CTF на РусКрипто’2010

Ассоциация "РусКрипто" приглашает принять участие в соревновании студенческих команд "РусКрипто CTF'2010", проводимом в рамках конференции 3-го апреля 2010 года. Организаторы соревнований ассоциация "РусКрипто", компания Positive Technologies и НОУ "Академия Информационных Систем".

РусКрипто CTF — это всероссийские соревнования по защите информации, проводимые по принципам игры в capture the flag (захват флага). В начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов, выполняющих определенные функции и содержащие предустановленные уязвимости. Помимо уязвимостей, содержащихся в "самописных" сервисах, информационная среда команд соперников содержит распространенные уязвимости, характерные для реальных информационных систем: слабые пароли, публичные уязвимости в ОС/сервисах, недостатки администрирования, реальные уязвимости Web-приложениях (таких, как популярные CMS). В процессе соревнований в среде производятся подготовленные организаторами изменения, которые в свою очередь могут синхронно вносить дополнительные уязвимости в среду функционирования сервисов команд.


Задача участников — выявлять уязвимости, устранять их на своих серверах, не нарушая функционирование приложений, и использовать аналогичные уязвимости на серверах команд противников для получения секретной информации (флагов). За процессом игры непрерывно следит жюри соревнования, регулярно помещая новые флаги и уязвимости на серверы команд, и отслеживая наличие ранее установленных флагов и выполнения своих функций уязвимыми сервисами. Кроме того, система принимает от команд флаги, захваченные у соперников, а также рекомендации по устранению найденных уязвимостей и описание способов их использования (advisories).

Требования к командам участников:

- Команда должна состоять не более чем из 5 человек, один из которых является капитаном команды;
- Все члены команды должны быть учащимися ВУЗов;
- Команды должны использовать собственные компьютеры (например, ноутбуки) для решения заданий.

Желающие принять участие в соревновании РусКрипто'2010 CTF могут отправить заявку в свободной форме на электронный ящик – ctf@ruscrypto.ru

При отправке заявки необходимо указать ФИО каждого из участников, а также удобные способы связи (email, мобильный телефон). Заявки на участие принимаются до 28 февраля.

Если число команд превысит требуемое количество, организаторы проведут отборочный турнир между заявленными участниками за месяц до начала мероприятия.

Дополнительная информация для участников

Баллы начисляются за:
  • поддержание своих сервисов в рабочем состоянии;
  • отправку уведомлений об уязвимостях и способах их устранения (advisories) – оценивается также полнота уведомления и наличие кода, демонстрирующего эксплуатацию обнаруженной уязвимости (proof of concept, POC);
  • отправку флагов, захваченных с сервисов команд-соперников;
  • устранение уязвимостей на предоставленных серверах, не нарушая функций, выполняемых уязвимыми сервисами;
а также особым решением жюри.

Правила проведения

1. Общие разрешения

Во время игры команды могут:
  • использовать любое количество компьютеров и сетевого оборудования не ниже второго уровня стека ISO OSI;
  • вносить любые изменения в предоставленные им серверы, если это прямо не запрещено жюри;
  • проводить атаки на сервера команд соперников с целью захвата флагов.
2. Общие запреты

Во время игры командам запрещается:
  • проводить атаки на компьютеры жюри;
  • осуществлять фильтрацию трафика к любым ресурсам CTF (например, по ip-адресам);
  • генерировать неоправданно большой объем трафика (флуд);
  • проводить деструктивные атаки на серверы команд-соперников (например, rm –rf /);
  • преднамеренно нарушать нормальное функционирование сервисов более чем на пять минут в течение двух часов;
  • удалять флаги с предоставленных серверов и на серверах команд соперников;
  • осуществлять указанные выше действия от имени команд-соперников.
3. Работа жюри
  • Жюри может уточнить правила в любой момент до начала игры;
  • Жюри может оштрафовать/дисквалифицировать команду за нарушение правил;
  • Жюри определяет победителя, основываясь на баллах.

Возможные уязвимости подготавливаемых сервисов на РусКрипто CTF:

1. Уязвимости Web-приложений
- Ошибки в реализации функций аутентификации;
- Ошибки в реализации функций авторизации и разграничения доступа;
- Атаки на клиентов Web-приложения (включая Cross-Site Scripting и Cross-Site Request Forgery);
- Уязвимости, приводящие к выполнению кода (включая SQL Injection, OS Commanding, XML Injection);
- Разглашение чувствительной информации;
- Ошибки в реализации логики системы;
- Ошибки в настройке приложений и серверов.

2. Уязвимости сетевых сервисов
- Ошибки в реализации функций аутентификации;
- Ошибки в реализации функций авторизации и разграничения доступа;
- Уязвимости, приводящие к выполнению кода (включая переполнение буфера, стека и т.д.);
- Уязвимости криптографической защиты;
- Ошибки в реализации логики системы.

3. Уязвимости приложений и сценариев автоматизации функций администрирования
- Ошибки в реализации функций аутентификации;
- Ошибки в реализации функций авторизации и разграничения доступа;
- Уязвимости, приводящие к выполнению кода (включая переполнение буфера, стека и т.д.);
- Уязвимости криптографической защиты;
- Ошибки в реализации логики системы.

Возможные уязвимости среды на РусКрипто CTF:

1. Уязвимости Web-приложений
- Ошибки в реализации функций аутентификации;
- Ошибки в реализации функций авторизации и разграничения доступа;
- Разглашение чувствительной информации;
- Ошибки в настройке приложений и серверов.

2. Уязвимости сетевых сервисов
- Публичные уязвимости для удаленной эксплуатации;
- Ошибки администрирования;
- Использование не стойких паролей.

3. Уязвимости установленных приложений
- Публичные уязвимости для локальной эксплуатации (повышение привилегий и пр.);
- Ошибки администрирования;
- Использование не стойких паролей.

4. Уязвимости беспроводных сетей
- Несанкционированные точки доступа;
- Уязвимости в конфигурации настроек беспроводного доступа.

12 комментариев :

  1. Классно! Мы тоже как то на одном портале хотели сыграться в подобное, да потом забили на тему, а так это фантастично вообще. Пахнет адреналином.

    ОтветитьУдалить
  2. Еще вот советую поучаствовать: http://touzoku-security.blogspot.com/2010/02/ructf-2010-quals.html

    Для разминки мозгов. Я думаю будет даже поинтересней, чем РусКрипто CTF :)

    ОтветитьУдалить
  3. Touzoku, а почему думаешь, что ructf будет поинтересней?:)

    ОтветитьУдалить
  4. Чистое имхо :) Не сомневаюсь, что у вас будет тоже круто. Просто Хакердом уже много лет организует и участвует в CTF, правда с организацией у них до сих пор проблемы.

    ОтветитьУдалить
  5. >> Не сомневаюсь, что у вас будет тоже круто

    так и будет :)

    >> Просто Хакердом уже много лет организует и участвует в CTF

    а мы, так сказать, с новыми идеями и все такое ;)

    ОтветитьУдалить
  6. Не увидел в описании очное или удаленное участие команд планируется?

    > Атаки на клиентов Web-приложения (включая Cross-Site Scripting и Cross-Site Request Forgery);
    Интересно как это будет проделано в рамках CTF

    ОтветитьУдалить
  7. Алексей, участие очное 3-го апреля 2010 года на площадке РусКрипто. CTF будет проходить параллельно выступлениям на мероприятии.

    >> XSS, CSRF. Интересно как это будет проделано в рамках CTF

    обратите внимание на "Возможные уязвимости" т.е. тут перечислены уязвимости, которые могут быть реализованы. Это сделано для того, чтобы участники были готовы, например к "4. Уязвимости беспроводных сетей".

    Что же касается реализации XSS, CSRF, то никаких трудностей в этом не вижу. И думаю, что подобные уязвимости будут присутствовать для захвата флагов ;) Кроме того, за их нахождение, написание адвизори и устранение будут начисляться соответствующие баллы.

    ОтветитьУдалить
  8. А может добавить гостевое участие "не в зачет" для не вузовских команд?

    ОтветитьУдалить
  9. Гордейчик зануда разрешает только студентам. боитсо конкуренции:)))

    Ну, а если серьезно, просто не вытянем по бюджету и ресурсам.

    ОтветитьУдалить
  10. Круто! Еще одна точка роста CTF-а в России.

    Осталась неясность с регистрацией. Участие в самой конференции сильно не бесплатное. А за CTF студентам все равно придется выложить по 10000р. с носу?

    ОтветитьУдалить
  11. >> А за CTF студентам все равно придется выложить по 10000р. с носу?

    Нет, расходы пребывания команд в день соревнований CTF, а именно трансферт 3.04 Москва-пансионат "Солнечная поляна" и обратно, материалы конференции, питание по программе - для участников команд CTF бесплатно :)

    ОтветитьУдалить