Подробные правила конкурса Hack2Own на PHDays 2012

image

Теги: positive technologies, PHDays

Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.

Все меньше времени остается до Positive Hack Days 2012, в разгаре онлайн-конкурсы, в которых разыгрываются инвайты. Однако на самой площадке форума в техноцентре Digital October тоже будет происходить много всего интересного. Одним из гвоздей конкурсной программы станет легендарный конкурс Hack2Own.

В 2011 году, продемонстрировав уязвимость нулевого дня (CVE-2011-0222) в последней на тот момент версии интернет-браузера Safari для Windows , призерами соревнования Hack2Own стали Никита Тараканов и Александр Бажанюк — представители компании CISSRT, которые и получили главный приз — ноутбук и 50 тыс. руб. В этом году бюджет конкурса значительно увеличен и составит более 20 000 $. Победителям будет чем заполнить новенькие кейсы :)

Конкурс делится на три категории: эксплуатация уязвимостей браузера, эксплуатация уязвимостей мобильных устройств и эксплуатация уязвимостей уровня ядра. Под катом подробные правила участия в соревновании.

Внимание! Для участия в конкурсе необходим ноутбук.

Зачем нам это?

Мы просто хотим сделать мир безопасней. Мы стремимся поддерживать ответственный подход к разглашению информации о найденных уязвимостях. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя программного обеспечения.

Взлом веб-браузеров: правила проведения конкурса

В каждом раунде атака осуществляется на один из указанных браузеров; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является контролируемый участником запуск приложения в операционной системе путем проведения удаленной атаки клиента. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Программное обеспечение, предлагаемое для эксплуатации

Первый раунд: Microsoft Internet Explorer 9, Google Chrome 19.0.1084, Mozilla Firefox 12.

Второй раунд: Microsoft Internet Explorer 8/9, Mozilla Firefox 10/11/12, Google Chrome 16/17/18/19, Opera 11/12, Apple Safari 5.0/5.1.1/5.1.2.

В третьем раунде допускается эксплуатация последних версий типовых сторонних компонентов для браузеров: Adobe Flash Player (11.2.202.235), Adobe Reader (10.1.3), Java (7 update 4). Перечень браузеров идентичен таковому во втором раунде.

Используемые платформы

Первый раунд — Windows 7 Service Pack 1 (x64). Второй и третий раунды: Windows 7 Service Pack 1 (x64/x86) и Windows XP SP3 (x86).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, название браузера, выбранного в качестве цели атаки, используемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы
I место — 137 000 руб.
II место — 75 137 руб.
III место — 50 137 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Окончательно решение о версиях программного обеспечения, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия. Соответствующая информация публикуется на сайте форума PHD по адресу http://www.phdays.ru. После проведения каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все ПО, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Взлом мобильных устройств: правила

Атака на одно устройство осуществляется за один раунд с использованием одного вектора атаки; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. После каждой попытки эксплуатации уязвимости операционная система восстанавливается в первоначальное состояние. Критерием успеха является контролируемый участником запуск приложения на устройстве путем проведения удаленной сетевой атаки. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Условия участия

К конкурсу допускаются участники, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, операционную систему, выбранную в качестве цели атаки, тип устройства (планшет или смартфон) и планируемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы
I место — 137 000 руб.
II место — 75 137 руб. + iPhone 4S
III место — 50 137 руб.

В случае если на определенное место претендуют нескольку участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное. Кроме того, все участники получат ценные призы и подарки от организаторов форума, компании Positive Technologies, и спонсоров мероприятия.

Используемые платформы

Первый раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4.

Второй раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4 + популярное ПО стороннего производителя (обсуждается с организаторами при регистрации на конкурс).

Третий раунд: планшет или смартфон с iOS 5.0, планшет с Android 3.0, смартфон с Android 2.3.

Технические детали

Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация об этом публикуется на сайте форума PHDays по адресу http://www.phdays.ru). Для участия в конкурсе используются устройства в стандартной конфигурации «из коробки» — за исключением настроек, необходимых для организации сетевого подключения. После проведения каждой попытки эксплуатации уязвимости устройство перезагружается и возвращается в начальное состояние.

Обычным вектором атаки является посещение специально сформированного сайта через стандартный браузер устройства. В случае использования других векторов атаки (получение SMS или MMS, просмотр электронной почты и т. п.) участник указывает на это в заявке при регистрации.

Все программное и аппаратное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Эксплуатация уязвимостей уровня ядра: правила конкурса

Каждый участник получает возможность продемонстрировать эксплуатацию уязвимость уровня ядра операционной системы. Эксплойт, предложенный претендентом, должен давать непривилегированному пользователю возможность повысить свои привилегии в системе до уровня суперпользователя.
В каждом раунде атака осуществляется на одну из указанных платформ; организаторы конкурса запускают исполняемый файл, предоставленный участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является изменение участником уровня привилегий с непривилегированного пользователя — до максимально возможного в системе. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющие на степень риска согласно методике CVSS).

Используемые платформы

Первый раунд:
                Windows 7 Service Pack 1 (x64);
                Windows Server 2008 SP2 (x64);
                Debian Linux 3.3.5;
                FreeBSD 9.0;
                OpenBSD 5.1;
                OS X 10.7.4.
Второй раунд:
                Windows 7 Service Pack 1 (x86);
                Windows Server 2003 SP2;
                Windows XP SP3 (x86);
                Debian Linux 2.6.32-45;
                FreeBSD 8.0;
                OpenBSD 5.0;
                OS X 10.7.1.

Третий раунд: набор платформ идентичен таковому для первого раунда. Возможно использование популярного ПО для обеспечения безопасности (антивирусов, HIPS, и т. п.) стороннего производителя (обсуждается с организаторами при регистрации на конкурс).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника и платформу, выбранную в качестве цели атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность.

Призы

I место — 75 000 руб.
II место — 50 000 руб.
III место — 30 000 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Окончательно решение о версиях ПО, которое будет использоваться для проведения конкурса, принимается не менее чем за две недели до начала мероприятия (информация публикуется на сайте форума PHDays по адресу http://www.phdays.ru). После каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все программное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно.

Чтобы ответственно подойти к разглашению информации, можно:

  • связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
  • передать информацию об уязвимостях в CERT (https://www.cert.org);
  • передать сведения об уязвимостях через UpSploit (https://www.upsploit.com);
  • передать описание уязвимостей, приняв участие в одной из официальных программ вознаграждения за найденные уязвимости, например в Zero Day Initiative (http://www.zerodayinitiative.com/).

или введите имя

CAPTCHA