Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.
Все меньше времени остается до Positive Hack Days 2012, в разгаре онлайн-конкурсы, в которых разыгрываются инвайты . Однако на самой площадке форума в техноцентре Digital October тоже будет происходить много всего интересного. Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.
В 2011 году, продемонстрировав уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows , призерами соревнования Hack2Own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые и получили главный приз — ноутбук и 50 тыс. руб. В этом году бюджет конкурса значительно увеличен и составит более 20 000 $. Победителям будет чем заполнить новенькие кейсы
Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. Под катом подробные правила участия в соревновании.
Внимание! Для участия в конкурсе необходим ноутбук.
Зачем нам это?
Мы просто хотим сделать мир безопасней. Мы стремимся поддерживать ответственный подход к разглашению информации о найденных уязвимостях. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя программного обеспечения.
Взлом веб-браузеров: правила проведения конкурса
В каждом раунде атака осуществляется на один из указанных браузеров; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является контролируемый участником запуск приложения в операционной системе путем проведения удаленной атаки клиента. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).
Программное обеспечение, предлагаемое для эксплуатации
Первый раунд: Microsoft Internet Explorer 9, Google Chrome 19.0.1084, Mozilla Firefox 12.
Второй раунд: Microsoft Internet Explorer 8/9, Mozilla Firefox 10/11/12, Google Chrome 16/17/18/19, Opera 11/12, Apple Safari 5.0/5.1.1/5.1.2.
В третьем раунде допускается эксплуатация последних версий типовых сторонних компонентов для браузеров: Adobe Flash Player (11.2.202.235), Adobe Reader (10.1.3), Java (7 update 4). Перечень браузеров идентичен таковому во втором раунде.
Используемые платформы
Первый раунд — Windows 7 Service Pack 1 (x64). Второй и третий раунды: Windows 7 Service Pack 1 (x64/x86) и Windows XP SP3 (x86).
Условия участия
К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, название браузера, выбранного в качестве цели атаки, используемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.
Призы
I место — 137 000 руб.
II место — 75 137 руб.
III место — 50 137 руб.
В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).
Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.
Технические детали
Окончательно решение о версиях программного обеспечения, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия. Соответствующая информация публикуется на сайте форума PHD по адресу http://www.phdays.ru. После проведения каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все ПО, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.
Взлом мобильных устройств: правила
Атака на одно устройство осуществляется за один раунд с использованием одного вектора атаки; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. После каждой попытки эксплуатации уязвимости операционная система восстанавливается в первоначальное состояние. Критерием успеха является контролируемый участником запуск приложения на устройстве путем проведения удаленной сетевой атаки. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).
Условия участия
К конкурсу допускаются участники, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, операционную систему, выбранную в качестве цели атаки, тип устройства (планшет или смартфон) и планируемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.
Призы
I место — 137 000 руб.
II место — 75 137 руб. + iPhone 4S
III место — 50 137 руб.
В случае если на определенное место претендуют нескольку участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).
Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное. Кроме того, все участники получат ценные призы и подарки от организаторов форума, компании Positive Technologies, и спонсоров мероприятия.
Используемые платформы
Первый раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4.
Второй раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4 + популярное ПО стороннего производителя (обсуждается с организаторами при регистрации на конкурс).
Третий раунд: планшет или смартфон с iOS 5.0, планшет с Android 3.0, смартфон с Android 2.3.
Технические детали
Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация об этом публикуется на сайте форума PHDays по адресу http://www.phdays.ru). Для участия в конкурсе используются устройства в стандартной конфигурации «из коробки» — за исключением настроек, необходимых для организации сетевого подключения. После проведения каждой попытки эксплуатации уязвимости устройство перезагружается и возвращается в начальное состояние.
Обычным вектором атаки является посещение специально сформированного сайта через стандартный браузер устройства. В случае использования других векторов атаки (получение SMS или MMS, просмотр электронной почты и т. п.) участник указывает на это в заявке при регистрации.
Все программное и аппаратное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.
Эксплуатация уязвимостей уровня ядра: правила конкурса
Каждый участник получает возможность продемонстрировать эксплуатацию уязвимость уровня ядра операционной системы. Эксплойт, предложенный претендентом, должен давать непривилегированному пользователю возможность повысить свои привилегии в системе до уровня суперпользователя.
В каждом раунде атака осуществляется на одну из указанных платформ; организаторы конкурса запускают исполняемый файл, предоставленный участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является изменение участником уровня привилегий с непривилегированного пользователя — до максимально возможного в системе. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющие на степень риска согласно методике CVSS).
Используемые платформы
Первый раунд:
Windows 7 Service Pack 1 (x64);
Windows Server 2008 SP2 (x64);
Debian Linux 3.3.5;
FreeBSD 9.0;
OpenBSD 5.1;
OS X 10.7.4.
Второй раунд:
Windows 7 Service Pack 1 (x86);
Windows Server 2003 SP2;
Windows XP SP3 (x86);
Debian Linux 2.6.32-45;
FreeBSD 8.0;
OpenBSD 5.0;
OS X 10.7.1.
Третий раунд: набор платформ идентичен таковому для первого раунда. Возможно использование популярного ПО для обеспечения безопасности (антивирусов, HIPS, и т. п.) стороннего производителя (обсуждается с организаторами при регистрации на конкурс).
Условия участия
К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника и платформу, выбранную в качестве цели атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность.
Призы
I место — 75 000 руб.
II место — 50 000 руб.
III место — 30 000 руб.
В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).
Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.
Технические детали
Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация публикуется на сайте форума PHDays по адресу http://www.phdays.ru). После каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все программное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно.
Чтобы ответственно подойти к разглашению информации, можно:
связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
передать информацию об уязвимостях в CERT ( https://www.cert.org );
передать сведения об уязвимостях через UpSploit ( https://www.upsploit.com );
передать описание уязвимостей, приняв участие в одной из официальных программ вознаграждения за найденные уязвимости, например в Zero Day Initiative ( http://www.zerodayinitiative.com/ ).