26 и 27 мая в ЦМТ состоится пятый по счету форум Positive Hack Days. Подготовка к мероприятию идет полным ходом: формируется программа докладов и мастер-классов (проголосовать за то или иное выступление можно на сайте), к инициативе PHDays Everywhere присоединились первые площадки из разных стран, но это еще не все.
Традиционно на форуме проходил много конкурсов. Сегодня мы расскажем о том, в каких соревнованиях смогут принять участие гости PHDays и интернет-пользователи, а также о том, какие призы ждут победителей.
Соревнования на площадке
Внимание! Для участия в большинстве конкурсов нужно принести с собой ноутбук.
Leave ATM Alone
Физические атаки на банкоматы постепенно уступают место интеллектуальным атакам на программное обеспечение. На этом конкурсе любой желающий сможет попробовать свои силы в поиске уязвимостей в банкоматах.
Организаторы подготовили банкомат, программное обеспечение которого содержит типичные для подобных устройств уязвимости. Участникам будет предоставлен доступ к интерфейсам взаимодействия модулей банкомата (диспенсер, кардридер, пинпад): захватив управление ими, можно попробовать изъять из банкомата некоторое количество денег.
Призы:
- 1-е место — FaceDancer21, рюкзак, 3d ATM, сувениры от организаторов
- 2-е и 3-е места — FaceDancer21, 3d ATM, сувениры
Обход WAF
Задачей участников конкурса является обход PT Application Firewall — межсетевого экрана прикладного уровня компании Positive Technologies. В этом году уязвимости внедрены в специально подготовленный веб-сайт.
Успешный обход будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и все пользователи интернета.
Призы:
- 1-е место — iPad Air 2, сувениры от организаторов
- 2-е место — Sony Xperia Z3, сувениры
- 3-е место — Burp Suite (годовая лицензия), сувениры
Большой ку$h
Это конкурс-ветеран. Участники должны провести анализ исходных кодов системы ДБО (она создана специально для конкурса и содержит типичные уязвимости приложений интернет-банкинга), подготовить эксплойты и попытаться опередить других взломщиков и похитить деньги.
Победителем станет тот, кто быстрее всех обчистит «банк», его «клиентов» и других игроков. Деньги в нашем интернет-банке — самые что ни на есть настоящие.
Образ системы ДБО для предварительного исследования будет выдан за день до мероприятия, а финал конкурса состоится во второй день на площадке.
Игроки забирают все «уведенные» из системы деньги (призовой фонд 40 000 руб.).
Примечание: система ДБО разработана в компании Positive Technologies специально для форума PHDays. Она не является системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.
Choo Choo Pwn
Конкурс по анализу защищенности критически важных систем. В этом году макет транспортной системы, построенной с использованием реальных промышленных контроллеров и ПО, претерпел значительные изменения.
В ущерб «правдоподобности» промышленного оборудования была реализована автоматизация транспортной безопасности. Теперь у нас, как и в реальном мире, нельзя отправить команду, которая приведет к аварии: логика, обеспечивающая безопасность движения, не позволит этому произойти. Целью соревнования будет взлом комплекса средств, обеспечивающих безопасность транспорта (который впоследствии может приводить к авариям на макете).
Призы:
- 1-е место — JTAGulator, рюкзак, сувениры
- 2-е и 3-е места — сувениры
«Наливайка»
По традиции венчает конкурсную программу, да и сам форум Positive Hack Days, атмосферное соревнование «Наливайка». Чтобы принять в нем участие, прежде всего нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. Допускаются все желающие, достигшие алкогольной зрелости.
Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.
Призы:
- 1-е место: самовар, сувениры от организаторов
- 2-е и 3-е места — сувениры
Онлайн-конкурсы
Все, кто по каким-либо причинам не сможет 26 и 27 мая оказаться в Москве, смогут принять участие в специальных онлайн-конкурсах.
HackQuiz
В 2014 году в конкурсе участвовали три команды — команда SESAME из Туниса, Brizz из Омска и команда из участников PHDays в Москве. Ребята продемонстрировали, что знают, как выглядят Geohot и Solar Designer, умеют распознавать закодированные послания и осведомлены о главных эпик-фейлах за хакерскую историю. Особенно удачно выступила команда из Москвы, набравшая больше всего баллов.
Первый HackQuiz на PHDays не обошелся без накладок, но главное, что все участники подарили друг другу хорошее настроение, поэтому на 5-м юбилейном PHDays мы собираемся повторить эксперимент и приглашаем площадки PHDays Everywhere и участников форума в Москве присоединиться к викторине.
Победители получат набор книг Райана Рассела по информационной безопасности и сувениры от организаторов.
Конкурентная разведка
Конкурс ясно показывает, насколько легко в современном мире можно получить различную конфиденциальную информации о людях и компаниях. Главный навык конкурентного разведчика — умение находить и анализировать крупицы информации, рассыпанные в общедоступных сетях. На протяжении трех лет (2012, 2013, 2014) участники соревнования показывают, как можно узнать самые ценные секреты, ничего не взламывая (ну или почти ничего).
Каждый год ремесло конкурентного разведчика становится с одной стороны легче из-за распространения информации в интернете, с другой — сложнее, так как обработать эти данные человеку все сложнее. Поэтому помимо поисковых движков участникам потребуется использовать специальные инструменты и технические приемы. Кроме того, конкурсанты столкнутся и с традиционными веб-уязвимостями разного уровня сложности.
Призы:
- 1 место — iPad Air и сувениры от организаторов
- 2-е и 3-е места — сувениры
Лучший реверсер
Знакомый многим конкурс по обратной разработке. Участники должны продемонстрировать навыки анализа исполняемых файлов. Те, кто займет призовые места, получат FaceDancer21 и сувениры от организаторов.
Присоединяйтесь к баталиям ИБ-специалистов со всего мира на Positive Hack Days! До встречи в Москве!
