До старта форума PHDays IV остается совсем немного. Уже определены финалисты соревнований CTF, полным ходом идет формирование программы (части 1 и 2) и подготовительные работы в рамках инициативы PHDaуs Everywhere. Но конечно, этим дело не ограничится и, помимо интереснейших докладов и мастер-классов, гостей форума ждет увлекательная конкурсная программа.
Немного истории
Традиционно среди конкурсов, проходящих во время PHDays, центральное место отводится прикладным испытаниям, в ходе которых участники могут продемонстрировать свои практические навыки в деле взлома и защиты.
В прошлые годы на Positive Hack Days защищали систему управления миниатюрной железной дорогой, взламывали замки, искали лазейки в защите интернет-банка и похищали деньги прямо из банкомата, проходили сложнейший хакерский лабиринт, напичканный лазерами и датчиками движения. Поучаствовать в таких увлекательных приключениях можно только на PHDays! О более традиционных испытаниях вроде анализа защищенности сетевой инфраструктуры или реверс-инжиниринга мы даже и не говорим.
И вот какие испытания для «белых шляп» со всего мира приготовили организаторы на этот раз.
Соревнования на площадке
Внимание! Для участия в большинстве соревнований необходимо принести с собой ноутбук.
Critical Infrastructure Attacks (CIА)
Конкурс по анализу защищенности реальных систем АСУ ТП, на основе которых функционирует модель железной дороги (Choo Choo Pwn), стал абсолютным хитом PHDays III, а его организаторы смогли ощутить себя настоящими рок-звездами, устроив мировой тур по ИБ-конференциям (см. отчеты о Сеуле и Гамбурге).
В этом году в ходе соревнования конкурсанты получат доступ к сети АСУ ТП и в течение заданного времени должны будут либо нарушить работоспособность отдельных частей игрушечного мира, либо получить контролируемый доступ к целевым системам.
Вот видео того, как это выглядело в прошлом году.
Победители получат памятные подарки от организаторов форума.
Большой ку$h
Благодаря соревнованию «Большой ку$h» на PHDays любой желающий может побывать в шкуре злоумышленника, похищающего деньги с банковских счетов, — безо всякого риска нарваться на проблемы с законом.
Состязание призвано проверить знания и навыки в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсные задания представлены реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем.
Конкурс проходит в два этапа. Сначала участникам будут предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО (аналог реальной системы интернет-банка, содержащий типичные уязвимости). В течение заданного времени конкурсантам нужно будет обнаружить уязвимости в системе. Затем им предстоит воспользоваться обнаруженными уязвимостями с целью несанкционированного вывода денежных средств.
Победитель забирает все «уведенные» из системы деньги себе!
Survive Hacking
Еще одно соревнование, вызывающее ассоциации с голливудскими блокбастерами, — настоящая «Обитель зла», состоящая из множества разнообразных препятствий: лазерное поле, датчики движения, решение головоломок, сражения с искусственным интеллектом и обезвреживание бомбы. Чтобы пройти полосу препятствий на PHDays III, да еще и сделать это быстрее других, надо было очень постараться!
В этом году соревнование обещает быть не менее увлекательным: к «жучкам» и лазерам добавятся новые высокотехнологичные испытания. Победители и призеры получат отличные подарки от организаторов.
Обход WAF
Участникам будет предоставлен архив с исходным кодом веб-приложения, в котором заложено множество различных уязвимостей, а также отчет о сканировании на уязвимости при помощи Application Inspector. Задача состоит в том, чтобы обойти новую систему защиты — Positive Technologies Application Firewall, который будет защищать приложение. Имея исходный код, участники смогут убедиться в наличии обнаруженных уязвимостей, попытаться найти другие.
Победители получат памятные подарки от организаторов форума.
Leave ATM Alone
Если в прошлом году на PHDays банкомат взламывали физически, то теперь было решено зайти с другой стороны. Конкурс Leave ATM Alone позволит участникам испытать свои навыки эксплуатации уязвимостей в банкоматах.
Будет предложен доступ к физическому уровню управления некоторыми модулями банкомата. Задача — изучив их, захватить над устройством полный контроль. Победители получат подарки.
2600
Задача заключается в осуществлении звонка с таксофона на заранее определенный номер. Жетон при этом нужно возвратить организаторам. Итоги будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание. В прошлом году соревнование пользовалось значительной популярностью.
Помимо подарков от организаторов соревнования победитель сможет забрать на память уникальные монеты PHDays, которые заменяют обычные жетоны для таксофона.
Наливайка
Классика Positive Hack Days. Под занавес второго дня форума, когда все баталии уже отгремели, определился победитель CTF и всем хочется продолжить общение в неформальной обстановке, стартует этот крайне атмосферный конкурс. Участникам необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды ОС.
Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, чьи атаки чаще всего выявлялись средствами защиты, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу. Победителем становится тот, кто сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере.
«Наливайка» — это настолько весело, что в прошлом году не устоял даже сам geohot, который до этого сражался в CTF в составе команды PPP. Кстати, ему удалось стать победителем «Наливайки» с первого раза.
geohot побеждает в «Наливайке»
В качестве призов призеров соревнования ждут сувениры от организаторов форума.
Онлайн-конкурсы
Те, кто по каким-то причинам не сможет 21 и 22 мая оказаться в Москве, смогут присоединиться к онлайн-состязаниям.
Hash Runner
В рамках этого конкурса проверке подвергнутся знания участников в области
криптографических алгоритмов хэширования, а также навыки взлома хэш-функций паролей. Конкурсантам будет предложен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, Blowfish, GOST3411 и др.). Для победы нужно набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.
Принять участие в соревновании сможет любой пользователь сети Интернет. Регистрация для участия откроется на сайте phdays.ru 8 мая и продлится до старта форума.
Победителей соревнования ждут отличные призы от организаторов PHDays.
PHDays Online HackQuest
Организатор — лаборатория PentestIT. В разработке заданий помимо команды PentestIT примут участие Арес (разработчик Intercepter-NG), Юрий Хвыль (вирусный аналитик CSIS — www.csis.dk) и Иван Новиков (d0znpp, OnSec — onsec.ru).
Поучаствовать в соревновании, которое пройдет в дни форума PHDays IV, смогут и посетители площадок PHDays Everywhere, для которых будет отдельный командный зачет. Игровая инфраструктура будет максимально приближена к реальным условиям и представлять собой распределенную сеть, включающую нескольких филиалов атакуемой компании. За каждое правильно решенное задание участник будет получать очки (флаги). Победителем станет тот, кто наберет наибольшее количество очков.
Призеров соревнования ждут отличные подарки от организаторов PHDays и лаборатории PentestIT.
Конкурентная разведка
Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать и анализировать информацию в сети Интернет, пользоваться инструментами и техническими приемами конкурентной разведки.
Незадолго до форума будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время.
К соревнованию допускается любой интернет-пользователь. Зарегистрироваться можно будет на сайте phdays.ru начиная с 8 мая. (Читайте отчет о том, как соревнования проходило в прошлом году.)
Все призеры конкурса получат пригласительный билет на PHDays IV, а победителю достанутся еще и памятные подарки от организаторов.
Соревнования твиттер-репортеров и блогеров
На PHDays стать лучшим можно не только демонстрируя навыки хакинга, но и проявив литературные или репортерские таланты.
Прежде всего, выиграть отличные призы и приглашение на Positive Hack Days в 2015 году смогут активные пользователи Твиттера. В прошлом году победителем стал Артем Агеев, ему полагается приглашение на PHDays IV.
Чтобы поучаствовать в соревновании, нужно подписаться на наш твиттер-аккаунт @phdays и на протяжении двух дней форума писать твиты с хэштэгом #PHDays, рассказывая своим подписчикам о том, что происходит на площадке, комментируя ход конкурсов, отмечая интересные доклады, воркшопы и т. п. По завершении форума организаторы оценят общее качество трансляции, подсчитают количество заслуженных ретвитов и назовут имя победителя.
Не стоит отчаиваться и тем, кто не мастер малых форм и предпочитает 140 символам традиционные посты в блогах. Напишите увлекательную статью со своими впечатлениями от посещения PHDays, участия в конкурсах и мастер-классах, а затем пришлите нам ссылку в Твиттере (англ. или рус.), Facebook или ВКонтакте. Победитель получит приз и приглашение на PHDays в 2015 году.
Обратите внимание на посты прошлогодних победителей (1-е место, 2-е место, 3-е место). Всем им полагаются билеты на PHDays IV, так что если ваша заметка была одной из лучших, но вы еще не обращались к нам, самое время это сделать — пишите на phd@ptsecurity.com.
Напоминаем, что для посетителей хакспейсов PHDays Everywhere в этом году предусмотрены дополнительные эксклюзивные конкурсы.
Присоединяйтесь к баталиям ИБ-специалистов со всего мира в рамках Positive Hack Days!
