Concurso HackBattle 2.0 no Positive Hack Days: como a cafeteria da escola foi atacada

Em maio passado, o Positive Hack Days VII sediou a competição HackBattle pela primeira vez. Nosso estande atraiu muita atenção do público. Em seguida, quase 100 especialistas em segurança da informação participaram da competição, e tantos espectadores assistiram à final no grande salão que era impossível entrar no palco (para mais detalhes, consulte o relatório do ano passado). Encorajados por esse interesse da comunidade profissional, decidimos hospedar o HackBattle 2.0 no PHDays 8. Contamos como foi a competição este ano e também publicamos as tarefas da competição para que você possa resolvê-las.

Formato e regras da competição

Competições foram realizadas ao longo dos PHDays. No primeiro dia, houve testes de seleção: selecionamos os dois candidatos mais poderosos, corajosos e corajosos que resolveram a maioria das tarefas no menor tempo possível. O último dia ocorreu no palco principal do fórum no segundo dia: os hackers tiveram que atacar o mesmo alvo. A vitória foi dada ao primeiro a ser capaz de romper e aumentar os privilégios no sistema de destino. Em tempo real, o final foi comentado por especialistas em segurança da informação e os momentos mais brilhantes foram mostrados em uma tela grande.

Selecção

Há um ano, na fase de qualificação, convidamos os participantes a resolver problemas de formato CTF com rapidez. Foram 35 minutos para resolver 10 problemas. Para cada tarefa, um certo número de pontos foi concedido dependendo da complexidade. Foi possível participar da seleção apenas uma vez.

Desta vez, levamos em consideração os desejos dos participantes do primeiro HackBattle e proporcionamos a oportunidade de trabalhar não apenas em estações de trabalho pré-preparadas, mas também em nossos laptops.



Uma mesa separada com blackjack e patch cords para quem veio com laptops



Participantes no teste de qualificação

Não foi fácil identificar pessoas que chegarão às finais e que serão capazes de lidar adequadamente com a solução do problema sob pressão da atenção do público. Até o final das preliminares, não estava absolutamente claro quem seria o finalista - a luta foi muito acentuada. A diferença entre os líderes do placar foi de apenas 50-100 pontos e, nos casos em que a pontuação foi igual, apenas alguns segundos! E apenas às seis horas da noite, fechando as competições classificatórias, conseguimos determinar os finalistas: eles eram Vladislav "W3bPwn3r" Lazarev e Arthur "inviz @ penis" Khashaev.



Classificação



Tarefas resolvidas pelo finalista do W3bPwn3r


Tarefas resolvidas pelo finalista inviz @ penis

Final

No dia 16 de maio, exatamente às 14h, a final do HackBattle 2.0 ocorreu no palco principal do salão de congressos. Há um ano, tudo o que acontece nos monitores de hackers foi transmitido para a tela grande e comentado pela Positive Technologies. Para maior comodidade do público, o monitor de cada um dos finalistas foi duplicado separadamente nas telas das televisões nas laterais do palco principal.



Batalha dos mais fortes

Como teste final, convidamos os participantes a atacar o mesmo objetivo: este ano, o servidor que hospedava a cafeteria da escola ICO foi vítima de hackers.



Site da OIC da lanchonete da escola

Segundo a lenda, os hackers devem poder substituir a carteira na página principal do site por qualquer outra antes do início da fase de pré-venda da OIC (você pode fazer o download da tarefa no final do artigo). Observe que o problema consistia em várias etapas e poderia ser resolvido de várias maneiras.

Nos últimos seis meses, os especialistas da Positive Technologies conduziram muitos protestos da OIC e encontraram vulnerabilidades de vários graus de perigo em cada projeto. As informações sobre o compromisso das OICs estão aparecendo cada vez mais na mídia. É óbvio que nesta área a questão da segurança da informação ainda não é uma prioridade. Decidimos dedicar a final a este tópico para chamar a atenção para a segurança dos serviços de criptomoeda.

A luta durou 20 minutos (a versão completa da final, bem como outros materiais de vídeo da conferência, podem ser vistos no site do PHDays - phdays.com/en/broadcast/ ). A vitória em uma batalha tensa foi conquistada por Vladislav "W3bPwn3r" Lazarev, que foi o primeiro a concluir a tarefa.



Vencedor - Vladislav Lazarev

Após o concurso, conversamos com os finalistas e descobrimos suas impressões.

“Antes de tudo, quero observar o alto nível de organização da infraestrutura e a qualidade das próprias tarefas. Essa atenção foi agradavelmente surpreendida por um grande número de pessoas, embora tenha sido muito mais difícil realizar ações aparentemente usuais quando a multidão olha para o monitor. Seria mais divertido se a etapa de qualificação fosse realizada no mesmo formato da final ”, disse Vladislav Lazarev .

"O HackBattle é definitivamente o mesmo evento que nos permitiu agitar durante a conferência", disse Arthur Khashaev . - De surpresas: na rodada final, a Internet não funcionou imediatamente, tive que gastar algum tempo importando um certificado de um proxy. Ao mesmo tempo, o local da cantina da OIC foi famoso. "Quero destacar especialmente o trabalho de comentaristas que tornaram essa batalha verdadeiramente dinâmica e não deixaram o público entediado".

As nuances técnicas da organização do fluxo, a operação do scorboard e sua sincronização com as estações de trabalho fornecidas pelos organizadores são descritas no blog de Anatoly Ivanov .


Autores : Dmitry Galecha, Anatoly Ivanov, Alexander Morozov, Positive Technologies.