Kontes HackBattle 2.0 di Positive Hack Days: bagaimana kantin sekolah ICO diserang

Mei lalu, Positive Hack Days VII menjadi tuan rumah kompetisi HackBattle untuk pertama kalinya. Gerai kami menarik banyak perhatian penonton. Kemudian hampir 100 pakar keamanan informasi ikut serta dalam kompetisi, dan begitu banyak penonton datang untuk menyaksikan final di aula besar sehingga tidak mungkin untuk maju ke panggung (untuk lebih jelasnya, lihat laporan tahun lalu). Didorong oleh minat dari komunitas profesional, kami memutuskan untuk mengadakan HackBattle 2.0 di PHDays 8. Kami memberi tahu Anda bagaimana kompetisi berlangsung tahun ini, dan juga menerbitkan tugas-tugas dari kompetisi sehingga Anda dapat mencoba menyelesaikannya.

Format dan aturan kompetisi

Kompetisi diadakan sepanjang PHDays. Pada hari pertama ada tes seleksi: kami memilih dua kandidat yang paling kuat, berani, dan berani yang menyelesaikan sebagian besar tugas dalam waktu singkat. Hari terakhir terjadi di panggung utama forum pada hari kedua: peretas harus menyerang target yang sama. Kemenangan diberikan kepada yang pertama untuk dapat menerobos dan meningkatkan hak istimewa pada sistem target. Dalam waktu nyata, penutup itu dikomentari oleh para pakar keamanan informasi, dan momen-momen paling terang ditunjukkan pada layar besar.

Seleksi

Seperti setahun yang lalu, pada tahap kualifikasi, kami mengundang para peserta untuk memecahkan masalah format CTF untuk kecepatan. Ada 35 menit untuk menyelesaikan 10 masalah. Untuk setiap tugas, sejumlah poin diberikan berdasarkan kompleksitasnya. Itu mungkin untuk berpartisipasi dalam seleksi hanya sekali.

Kali ini kami mempertimbangkan keinginan para peserta HackBattle pertama dan memberikan kesempatan untuk bekerja tidak hanya pada workstation yang sudah disiapkan sebelumnya, tetapi juga pada laptop kami.



Meja terpisah dengan blackjack dan kabel patch untuk mereka yang datang dengan laptop



Peserta Tes Kualifikasi

Itu tidak mudah untuk mengidentifikasi orang-orang yang akan mencapai final dan yang akan mampu secara memadai mengatasi solusi dari masalah di bawah tekanan dari perhatian penonton. Sampai akhir babak penyisihan, sama sekali tidak jelas siapa yang akan menjadi finalis - perjuangannya sangat tajam. Perbedaan antara para pemimpin papan skor hanya 50-100 poin, dan dalam kasus di mana skornya sama, hanya beberapa detik! Dan hanya pada pukul enam sore, setelah menutup kompetisi kualifikasi, kami dapat mengidentifikasi para finalis: mereka adalah Vladislav "W3bPwn3r" Lazarev dan Arthur "inviz @ penis" Khashaev.



Klasemen



Tugas Dipecahkan oleh Finalis W3bPwn3r


Tugas diselesaikan oleh finalis inviz @ penis

Terakhir

Pada 16 Mei, tepat pukul 2:00 malam, final HackBattle 2.0 berlangsung di panggung utama di gedung kongres. Seperti setahun yang lalu, semua yang terjadi pada monitor hacker dialirkan ke layar lebar dan dikomentari oleh Positive Technologies. Demi kenyamanan para penonton, monitor masing-masing finalis digandakan secara terpisah di layar televisi yang berdiri di sisi panggung utama.



Pertempuran terkuat

Sebagai ujian terakhir, kami mengundang para peserta untuk menyerang target yang sama: tahun ini, server yang menjadi tuan rumah kafetaria sekolah ICO adalah korban peretas.



Situs web ICO dari kafetaria sekolah

Menurut legenda, peretas harus dapat mengganti dompet di halaman utama situs dengan yang lain sebelum dimulainya fase presale dari ICO (Anda dapat mengunduh tugas di akhir artikel). Perhatikan bahwa masalahnya terdiri dari beberapa tahap dan dapat diselesaikan dengan berbagai cara.

Selama enam bulan terakhir, para pakar Teknologi Positif melakukan banyak uji coba ICO dan menemukan kerentanan berbagai tingkat bahaya di setiap proyek. Informasi tentang kompromi ICO semakin muncul di media. Jelas bahwa di bidang ini masalah keamanan informasi jelas belum menjadi prioritas. Kami memutuskan untuk mendedikasikan final untuk topik ini untuk menarik perhatian pada keamanan layanan cryptocurrency.

Pertarungan berlangsung 20 menit (versi lengkap dari final, serta materi video lainnya dari konferensi, dapat dilihat di situs web PHDays - phdays.com/en/broadcast/ ). Kemenangan dalam pertempuran yang tegang dimenangkan oleh Vladislav "W3bPwn3r" Lazarev, yang merupakan orang pertama yang menyelesaikan tugas.



Pemenang - Vladislav Lazarev

Setelah kontes, kami berbicara dengan para finalis dan mengetahui tentang kesan mereka.

“Pertama-tama, saya ingin mencatat tingkat tinggi infrastruktur organisasi dan kualitas tugas itu sendiri. Perhatian ini sangat dikejutkan oleh sejumlah besar orang, meskipun ternyata jauh lebih sulit untuk melakukan tindakan yang tampak biasa ketika kerumunan melihat monitor Anda. Akan lebih menyenangkan jika tahap kualifikasi diadakan dalam format yang sama dengan final, ”kata Vladislav Lazarev .

"HackBattle jelas merupakan acara yang sama yang memungkinkan kami untuk bergetar selama konferensi," kata Arthur Khashaev . - Dari kejutan: di babak final, Internet tidak berfungsi segera, saya harus meluangkan waktu mengimpor sertifikat dari proxy. Pada saat yang sama, situs kantin sekolah ICO dibuat terkenal. "Saya ingin secara khusus memperhatikan karya komentator yang membuat pertempuran ini benar-benar dinamis dan tidak membuat penonton bosan."

Nuansa teknis organisasi aliran, pengoperasian papan skor dan sinkronisasi dengan workstation yang disediakan oleh panitia dijelaskan dalam blog Anatoly Ivanov .


Penulis : Dmitry Galecha, Anatoly Ivanov, Alexander Morozov, Teknologi Positif.