП – голливудские байки
или реалии сегодняшнего дня?
Интернет-банкинг – возможна ли победа
в битве с мошенниками?

Киберпреступность, кибершпионаж, кибервойна. Где грань?

среда, 28 ноября 2012 г.

PHDays CTF Quals

Время от времени специалисты по защите информации встречаются на соревнованиях, проводимых по принципу Capture the Flag, чтобы лицом к лицу узнать, кто лучше умеет защищаться или нападать. Такие состязания часто называют «Формулой-1» за компьютерными столами, и они постоянно привлекают все больше зрителей.

Вы знакомы с поиском уязвимостей и желаете поучаствовать?

В декабре стартует PHDays CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF. Шансы равны у всех: не только известные команды, но и начинающие исследователи могут попробовать завоевать путевку в финальную стадию хакерской битвы. Турнир пройдет в конце мая 2013 года на международном форуме Positive Hack Days III.

Формируйте свою команду, подавайте заявку — и вперед!

Главное — сюжет

Участвовать в соревнованиях PHDays CTF интересно по нескольким причинам. Каждый раз турнир проводится по новому оригинальному сценарию. Хакеры не просто охотятся за флагами, а становятся героями драматичного реалити-шоу, напоминающего увлекательную компьютерную игру. На первом PHDays CTF необходимо было защищать от атак SCADA-систему, управляющую альтернативным источником энергии «Монолит». Второй PHDays CTF — это доблестная оборона планеты Земля, пострадавшей от генетических экспериментов (легенды первого и второго дня соревнования опубликованы в блоге форума). На PHDays III участники CTF снова попадут в историю, и им потребуются все их специфические навыки и способности, столь важные в критических обстоятельствах.

Условия PHDays CTF Quals, в отличие от многих других подобных соревнований, максимально приближены к «боевым»: использованные уязвимости не выдуманы, а действительно встречаются в современных IT-системах. Темы заданий охватывают все актуальные вопросы и сферы информационной безопасности.


Схема игровой инфраструктуры первого дня соревнований

Участники CTF опробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, а также выполнении задач, связанных с обратной разработкой.


Схема игровой инфраструктуры второго дня соревнований

Организаторы стараются «обыграть» все актуальные направления, интересующие хакерское и ИБ-сообщество: веб-безопасность, операционные системы, SCADA, ERP, мобильные приложения.

Постоянные нововведения — особенность этого CTF. На PHDays CTF 2012, к примеру, участникам впервые предоставили возможность соревноваться в атаке и удержании системы сервисов в рамках задания «Царь горы»: чем дольше удержишь — тем больше баллов.

Широкая интернет-поддержка соревнований — это всегда актуально, ведь ясно, что не все желающие могут попасть на форум. После завершения PHDays CTF 2012 участникам из сети Интернет был предоставлен доступ к инфраструктуре «Царь горы». Онлайн-соревнования проходили в период с 20 августа по 3 сентября 2012 года. Было зарегистрировано более 200 участников, среди которых только семеро смогли набрать баллы.


 Распределение баллов в рамках онлайн-соревнований «Царь горы»

Одним из примеров отражения реальных проблем ИБ в игровой форме стал конкурс «Большой Ку$h» во второй день форума PHDays 2012. Организаторы заранее разработали тестовую систему ДБО, включив в нее типовые ошибки подобных продуктов. Команды — участницы CTF должны были защищать системы интернет-банкинга, причем на поиск и устранение уязвимостей у них было всего четыре часа. Взломщиками в этом соревновании выступали интернет-пользователи, участвующие в конкурсе Online HackQuest.

Зрелищность — ахиллесова пята соревнований по принципу CTF. Однако на PHDays не было скучно ни детям, ни журналистам. Секрет заключался в бонусных развлекательных заданиях. Во-первых, это был огромный контейнер с бумажным мусором, в котором находились дополнительные флаги. Во-вторых, перехват управления квадрокоптером AR.Drone.


Контейнер с бумажным мусором: по 7 баллов за каждый найденный флаг


За перехват управления AR.Drone команда получает 150 баллов

Призовой фонд — не последний из решающих факторов любого соревнования. Все участники PHDays CTF традиционно получают ценные подарки, а призеры CTF 2012 разделили между собой 300 тыс. руб.


 Памятные трофеи команды Eindbazen

А еще CTF — это значительная часть PHDays, а PHDays — это хорошая музыка, вкусная еда и бесплатный алкоголь ;)


Группа «Ундервуд» закрывает PHDays 2012

Отзывы о PHDays CTF 2012

В соревнованиях CTF в 2012 году соперничали представители 11 стран со всего мира. Общее мнение: никто не остался равнодушным.

 0daysober, CTF Team
PHDays — это отлично организованная конференция с большим количеством параллельных мероприятий, включая знаменитый «Too drunk to hack», в котором один из участников нашей команды занял второе место.
http://blog.scrt.ch/2012/06/04/ctf-phdays-2012

Arvind S Raj, BIOS Team
CTF крут. Было действительно весело.
http://arvindsraj.wordpress.com/2012/07/11/phdays-ctf-2012

Thijs Bosschert, Verizon Business
Хорошая работа @phdays. Пример для других конференций.
https://twitter.com/ThiceNL/status/209653337912655872

Другие отзывы.

Рецепт победы

Универсального способа выиграть в «позитивном» CTF не существует, но мы, разобрав PHDays CTF 2012 до винтика, обнаружили некоторые закономерности, используемые ведущими командами для достижения успеха.

Например, участники команды PPP из США успели не только раньше всех найти уязвимость в сервисах соперников, но и написать код, автоматизирующий процесс ее эксплуатации. Анализ журналов показал, что они придерживались данной тактики на протяжении всего CTF: разница по времени между вводами флагов в систему зачастую не превышала двух секунд. Подобной тактики также придерживались команды C.o.P. и Leet More.

Победу в CTF одержала российская команда Leet More, получившая 150 000 руб., вторыми стали представители Швейцарии из 0daysober (100 000 руб.), а бронзу и сумму 50 000 руб. завоевали испанцы из int3pids. Правила расчета баллов на PHDays 2012 составлены таким образом, чтобы команды, не справляющиеся с заданиями одного вида, могли компенсировать отставание, решая другие задания, — и сохраняли шансы на победу. Для победы командам необходимо было проявлять активность в рамках всех игровых инфраструктур, чтобы не упустить преимущество. Все как в жизни: аутсайдерам до последнего не стоит отчаиваться, а лидерам не рекомендуется раньше времени задирать нос.

Правильно выбранный баланс позволил организаторам сделать PHDays CTF 2012 по настоящему зрелищным, на протяжении двух дней и одной ночи поддерживая интерес не только его участников, но и зрителей.


 Победители CTF 2012 — команда Leet More

Победитель CTF, команда Leet More, уступила в «классическом CTF» команде PPP по набранным баллам и команде Int3pids в рамках общей инфраструктуры, но за счет баллов, заработанных в заданиях инфраструктуры «Царь горы», вышла на первое место в рейтинге. В то же время команды C.o.P. и Eindbazen, занимавшие позиции в тройке лидеров в зачете общей инфраструктуры, так и не смогли войти в тройку призеров по итогам соревнований.

Кульминацией соревнования стала новая инфраструктура «Царь горы», которая сыграла ключевую роль в определении победителя. Другим поворотным моментом было задание по защите своего банковского счета, которое оказалось для команд сюрпризом и позволило интернет-участникам со всего мира повлиять на результаты очного противостояния CTF.


 Баллы, заработанные командами по итогам CTF (по видам заданий)

А вот и сам масштабный аналитический отчет о PHDays CTF 2012.

Как присоединиться к PHDays III CTF?

Регистрация на отборочные соревнования откроется 28 ноября и завершится 17 декабря 2012 года. PHDays CTF Quals пройдет с 10:00 15 декабря по10:00 17 декабря 2012 года (время московское).

Основные состязания PHDays CTF состоятся 22—23 мая 2013 года в Москве во время третьего международного форума по информационной безопасности Positive Hack Days.

Узнать подробности о PHDays CTF Quals и зарегистрироваться для участия в соревновании можно по адресу: http://quals.phdays.ru.

Комментариев нет:

Отправить комментарий