Concurso HackBattle 2.0 en Positive Hack Days: cómo fue atacada la cafetería de la escuela ICO

El pasado mes de mayo, Positive Hack Days VII fue el anfitrión de la competencia HackBattle por primera vez. Nuestro stand atrajo mucha atención de la audiencia. Luego, casi 100 expertos en seguridad de la información participaron en la competencia, y tantos espectadores vinieron a ver la final en el gran salón que fue imposible subir al escenario (para más detalles, ver el informe del año pasado). Animados por el interés de la comunidad profesional, decidimos celebrar HackBattle 2.0 en PHDays 8. Te contamos cómo fue la competencia este año y también publicamos las tareas de la competencia para que puedas tratar de resolverlas.

Formato y reglas del concurso.

Las competiciones se llevaron a cabo durante los PHDays. El primer día hubo pruebas de selección: seleccionamos a los dos candidatos más poderosos, valientes y valientes que resolvieron la mayoría de las tareas en el menor tiempo. El último día tuvo lugar en el escenario principal del foro el segundo día: los piratas informáticos tuvieron que atacar al mismo objetivo. La victoria se le otorgó al primero en poder abrirse paso y aumentar los privilegios en el sistema de destino. En tiempo real, el final fue comentado por expertos en seguridad de la información, y los momentos más brillantes se mostraron en una pantalla grande.

Selección

Como hace un año, en la etapa de calificación, invitamos a los participantes a resolver problemas de formato CTF para la velocidad. Hubo 35 minutos para resolver 10 problemas. Para cada tarea, se otorgó un cierto número de puntos dependiendo de la complejidad. Fue posible participar en la selección solo una vez.

Esta vez tomamos en cuenta los deseos de los participantes de la primera HackBattle y brindamos la oportunidad de trabajar no solo en estaciones de trabajo preparadas, sino también en nuestras computadoras portátiles.



Una mesa separada con blackjack y cables de conexión para aquellos que vinieron con computadoras portátiles



Participantes de la prueba de calificación

No fue fácil identificar a las personas que llegarán a la final y que podrán hacer frente adecuadamente a la solución del problema bajo la presión de la atención de la audiencia. Hasta el final de los preliminares, no estaba absolutamente claro quién sería el finalista: la lucha fue muy aguda. La diferencia entre los líderes del tablero fue de solo 50-100 puntos, y en los casos en que el puntaje fue igual, ¡solo unos segundos! Y solo a las seis de la tarde, después de haber cerrado las competiciones clasificatorias, pudimos determinar los finalistas: eran Vladislav "W3bPwn3r" Lazarev y Arthur "inviz @ penis" Khashaev.



Posiciones



Tareas resueltas por el finalista de W3bPwn3r


Tareas resueltas por el finalista inviz @ penis

Final

El 16 de mayo, exactamente a las 2:00 p.m., la final de HackBattle 2.0 tuvo lugar en el escenario principal de la sala de congresos. Como hace un año, todo lo que sucede en los monitores de piratas informáticos se transmitió a la pantalla grande y fue comentado por Positive Technologies. Para conveniencia de la audiencia, el monitor de cada uno de los finalistas se duplicó por separado en las pantallas de televisores que se encuentran a los lados del escenario principal.



Batalla de los más fuertes

Como prueba final, invitamos a los participantes a atacar el mismo objetivo: este año, el servidor que albergaba la cafetería de la escuela ICO fue víctima de piratas informáticos.



Sitio web de ICO de la cafetería de la escuela.

Según la leyenda, los piratas informáticos deberían poder reemplazar la billetera en la página principal del sitio con cualquier otra antes del inicio de la fase de preventa de la ICO (puede descargar la tarea al final del artículo). Tenga en cuenta que el problema consistió en varias etapas y podría resolverse de varias maneras.

Durante los últimos seis meses, los expertos de Positive Technologies llevaron a cabo muchos pentests de ICO y encontraron vulnerabilidades de diversos grados de peligro en cada proyecto. La información sobre el compromiso de las ICO aparece cada vez más en los medios. Es obvio que en esta área el tema de la seguridad de la información claramente todavía no es una prioridad. Decidimos dedicar la final a este tema para llamar la atención sobre la seguridad de los servicios de criptomonedas.

La pelea duró 20 minutos (la versión completa de la final, así como otros materiales de video de la conferencia, se pueden ver en el sitio web de PHDays : phdays.com/broadcast/ ). La victoria en una batalla tensa fue ganada por Vladislav "W3bPwn3r" Lazarev, quien fue el primero en completar la tarea.



Ganador - Vladislav Lazarev

Después del concurso, hablamos con los finalistas y descubrimos sus impresiones.

“En primer lugar, quiero señalar el alto nivel de organización de la infraestructura y la calidad de las tareas mismas. Una gran cantidad de personas sorprendió gratamente esta atención, aunque resultó ser mucho más difícil llevar a cabo acciones aparentemente habituales cuando la multitud mira su monitor. Sería más divertido si la etapa de clasificación se llevara a cabo en el mismo formato que la final ”, dijo Vladislav Lazarev .

"HackBattle es definitivamente el mismo evento que nos permitió sacudirnos durante la conferencia", dijo Arthur Khashaev . - De sorpresas: en la ronda final, Internet no funcionó de inmediato, tuve que pasar algún tiempo importando un certificado desde un proxy. Al mismo tiempo, el sitio del comedor escolar ICO se hizo famoso. "Quiero destacar especialmente el trabajo de los comentaristas que hicieron esta batalla verdaderamente dinámica y no dejaron que la audiencia se aburriera".

Los matices técnicos de la organización de la transmisión, el funcionamiento del tablero y su sincronización con las estaciones de trabajo proporcionadas por los organizadores se describen en el blog de Anatoly Ivanov .


Autores : Dmitry Galecha, Anatoly Ivanov, Alexander Morozov, Tecnologías positivas.