Видео с PHDays

POSITIVE HACK DAYS

Конкурсы

Конкурсы на площадке

Конкурсы онлайн

2600
Большой куш
Critical Infrastructure Attack: City
WAF bypass
Automotive Village: CarPWN
MITM Mobile
HackBattle
CAMBreaker
Free SCADA
Наливайка

Конкурентная разведка
HackQuest

Большой куш

Конкурс «Как обчистить банк и остаться в живых» — один из самых динамичных (и самых старых) конкурсов на PHDays. В этом году участникам придется не только столкнуться с анализом исходных кодов системы ДБО, но и опустошить банкоматы, киоски самообслуживания, а также быть готовым вывести украденные деньги, успешно обойдя системы антифрода. Как и в прошлом году, хакеры могут пойти другим путем — написать о найденных уязвимостях в специальную службу расследования инцидентов.

Правила проведения

Правила проведения

Соревнование будет проходить на протяжении всего форума. Финал по взлому системы ДБО, как всегда, состоится во второй день. http://contest.phdays.com

Условия участия

Условия участия

Участвовать в конкурсе может любой посетитель форума. Для этого нужно подойти к стенду.

Призы

Призы

Игроки забирают все уведенные из системы деньги (призовой фонд 60 000 руб.).

Большой куш

Конкурентная разведка

Конкурс ярко показывает, насколько просто в современном мире можно получить различную конфиденциальную информации о людях и компаниях. Главный навык конкурентного разведчика — умение находить и анализировать крупицы информации, рассыпанные в общедоступных сетях. Несколько лет подряд (2012, 2013, 2014, 2015,) мы показываем, как можно узнать самые ценные секреты, ничего не взламывая (ну или почти ничего не взламывая). Каждый год ремесло конкурентного разведчика становится с одной стороны легче из-за распространения информации в интернете, с другой — сложнее, так как обработать эти данные человеку все сложнее. Поэтому, помимо поисковых движков, специалистам потребуется использовать специальные инструменты и технические приемы конкурентной разведки. Конкурс будет проходить онлайн в течение трех дней — 14, 15 и 16 мая. Победители получат призы во время церемонии награждения на площадке PHDays.

Правила проведения

Правила проведения

На странице конкурса будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время.
Итоги будут подведены 16 мая в 18.00.

Условия участия

Условия участия

Конкурс будет доступен с 9:00 14.05.2017 по адресу phdays.com/ci2017/.

Призы

Призы

1 место: iPad Air, сувениры от организаторов, 3 инвайта на форум.
2 место: сувениры от организаторов, 2 инвайта на форум.
3 место: сувениры от организаторов, 1 инвайт на форум

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники выбирают самостоятельно. Потребуется подключение к интернету.

Конкурентная разведка

2600

Конкурс позволит участникам проверить свои знания, умения и навыки в области аппаратного обеспечения линий связи. Им будет предложено воспользоваться старым советским таксофоном для осуществления звонка при помощи обычного жетона.

Правила проведения

Правила проведения

По условиям конкурса необходимо осуществить звонок с таксофона на заранее определенный номер — и при этом возвратить жетон организаторам.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума

Технические детали

Технические детали

Участникам запрещается осуществлять любые действия, которые могут причинить ущерб конкурсному таксофону!

2600

Free SCADA

Free SCADA («Доступная SCADA») — образовательный open-source проект, цель которого продемонстрировать типовые уязвимости в компонентах АСУ ТП. Стенд будет состоять из SCADA и ПЛК, на основе одноплатных компьютеров Raspberry Pi. В рамках Противостояния каждой из атакующих команд будет доступен отдельный стенд для разминки и получения подсказок об инфраструктуре и настройках одного из главных конкурсов Critical Infrastructure Attack: City.
Конкурс проводится при поддержке компании ASP Labs.

Правила проведения

Правила проведения

Конкурс проходит во время форума в рамках Противостояния.

Условия участия

Условия участия

Участвовать могут только команды Противостояния.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Free SCADA

CAMBreaker

Посетители форума смогут попробовать себя во взломе IoT-устройств — найти уязвимости нулевого дня в популярных IP-камерах. К участию приглашаем не только любителей веб-уязвимостей, но и мастеров реверса прошивок и умельцев работать с JTAG. Не забудьте принести свои девайсы!

Правила проведения

Правила проведения

Соревнование будет проходить на протяжении всего форума. http://contest.phdays.com

Условия участия

Условия участия

Участвовать в конкурсе может любой посетитель форума. Для этого нужно подойти к стенду.

Призы

Призы

1 место: телефон LG Nexus 5X, сувениры от организаторов
2 место: сувениры от организаторов
3 место: сувениры от организаторов

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

CAMBreaker

HackBattle

Одна из новинок — конкурс HackBattle. В первый день форума на стенде HackBattle пройдет отборочный этап: участникам нужно будет выполнить несколько заданий. Во второй день лучшие хакерские умы соберутся на главной сцене, для того чтобы посоревноваться в скорости, ловкости и умении справляться с неожиданными задачами в режиме реального времени. Все происходящее будет комментировать команда профессиональных стримеров.

Для участия в конкурсе необходимо будет подойти на площадке к стенду HackBattle и пройти отборочные испытания.

Условия участия

Условия участия

Участвовать в конкурсе может любой участник форума. Отборочные соревнования пройдут в первый день форума. Финалисты будут определены в конце первого дня. Главная схватка состоится в середине второго дня.

Призы

Призы

1 место: Hak5 Field Kit, сувениры от организаторов
2 место: сувениры от организаторов

HackBattle

Automotive Village: CarPWN

Конкурс Automotive Village: CarPWN позволит участникам проверить свои знания в области безопасности автомобилей. Задания будут включать в себя поиск нужных проводов, поиск ECU, подключение к бортовой сети без разрыва, организацию MITM-атаки с использованием фреймворка CANToolz, проверку на прочность безопасности QNX. В течение двух дней в распоряжении участников конференции будут тренировочный стенд и автомобиль для взлома.

Условия участия

Условия участия

Соревнование будет проходить на протяжении всего форума. Принять участие в конкурсе может любой посетитель форума.

Технические детали

Технические детали

Рекомендуем захватить специальное оборудование для работы с CAN.

Automotive Village: CarPWN

HackQuest

Традиционный HackQuest, на этот раз его организует компания Wallarm. Нужно решить как можно больше хакерских заданий, в основе которых реальные уязвимости, обнаруженные за последний год. В этом году участникам впервые придется потягаться в сообразительности с нейронными сетями.

Правила проведения

Правила проведения

Конкурс проводится с 1 по 13 мая. Начало 1 мая в 00:00.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь.

Призы

Призы

Победители получат бесплатные билеты на PHDays и сувениры.

Технические детали

Технические детали

Для участия в конкурсе перейдите по ссылке hackquest.phdays.com

HackQuest

WAF bypass

Традиционный конкурс WAF Bypass снова на PHDays. Как и раньше, участникам нужно обойти PT Application Firewall — межсетевой экран прикладного уровня компании Positive Technologies. В этом году задания будут направлены на обход нового компонента PT Application Firewall для защиты баз данных. Победа будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и интернет-пользователи.

Правила проведения

Правила проведения

Конкурс состоит из заданий, в ходе которых нужно получать флаги. За каждый флаг участнику начисляются баллы. При равенстве количества баллов победитель определяется по времени сдачи последнего флага.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума.

Призы

Призы

1 место: Apple Watch, сувениры от организаторов,
2 место: лицензия Burp Suite Pro на год, сувениры от организаторов,
3 место: сувениры от организаторов

Технические детали

Технические детали

Для участия в конкурсе перейдите по ссылке waf-bypass.phdays.com

WAF bypass

MITM Mobile

Проблемы безопасности мобильной связи, от клиентских устройств до операторов, всем хорошо известны. Особенно выделяется стандарт GSM, который на сегодняшний день научились ломать не только спецслужбы, но и инженеры с 20 $ в кармане. Если же возникает чувство ложной безопасности от использования более защищенных 3G/4G, то стоит знать: от GSM еще долгое время невозможно будет полностью отказаться, что позволяет проводить downgrade-атаки с использованием evil twins базовых станций для принудительного переключения абонентов в «дырявый» стандарт GSM. Перехват SMS, USSD, телефонных разговоров, работа с IMSI-Catcher и клонирование мобильных телефонов. Все это можно будет увидеть на стенде и освоить самому, попробовав взломать нашего собственного оператора мобильной связи. Наиболее расторопные участники могут выиграть ценные призы.

Условия участия

Условия участия

Конкурс проходит во время форума. Чтобы принять участие, подойдите к стенду.

Призы

Призы

1 место: bladeRF x40, сувениры от организаторов
2 место: сувениры от организаторов
3 место: сувениры от организаторов<

Технические детали

Технические детали

Рекомендуем захватить с собой Osmocom phone. Также мы подготовили виртуальную машину со всем необходимым инструментарием - phdays.ru/ctf_mobile.7z

MITM Mobile

Наливайка

Традиционное закрытие конкурсной программы на PHDays — Наливайка. Первым делом нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. К участию допускаются все желающие, достигшие алкогольной зрелости.
Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Правила проведения

Правила проведения

Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы. Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу. Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Условия участия

Условия участия

Быть на площадке после окончаний соревнований The Standoff.

Призы

Призы

Победители получат ценные призы от организаторов.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Предоставляется подключение по проводной сети к игровому сегменту.

Наливайка

Critical Infrastructure Attack: City

Задача хакеров — атаковать модель системы автоматики города с большой промышленной зоной, обеспечивающей жизнедеятельность городской инфраструктуры. Модель города приближена к реальности технически и функционально. Возможности по воздействию на системы города ограничены только фантазией атакующего и используемыми средствами защиты на разных сегментах макета.

Модель города включает:

  • жилую часть с автоматизированными зданиями (BMS), умными домами, транспортной системой и IoT-решениями;
  • железную дорогу, связывающую все части города;
  • ТЭЦ и подстанцию (генерация, распределение и управление электроснабжением);
  • нефтеперерабатывающий завод, хранилище и систему транспортировки нефтепродуктов;
  • системы видеонаблюдения.

Правила проведения

Правила проведения

Соревнование будет проходить на протяжении всего форума в рамках Противостояния.

Условия участия

Условия участия

Участвовать могут только команды Противостояния.

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Critical Infrastructure Attack: City


Полная программа форума в формате PDF

Уровни сложности

Лабиринт

«Лабиринт» на Positive Hack Days — это настоящий хакерский аттракцион. Всего за один час участникам предстоит преодолеть лазерное поле и датчики движения, открыть секретные двери, очистить комнату от «жучков», сразиться в интеллектуальном поединке с искусственным разумом и обезвредить бомбу. В ходе прохождения Лабиринта вам пригодятся навыки копания в мусоре (dumpster diving), взлома замков, поиска уязвимостей в приложениях, социальной инженерии, а также смекалка и физподготовка.

Как попасть в Лабиринт?

Для прохождения Лабиринта необходимо собрать команду из трех человек и зарегистрироваться в зоне конкурсов. Вам будет предложено свободное время старта. Помните, что прохождение Лабиринта может занять больше часа: ничего не планируйте на это время!

Правила проведения

Правила проведения

«Судья всегда прав». Если в ходе прорыва через периметр судья требует вернуться к началу этапа, это требование следует выполнять неукоснительно. Даже если вы не слышите душераздирающего воя охранной сирены.

«Трезвость — норма жизни». Не смешивайте «Лабиринт» с «Наливайкой»: чтобы не заплутать — нужно сохранять ясность рассудка.

«Ломать? Не, строить!» Избегайте деструктивных воздействий на инфраструктуру Лабиринта. Если вам кажется, что без использования Болтореза™ прохождение комнаты невозможно, — посоветуйтесь с судьей.

«Время не ждет». Если вы прошли комнату с опережением графика (на каждый из этапов отводится по 9 минут), вы можете использовать оставшееся время для выполнения дополнительных заданий. Выполнили все? Такого не бывает!

Победители

Победители

1 место
Antichat


2 место
Shkolota


3 место
Extra Team

Лабиринт