PHDays — Positive Hack Days. Конкурсы
Видео с PHDays

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Конкурсы

Конкурсы на площадке

Конкурсы онлайн

2600
Большой куш
Critical Infrastructure Attack: Blackout
WAF bypass
BMS & SmartHouse attack
Наливайка
MiTM Mobile
CAN4ALL

Конкурентная разведка
HackQuest
Best Reverser

Большой куш

Конкурс призван проверить знания и навыки участников в области эксплуатации типовых уязвимостей в веб-сервисах систем дистанционного банковского обслуживания (ДБО) и мобильного банкинга. Конкурсные задания представлены реальными уязвимостями приложений интернет-банкинга, которые были выявлены специалистами компании Positive Technologies при анализе защищенности подобных систем, а так же реальными банковскими системами от партнеров.

Правила проведения

Правила проведения

Правила участия и технические подробности доступны на сайте www.phdays.com/cityf2016
Банковские системы установлены на площадке CityF. Доступ к ней можно получить либо на самой площадке PHDays, либо по VPN.

Условия участия

Условия участия

Побороться за призы может любой участник PHDays VI. Соревнование проводится на протяжении всего мероприятия.

Призы

Призы

Игроки забирают все «уведенные» из системы деньги (призовой фонд 40 000 руб.). Взломщики мобильного приложения получат отдельный приз — планшет. Примечание: в связи с тем, что участники играют совместно с командами CTF, деньги будут разделены пропорционально конкурсному бюджету.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Большой куш

Конкурентная разведка

Конкурс позволит участникам форума выяснить, насколько быстро и качественно они умеют искать полезную информацию в сети Интернет.

Правила проведения

Правила проведения

Правила участия и технические подробности доступны на сайте www.phdays.com/cityf2016
Используйте все возможные средства для того, чтобы обнаружить инсайдеров CorpF!
Итоги будут подведены в конце второго дня форума.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь в дни проведения форума.

Призы

Призы

1 место: планшет Apple, сувениры от организаторов
2 место:
сувениры от организаторов
3 место: сувениры от организаторов

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Победители

Победители

1 место
Rdot

Конкурентная разведка

2600

Конкурс позволит участникам проверить свои знания, умения и навыки в области аппаратного обеспечения линий связи. Участникам будет предложено воспользоваться старым советским таксофоном для осуществления звонка при помощи обычного жетона.

Правила проведения

Правила проведения

По условиям конкурса необходимо осуществить звонок с таксофона на заранее определенный номер — и при этом возвратить жетон организаторам. Итоги будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума.

Технические детали

Технические детали

Участникам запрещается осуществлять любые действия, которые могут причинить ущерб конкурсному таксофону!

2600

CAN4ALL

Хочешь почувствовать себя героем игры Watch Dogs? Тогда этот конкурс для тебя! Открой машину без ключа, управляй ее системами, активируй сигнализацию! В течение двух дней в распоряжении участников конференции будет автомобиль, который можно взломать при помощи CAN. Самых успешных ждут призы.

Правила проведения

Правила проведения

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума.

Победители

Победители

1 место
Dr.glukyne

2 место
isennovskiy

3 место
treska rus

CAN4ALL

HackQuest

Дюжина заданий, которые нужно решить всего за 7 дней. Отличная возможность настроиться на правильную волну перед тем, как вникать в хардкорные доклады форума PHDays. Подготовкой конкурса в этом году вновь занимается компания ONsec, которая за 6 лет существования выполнила более 200 проектов по анализу защищенности веб-ресурсов. Задания будут основаны на реальных кейсах, которые встретились при аудите безопасности в 2015 и 2016 годах.

Правила проведения

Правила проведения

Конкурс проводится за месяц до начала форума, с 13 по 19 апреля.
Конкурс стартует в 00:00 13 апреля.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь.

Призы

Призы

1 место: сувениры, 4 инвайта на форум.
2 место: сувениры, 3 инвайта на форум.
3 место: сувениры, 2 инвайта на форум.
4—10 места: инвайт на форум.

Технические детали

Технические детали

Для участия в конкурсе перейдите по ссылке: HackQuest

Победители

Победители

1 место
Firsov

2 место
Cdump

3 место
DarkCaT

HackQuest

WAF bypass

Задачей участников конкурса WAF Bypass является обход PT Application Firewall — межсетевого экрана прикладного уровня компании Positive Technologies. В этом году уязвимости заложены на подготовленном для конкурса веб-сайте, который будет защищаться WAF. Успешный обход будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и пользователи Интернета.
Связь с организаторами: waf-bypass@phdays.com.

Условия участия

Условия участия

Конкурс проходит во время форума. Чтобы принять участие, просто подойдите к стенду.

Призы

Призы

1 место: планшет Apple, сувениры от организаторов.
2 место: сувениры от организаторов.
3 место: сувениры от организаторов.

Победители

Победители

1 место
Георгий Носеевич

2 место
Иван Новиков

3 место
Владас Булавас

WAF bypass

Critical Infrastructure Attack: Blackout

Задача хакеров — атаковать модель системы электроснабжения небольшого района. Модель приближена к реальности как технически, так и в функционально, она разделена на отдельные части: генерация, передача, распределение и управление электроснабжением. У участников будет возможность нарушить нормальную работу общей системы электроэнергетики, воздействовать на региональный пункт систем диспетчеризации и управления энергосистемой, центральную диспетчерскую, отключить передачу электроэнергии на гидроэлектростанцию и даже затопить небольшой город рядом со станцией.

Условия участия

Условия участия

Конкурс проходит во время форума. Чтобы принять участие, просто подойдите к стенду.

Призы

Призы

1 место: планшет Apple и сувениры.
2 место: Raspberry Pi 2 Kit и сувениры.
3 место: сувениры от организаторов.

Critical Infrastructure Attack: Blackout

BMS & SmartHouse Attack

Участники попробуют свои силы в атаке различных систем дома. На стенде представлен гибрид систем автоматизации зданий и «умного дома». В распоряжении хакеров — система освещения, счетчики воды, лифт, вентиляция и автоматика квартиры-офиса. Задача — получить контроль над отдельными системами или отключить их при условии, что некоторые из них будут дополнительно защищены.

Условия участия

Условия участия

Конкурс проходит во время форума. Чтобы принять участие, просто подойдите к стенду.

Призы

Призы

Подарки от Advantech и «ПроСофт».

Победители

Победители

1 место
Петр Иванов

2 место
Артур Григорьев

3 место
Олег Кочев

BMS & SmartHouse Attack

Best Reverser

Конкурс для реверс-инженеров, в котором любой может продемонстрировать навыки анализа исполняемых файлов.

Правила проведения

Правила проведения

Проводится за месяц до начала форума, с 11 по 17 апреля. Конкурс уже начался!

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь.

Призы

Призы

1 место: сувениры, 4 инвайта на форум.
2 место: сувениры, 3 инвайта на форум.
3 место: сувениры, 2 инвайта на форум.
4—10 места: инвайт на форум.

Технические детали

Технические детали

Исполняемый файл для анализа находится по ссылке phdays.ru/upload/contests/PHDays2016.zip
Ответы и комментарии к решению необходимо присылать на адрес best2016re@phdays.com

Best Reverser

MiTM Mobile

Проблемы безопасности мобильной связи, от клиентских устройств до операторов, всем хорошо известны. Особенно выделяется стандарт GSM, который на сегодняшний день научились ломать не только спецслужбы, но и инженеры с 20$ в кармане. Если же возникает чувство ложной безопасности от использования более защищенных 3G/4G, то стоит знать о том, что от GSM еще долгое время невозможно будет полностью отказаться, что позволяет проводить downgrade-атаки с использованием ‘evil twin’ базовых станций для принудительного переключения абонентов в дырявый стандарт GSM. Перехват SMS, USSD, телефонных разговоров, работа с IMSI-Catcher-ом, взлом ключей шифрование с помощью kraken-а и клонирование мобильных телефонов. Все это можно будет увидеть на стенде, прослушать workshop и освоить самому, попробовав взломать нашего собственного оператора мобильной связи. Наиболее расторопные участники могут выиграть ценные призы.

Условия участия

Условия участия

Конкурс проходит во время форума. Чтобы принять участие, просто подойдите к стенду.

Призы

Призы

1 место: набор OsmocomBB, сувениры от организаторов
2 место: набор OsmocomBB, сувениры от организаторов
3 место: сувениры от организаторов

MiTM Mobile

Наливайка

Традиционное закрытие конкурсной программы на PHDays — Наливайка. Первым делом нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. К участию допускаются все желающие, достигшие алкогольной зрелости.
Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Правила проведения

Правила проведения

Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы. Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу. Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Условия участия

Условия участия

Быть на площадке после окончаний соревнований CTF.

Призы

Призы

Как всегда, победители получат необычные подарки от организаторов.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Предоставляется подключение по проводной сети к игровому сегменту.

Победители

Победители

1 место
Том Ван Гутем

2 место
Владас Булавас

3 место
Andrewaeva

Наливайка


Полная программа форума в формате PDF

Уровни сложности

Лабиринт

«Лабиринт» на Positive Hack Days — это настоящий хакерский аттракцион. Всего за один час участникам предстоит преодолеть лазерное поле и датчики движения, открыть секретные двери, очистить комнату от «жучков», сразиться в интеллектуальном поединке с искусственным разумом и обезвредить бомбу. В ходе прохождения Лабиринта вам пригодятся навыки копания в мусоре (dumpster diving), взлома замков, поиска уязвимостей в приложениях, социальной инженерии, а также смекалка и физподготовка.

Как попасть в Лабиринт?

Для прохождения Лабиринта необходимо собрать команду из трех человек и зарегистрироваться в зоне конкурсов. Вам будет предложено свободное время старта. Помните, что прохождение Лабиринта может занять больше часа: ничего не планируйте на это время!

Правила проведения

Правила проведения

«Судья всегда прав». Если в ходе прорыва через периметр судья требует вернуться к началу этапа, это требование следует выполнять неукоснительно. Даже если вы не слышите душераздирающего воя охранной сирены.

«Трезвость — норма жизни». Не смешивайте «Лабиринт» с «Наливайкой»: чтобы не заплутать — нужно сохранять ясность рассудка.

«Ломать? Не, строить!» Избегайте деструктивных воздействий на инфраструктуру Лабиринта. Если вам кажется, что без использования Болтореза™ прохождение комнаты невозможно, — посоветуйтесь с судьей.

«Время не ждет». Если вы прошли комнату с опережением графика (на каждый из этапов отводится по 9 минут), вы можете использовать оставшееся время для выполнения дополнительных заданий. Выполнили все? Такого не бывает!

Победители

Победители

1 место
Antichat


2 место
Shkolota


3 место
Extra Team

Лабиринт