PHDays — Positive Hack Days. Детальные правила конкурса hack2own
Видео с PHDays

POSITIVE HACK DAYS



ОРГАНИЗАТОР

Детальные правила конкурса hack2own

Взлом веб-браузеров: правила проведения конкурса

В каждом раунде атака осуществляется на один из указанных браузеров; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является контролируемый участником запуск приложения в операционной системе путем проведения удаленной атаки клиента. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Программное обеспечение, предлагаемое для эксплуатации

Первый раунд: Microsoft Internet Explorer 9, Google Chrome 19.0.1084, Mozilla Firefox 12, Opera 11.64.
Второй раунд: Microsoft Internet Explorer 8/9, Mozilla Firefox 10/11/12, Google Chrome 16/17/18/19, Opera 11.64/11.60, Apple Safari 5.0/5.1.1/5.1.2.
В третьем раунде допускается эксплуатация последних версий типовых сторонних компонентов для браузеров: Adobe Flash Player (11.2.202.235), Adobe Reader (10.1.3), Java (7 update 4). Перечень браузеров идентичен таковому во втором раунде.

Используемые платформы

Первый раунд — Windows 7 Service Pack 1 (x64).
Второй и третий раунды: Windows 7 Service Pack 1 (x64/x86) и Windows XP SP3 (x86).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, название браузера, выбранного в качестве цели атаки, используемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы

I место — 137 000 руб.

II место — 75 137 руб.

III место — 50 137 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Версия систем и приложений, используемых для проведения конкурса, окончательно устанавливается не менее чем за две недели до начала соревнований (соответствующая информация публикуется на сайте форума PHD по адресу http://www.phdays.ru). После проведения каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все программное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Взлом мобильных устройств: правила

Атака на одно устройство осуществляется за один раунд с использованием одного вектора атаки; организаторы конкурса переходят по ссылке, предоставленной участником конкурса. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. После каждой попытки эксплуатации уязвимости операционная система восстанавливается в первоначальное состояние. Критерием успеха является контролируемый участником запуск приложения на устройстве путем проведения удаленной сетевой атаки. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющих на степень риска согласно методике CVSS).

Условия участия

К конкурсу допускаются участники, прошедшие предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника, операционную систему, выбранную в качестве цели атаки, тип устройства (планшет или смартфон) и планируемый вектор атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность в вопросах, являющихся темой конкурса.

Призы

I место — 137 000 руб.

II место — 75 137 руб. + iPhone 4S

III место — 50 137 руб.

В случае если на определенное место претендуют нескольку участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное. Кроме того, все участники получат ценные призы и подарки от организаторов форума, компании Positive Technologies, и спонсоров мероприятия.

Используемые платформы

Первый раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4.

Второй раунд: планшет или смартфон с iOS 5.1.1 или Android 4.0.4 + популярное ПО стороннего производителя (обсуждается с организаторами при регистрации на конкурс).

Третий раунд: планшет или смартфон с iOS 5.0, планшет с Android 3.0, смартфон с Android 2.3.

Технические детали

Версия используемого ПО окончательно устанавливается не менее чем за две недели до начала соревнований (информация публикуется на сайте форума PHDays по адресу http://www.phdays.ru). Для участия в конкурсе используются устройства в стандартной конфигурации «из коробки» — за исключением настроек, необходимых для организации сетевого подключения. После проведения каждой попытки эксплуатации уязвимости устройство перезагружается и возвращается в начальное состояние.

Обычным вектором атаки является посещение специально сформированного сайта через стандартный браузер устройства. В случае использования других векторов атаки (получение SMS или MMS, просмотр электронной почты и т. п.) участник указывает на это в заявке при регистрации.

Все программное и аппаратное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно. Каждому участнику предоставляется подключение к проводной или беспроводной сети.

Эксплуатация уязвимостей уровня ядра: правила конкурса

Каждый участник получает возможность продемонстрировать эксплуатацию уязвимость уровня ядра операционной системы. Эксплойт, предложенный претендентом, должен давать непривилегированному пользователю возможность повысить свои привилегии в системе до уровня суперпользователя.

В каждом раунде атака осуществляется на одну из указанных платформ; организаторы конкурса запускают исполняемый файл, предоставленный участником конкурса. Допускается использование одного вектора атаки за раунд. Добившись успеха в первом раунде — участник занимает первое место, во втором или третьем раунде — второе и третье соответственно. Критерием успеха является изменение участником уровня привилегий с непривилегированного пользователя — до максимально возможного в системе. Организаторы оставляют за собой право снижать рейтинг участника в зависимости от типа используемой уязвимости и условий ее эксплуатации (необходимости вмешательства пользователя, ограничения развития атаки и других условий, влияющие на степень риска согласно методике CVSS).

Используемые платформы

Первый раунд: 

                Windows 7 Service Pack 1 (x64);

                Windows Server 2008 SP2 (x64);

                Debian Linux 3.3.5;

                FreeBSD 9.0;

                OpenBSD 5.1;

                OS X 10.7.4.

Второй раунд: 

                Windows 7 Service Pack 1 (x86);

                Windows Server 2003 SP2;

                Windows XP SP3 (x86);

                Debian Linux 2.6.32-45;

                FreeBSD 8.0;

                OpenBSD 5.0;

                OS X 10.7.1.

Третий раунд: набор платформ идентичен таковому для первого раунда. Возможно использование популярного ПО для обеспечения безопасности (антивирусов, HIPS, и т. п.) стороннего производителя (обсуждается с организаторами при регистрации на конкурс).

Условия участия

К конкурсу допускаются специалисты, которые прошли предварительную регистрацию. Заявки принимаются по адресу phdcontests@ptsecurity.ru. Дата окончания регистрации — 28 мая 2012 года. В заявке необходимо указать имя участника и платформу, выбранную в качестве цели атаки. Организаторы конкурса оставляют за собой право отклонить заявку, если участник не подтвердит свою компетентность.

Призы

I место — 75 000 руб.

II место — 50 000 руб.

III место — 30 000 руб.

В случае если на определенное место претендуют несколько участников соревнования, победитель выявляется посредством экспертной оценки технических характеристик эксплойта (сложности эксплуатации, стабильности и т. п.).

Посещение всех мероприятий форума Positive Hack Days для участников конкурса бесплатное.

Технические детали

Версии платформ, используемых для проведения конкурса, устанавливаются не менее чем за две недели до начала соревнований (информация публикуется на сайте форума PHDays по адресу http://www.phdays.ru). После каждой попытки эксплуатации уязвимости операционная система восстанавливается в начальное состояние. Все программное обеспечение, необходимое для проведения атаки, участник выбирает и использует самостоятельно.

Разглашение уязвимостей

Организаторы конкурса стремятся поддерживать ответственный подход к разглашению информации о найденных уязвимостях. Поэтому конкурс содержит важное условие: участнику следует в течение 6 месяцев с момента обнаружения уязвимости уведомить о ней производителя программного обеспечения.

Чтобы ответственно подойти к разглашению информации, можно:

  • связаться с разработчиком ПО и предоставить непосредственно ему подробное описание найденных уязвимостей;
  • передать информацию об уязвимостях в CERT ;
  • передать информацию об уязвимостях через UpSploit;
  • передать информацию об уязвимостях посредством участия в других официальных программах вознаграждения за найденные уязвимости, подобных Zero Day Initiative.