Вы знакомы с поиском уязвимостей и желаете поучаствовать?
В декабре стартует PHDays CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF. Шансы равны у всех: не только известные команды, но и начинающие исследователи могут попробовать завоевать путевку в финальную стадию хакерской битвы. Турнир пройдет в конце мая 2013 года на международном форуме Positive Hack Days III.
Формируйте свою команду, подавайте заявку — и вперед!
Сюжет
Участвовать в соревнованиях PHDays CTF интересно по нескольким причинам. Каждый раз турнир проводится по новому оригинальному сценарию. Хакеры не просто охотятся за флагами, а становятся героями реалити-шоу, напоминающего компьютерную игру. На первом PHDays CTF необходимо было защищать от атак SCADA-систему, управляющую альтернативным источником энергии «Монолит». Второй PHDays CTF — это оборона планеты Земля, пострадавшей от генетических экспериментов (легенды первого и второго дня соревнования опубликованы в блоге форума). На PHDays III участники CTF снова попадут в историю, и им потребуются все их специфические навыки и способности, столь важные в критических обстоятельствах.
Условия PHDays CTF Quals, в отличие от многих других подобных соревнований, максимально приближены к «боевым»: использованные уязвимости не выдуманы, а действительно встречаются в современных IT-системах. Темы заданий охватывают все актуальные вопросы и сферы информационной безопасности.
Схема игровой инфраструктуры первого дня соревнований
Участники CTF опробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, а также выполнении задач, связанных с обратной разработкой.
Схема игровой инфраструктуры второго дня соревнований
Организаторы стараются «обыграть» все актуальные направления, интересующие хакерское и ИБ-сообщество: веб-безопасность, операционные системы, SCADA, ERP, мобильные приложения.
Постоянные нововведения — особенность этого CTF. На PHDays CTF 2012, к примеру, участникам впервые предоставили возможность соревноваться в атаке и удержании системы сервисов в рамках задания «Царь горы»: чем дольше удержишь — тем больше баллов.
Широкая интернет-поддержка соревнований — это всегда актуально, ведь ясно, что не все желающие могут попасть на форум. После завершения PHDays CTF 2012 участникам из сети Интернет был предоставлен доступ к инфраструктуре «Царь горы». Онлайн-соревнования проходили в период с 20 августа по 3 сентября 2012 года. Было зарегистрировано более 200 участников, среди которых только семеро смогли набрать баллы.
Одним из примеров отражения реальных проблем ИБ в игровой форме стал конкурс «Большой Ку$h» во второй день форума PHDays 2012. Организаторы заранее разработали тестовую систему ДБО, включив в нее типовые ошибки подобных продуктов. Команды — участницы CTF должны были защищать системы интернет-банкинга, причем на поиск и устранение уязвимостей у них было всего четыре часа. Взломщиками в этом соревновании выступали интернет-пользователи, участвующие в конкурсе Online HackQuest.
Зрелищность — ахиллесова пята соревнований по принципу CTF. Однако на PHDays не было скучно никому. Секрет заключался в бонусных развлекательных заданиях.
Во-первых, это был огромный контейнер с бумажным мусором, в котором находились дополнительные флаги. За каждый найденный флаг начислялось по 7 баллов:
Во-вторых, перехват управления квадрокоптером AR.Drone. Команда, которая сможет это сделать, получает 150 баллов:
Призовой фонд — не последний из решающих факторов любого соревнования. Все участники PHDays CTF традиционно получают ценные подарки, а призеры CTF 2012 разделили между собой 300 тыс. руб.
Рецепт победы
Универсального способа выиграть в CTF не существует, но мы, провели подробный разбор PHDays CTF 2012 и обнаружили некоторые закономерности, используемые ведущими командами для достижения успеха.
Например, участники команды PPP из США успели не только раньше всех найти уязвимость в сервисах соперников, но и написать код, автоматизирующий процесс ее эксплуатации. Анализ журналов показал, что они придерживались данной тактики на протяжении всего CTF: разница по времени между вводами флагов в систему зачастую не превышала двух секунд. Подобной тактики также придерживались команды C.o.P. и Leet More.
Победу в CTF одержала российская команда Leet More, получившая 150 000 руб., вторыми стали представители Швейцарии из 0daysober (100 000 руб.), а бронзу и сумму 50 000 руб. завоевали испанцы из int3pids. Правила расчета баллов на PHDays 2012 составлены таким образом, чтобы команды, не справляющиеся с заданиями одного вида, могли компенсировать отставание, решая другие задания, — и сохраняли шансы на победу. Для победы командам необходимо было проявлять активность в рамках всех игровых инфраструктур, чтобы не упустить преимущество.
Правильно выбранный баланс позволил сделать PHDays CTF 2012 действительно зрелищным, на протяжении двух дней и одной ночи поддерживая интерес не только его участников, но и зрителей.
Победитель CTF, команда Leet More, уступила в «классическом CTF» команде PPP по набранным баллам и команде Int3pids в рамках общей инфраструктуры, но за счет баллов, заработанных в заданиях инфраструктуры «Царь горы», вышла на первое место в рейтинге. В то же время команды C.o.P. и Eindbazen, занимавшие позиции в тройке лидеров в зачете общей инфраструктуры, так и не смогли войти в тройку призеров по итогам соревнований.
Кульминацией соревнования стала новая инфраструктура «Царь горы», которая сыграла ключевую роль в определении победителя. Другим поворотным моментом было задание по защите своего банковского счета, которое оказалось для команд сюрпризом и позволило интернет-участникам со всего мира повлиять на результаты очного противостояния CTF.
А вот и сам масштабный аналитический отчет о PHDays CTF 2012.
Как присоединиться к PHDays III CTF?
Регистрация на отборочные соревнования откроется 28 ноября и завершится 17 декабря 2012 года. PHDays CTF Quals пройдет с 10:00 15 декабря по10:00 17 декабря 2012 года (время московское).
Основные состязания PHDays CTF состоятся 22—23 мая 2013 года в Москве во время третьего международного форума по информационной безопасности Positive Hack Days.
Узнать подробности о PHDays CTF Quals и зарегистрироваться для участия в соревновании можно по адресу: http://quals.phdays.ru.
ссылка на оригинал статьи http://habrahabr.ru/company/pt/blog/160541/
Добавить комментарий