HackBattle 2.0-Wettbewerb bei Positive Hack Days: Wie die Schulcafeteria ICO angegriffen wurde

Im vergangenen Mai fand an den Positive Hack Days VII erstmals der HackBattle-Wettbewerb statt. Unser Stand zog viel Aufmerksamkeit auf sich. Dann nahmen fast 100 Experten für Informationssicherheit an dem Wettbewerb teil, und so viele Zuschauer kamen, um das Finale in der großen Halle zu verfolgen, dass es unmöglich war, auf die Bühne zu kommen (weitere Einzelheiten siehe Bericht des letzten Jahres). Aufgrund des großen Interesses der Fachwelt haben wir uns entschlossen, HackBattle 2.0 an PHDays 8 abzuhalten. Wir erzählen Ihnen, wie der Wettbewerb in diesem Jahr verlaufen ist, und veröffentlichen auch die Aufgaben des Wettbewerbs, damit Sie versuchen können, sie zu lösen.

Format und Regeln des Wettbewerbs

Während der PHDays fanden Wettbewerbe statt. Am ersten Tag gab es Auswahltests: Wir haben die beiden mächtigsten, mutigsten und mutigsten Kandidaten ausgewählt, die die meisten Aufgaben in kürzester Zeit gelöst haben. Der letzte Tag fand am zweiten Tag auf der Hauptbühne des Forums statt: Hacker mussten dasselbe Ziel angreifen. Der Sieg wurde dem ersten gegeben, der in der Lage war, die Privilegien des Zielsystems zu durchbrechen und zu erhöhen. In Echtzeit wurde das Finale von Experten für Informationssicherheit kommentiert und die hellsten Momente auf einem großen Bildschirm angezeigt.

Auswahl

Wie vor einem Jahr haben wir im Qualifying die Teilnehmer eingeladen, Probleme mit dem CTF-Format aus Geschwindigkeitsgründen zu lösen. Es gab 35 Minuten, um 10 Probleme zu lösen. Für jede Aufgabe wurde je nach Komplexität eine bestimmte Anzahl von Punkten vergeben. Es war nur einmal möglich, an der Auswahl teilzunehmen.

Diesmal haben wir die Wünsche der Teilnehmer des ersten HackBattle berücksichtigt und die Möglichkeit geboten, nicht nur an vorbereiteten Workstations, sondern auch an unseren Laptops zu arbeiten.



Ein separater Tisch mit Blackjack und Patchkabeln für diejenigen, die mit Laptops kamen



Qualifikationstestteilnehmer

Es war nicht einfach, Leute zu identifizieren, die das Finale erreichen und in der Lage sein werden, die Lösung des Problems unter dem Druck der Aufmerksamkeit des Publikums angemessen zu bewältigen. Bis zum Ende der Vorbereitungen war absolut unklar, wer der Finalist sein würde - der Kampf war sehr scharf. Der Unterschied zwischen den Führenden des Scorboards betrug nur 50-100 Punkte, und in Fällen, in denen die Punktzahl gleich war, nur wenige Sekunden! Und erst um sechs Uhr abends konnten wir nach Abschluss der Qualifikationswettbewerbe die Finalisten ermitteln: Vladislav „W3bPwn3r“ Lazarev und Arthur „inviz @ penis“ Khashaev.



Rangliste



Vom W3bPwn3r-Finalisten gelöste Aufgaben


Aufgaben gelöst vom Finalisten inviz @ penis

Finale

Am 16. Mai, genau um 14.00 Uhr, fand das Finale von HackBattle 2.0 auf der Hauptbühne in der Kongresshalle statt. Wie vor einem Jahr wurde alles, was auf Hacker-Monitoren passiert, auf die Leinwand gestreamt und von Positive Technologies kommentiert. Zur Vereinfachung des Publikums wurde der Monitor jedes Finalisten separat auf den Bildschirmen von Fernsehgeräten an den Seiten der Hauptbühne dupliziert.



Schlacht der Stärksten

Als letzten Test haben wir die Teilnehmer eingeladen, dasselbe Ziel anzugreifen: In diesem Jahr war der Server, auf dem sich die Schulcafeteria ICO befand, Opfer von Hackern.



ICO-Website der Schulcafeteria

Der Legende nach sollten Hacker in der Lage sein, die Brieftasche auf der Hauptseite der Website vor Beginn der Vorverkaufsphase des ICO durch eine andere zu ersetzen (Sie können die Aufgabe am Ende des Artikels herunterladen). Beachten Sie, dass das Problem aus mehreren Phasen bestand und auf verschiedene Arten gelöst werden konnte.

In den letzten sechs Monaten haben Experten von Positive Technologies viele ICO-Pentests durchgeführt und in jedem Projekt Schwachstellen mit unterschiedlichem Gefährdungsgrad festgestellt. Informationen über den Kompromiss von ICOs erscheinen zunehmend in den Medien. Es ist offensichtlich, dass in diesem Bereich das Thema Informationssicherheit noch keine Priorität hat. Wir haben beschlossen, das Finale diesem Thema zu widmen, um auf die Sicherheit von Kryptowährungsdiensten aufmerksam zu machen.

Der Kampf dauerte 20 Minuten (die Vollversion des Finales kann wie andere Videomaterialien der Konferenz auf der PHDays-Website unter phdays.com/broadcast/ eingesehen werden ). Der Sieg in einem angespannten Kampf wurde von Vladislav „W3bPwn3r“ Lazarev errungen, der als erster die Aufgabe erledigte.



Gewinner - Vladislav Lazarev

Nach dem Wettbewerb sprachen wir mit den Finalisten und erfuhren von ihren Eindrücken.

„Zunächst möchte ich den hohen Grad an Infrastrukturorganisation und die Qualität der Aufgaben selbst hervorheben. Diese Aufmerksamkeit wurde von einer großen Anzahl von Menschen angenehm überrascht, obwohl es sich als viel schwieriger herausstellte, scheinbar übliche Aktionen auszuführen, wenn die Menge auf Ihren Monitor schaut. Es würde mehr Spaß machen, wenn die Qualifikation im gleichen Format wie das Finale stattfinden würde “, sagte Vladislav Lazarev .

"HackBattle ist definitiv das gleiche Ereignis, das es uns ermöglicht hat, während der Konferenz aufzurütteln", sagte Arthur Khashaev . - Von Überraschungen: In der letzten Runde funktionierte das Internet nicht sofort, ich musste einige Zeit damit verbringen, ein Zertifikat von einem Proxy zu importieren. Gleichzeitig wurde der Standort der ICO-Schulkantine berühmt. "Ich möchte besonders die Arbeit von Kommentatoren erwähnen, die diesen Kampf wirklich dynamisch gemacht haben und das Publikum nicht gelangweilt haben."

Die technischen Nuancen der Organisation des Streams, der Bedienung des Scorboards und der Synchronisierung mit den von den Organisatoren bereitgestellten Arbeitsstationen werden im Blog von Anatoly Ivanov beschrieben .


Autoren : Dmitry Galecha, Anatoly Ivanov, Alexander Morozov, Positive Technologies.