До старта международного форума по практической безопасности Positive Hack Days IV остается чуть больше месяца. Оргкомитет форума анонсирует увлекательную конкурсную программу, которая и делает форум уникальным явлением в индустрии безопасности.
Мероприятие состоится 21-22 мая 2014 в Москве и соберет более 2000 участников из более 700 организаций — крупнейших банков, государственных ведомств, телекоммуникационных, энергетических, нефте- и газодобывающих, промышленных и IT-компаний.
Центральное место в конкурсной программе PHDays отводится прикладным испытаниям, в ходе которых участники могут продемонстрировать свои практические навыки в деле взлома и защиты. Участвовать в конкурсах можно как непосредственно на месте проведения мероприятия, так и онлайн, в рамках инициативы PHDays EveryWhere.
Соревнования на площадке форума
Critical Infrastructure Attacks (CIА)
Конкурс по анализу защищенности реальных систем АСУ ТП (Choo Choo Pwn), на основе которых функционирует модель железной дороги, стал абсолютным хитом PHDays III, а его организаторы смогли ощутить себя настоящими рок-звездами, устроив мировой тур по ИБ-конференциям (Сеул, Гамбург).
В этом году в ходе соревнования конкурсанты получат доступ к сети АСУ ТП и в течение заданного времени должны будут либо нарушить работоспособность отдельных частей игрушечного мира, либо получить контролируемый доступ к целевым системам.
Большой ку$h
Благодаря соревнованию Большой ку$h на PHDays любой желающий может побывать в образе злоумышленника, пытающегося похитить деньги с банковских счетов безо всякого риска нарваться на проблемы с законом.
Участники конкурса смогут похищать деньги у других участников, которые оказались не столь проворными. Исход конкурса может измениться в самый последний момент.
Состязание призвано проверить знания и навыки участников в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО). Конкурсные задания представлены реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем.
Конкурс проходит в два этапа. Сначала участникам конкурса будут предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО (аналог реальной системы интернет-банка, содержащий типичные уязвимости подобных систем). В течение заданного организаторами времени участникам предстоит обнаружить уязвимости в системе. Затем конкурсантам предстоит воспользоваться обнаруженными уязвимостями с целью несанкционированного вывода денежных средств.
Survive Hacking
Еще одно соревнование, вызывающее ассоциации с голливудскими блокбастерами, – настоящая «Обитель зла», состоящая из множества разнообразных препятствий: лазерное поле, датчики движения, решение головоломок, сражения с искусственным интеллектом и обезвреживание бомбы. Чтобы пройти полосу препятствий на PHDays III, да еще и сделать это быстрее других, надо было очень постараться!
В этом году соревнование обещает быть не менее увлекательным – к жучкам и лазерам добавятся и новые уникальные высокотехнологичные испытания.
Application Firewall bypass
В рамках конкурса участникам будет предоставлен архив с исходным кодом веб-приложения, в котором заложены различные уязвимости, а также отчет о сканировании на уязвимости приложением Application Inspector. Задача – попытаться обойти новую систему защиты - Positive Technologies Application Firewall, которое будет защищать приложение со множеством уязвимостей. Имея исходный код, участники смогут убедиться в наличии обнаруженных уязвимостей, попытаться найти другие, а также проверить свои силы в обходе WAF.
Leave ATM alone
Если в прошлом году на PHDays банкомат взламывали физически, то в этом году было решено зайти с другой стороны. Конкурс Leave ATM Alone позволит участникам выявить новые уязвимости в банкоматах.
Участникам будет предоставлена возможность получения доступа к физическому уровню управления некоторыми модулями банкомата. Задача – изучив их, захватить над устройством полный контроль.
Alt2600
Задача участников соревнования заключается в осуществлении звонка с таксофона на заранее определенный номер. Жетон при этом нужно возвратить организаторам. Итоги конкурса будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание. В прошлом году соревнование пользовалось значительной популярностью.
Помимо памятных подарков от организаторов соревнования, победитель сможет забрать себе еще и уникальные монеты PHDays, которые заменяют обычные жетоны для таксофона.
Онлайн-конкурсы
Для тех, кто по каким-то причинам не сможет 21 и 22 мая оказаться в московском техноцентре Digital October, существует возможность присоединиться к состязаниям онлайн, благодаря инициативе PHDays Everywhere.
Hash Runner
В рамках этого соревнования проверке подвергнутся знания участников в области
криптографических алгоритмов хэширования, а также навыки взлома хэш-функций паролей. Конкурсантам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, Blowfish, GOST3411 и др.). Для победы нужно набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.
Принять участие в соревновании сможет любой пользователь сети Интернет. Регистрация для участия откроется на сайте phdays.ru за неделю до старта форума.
PHDays Online HackQuest
Организатор: Лаборатория PentestIT. В разработке заданий для этой лаборатории, помимо команды PentestIT, примут участие Арес (разработчик Intercepnter-NG), Юрий Хвыль (вирусный аналитик CSIS - www.csis.dk) и Иван Новиков (d0znpp, OnSec - onsec.ru).
В дни проведения форума PHDays IV пройдет организованное лабораторией PentestIT соревнование Online HackQuest, поучаствовать в котором смогут и посетители площадок PHDays Everywhere, для которых будет отдельный командный зачет. Игровая инфраструктура будет максимальна приближена к реальным условиям и будет представлять собой распределенную сеть, включающую нескольких филиалов атакуемой компании. Участники конкурса попробуют свои силы в решении различных заданий по информационной безопасности. За каждое правильно решенное задание, участник будет получать очки (флаги). Соответственно, победителем станет тот, кто наберет наибольшее количество очков.
Конкурентная разведка
Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать и анализировать информацию в сети Интернет, пользоваться различными инструментами и техническими приемами для Конкурентной разведки.
За неделю до форума будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время.
К соревнованию допускается любой пользователь сети Интернет. Зарегистрироваться можно на сайте phdays.ru (регистрация открывается за неделю до начала форума).
О других конкурсах, которые проходят в рамках мероприятия узнайте на сайте форума www.phdays.ru
