Confidence - (24-25.05 2011 Krakow)
Język: polski | english

Good vs. Evil aka Kev. vs. Tsu.

Opis konkursu

Konkurs jakiego nie było! Ty lub Twój zespół może stworzyć, przebudować bezpieczne rozwiązanie zgodne ze specyfikacją lub podjąć się próby znalezienia podatności w przygotowanym systemie.

Uczestników podzieliliśmy na trzy kategorie startujących:

  • Obrońca – zadaniem zabezpieczających jest skonfigurowanie systemu IPS oraz urządzenia brzegowego w taki sposób, aby zestaw standardowych aplikacji dostarczanych w postaci obrazu VMWare był chroniony. Wiemy, że aplikacje wystawione za systemem IPS są podatne (jest to Bind v. 9.4, Wordpress 2.5.1, Squirremail 1.2.7, Apache Tomcat 5.5.0). W środowisku rzeczywistym niemałą trudność przysparzają aktualizacje aplikacji. Zakładamy, że administrator nie ma na to czasu lub też nie posiada należytej wiedzy. Administrator woli zaufać specjalistom i zakupić dedykowane rozwiązanie, które będzie chronić jego zasoby. Wielu producentów sprzętu chwali się, że kupując ich rozwiązanie kupujemy automatycznie spokojną noc. Czy tak jest na pewno? Producenci – udowodnijcie swoją tezę i skutecznie ochrońcie nasz serwer!

  • System twierdza- osoba lub zespół osób ma za zadanie przygotować system, który będzie testowany pod kątem jego konfiguracji (wybór rozwiązania zależy od zespołu zgłaszającego się do konkursu). Nie interesuje nas czy jest to rozwiązanie komercyjne (jak Microsoft Server 2008R2 etc), czy opensource (jak Linux, xBSD etc). Administratorzy otrzymują zestaw konkretnych aplikacji (Serwer DNS, WordPress dowolna wersja, serwer poczty, http z Tomcat), które wraz z wybranym systemem muszą być skonfigurowane. W tym przypadku zakładamy, że administratorzy posiadają określoną wiedzę i nie jest dla nich problemem przygotowanie aktualnego systemu oraz działających na nim aplikacji. Stwórz swoją bezpieczną platformę.

  • Pentesterzy – najłatwiejsza, a jednocześnie najtrudniejsza kategoria:) Najłatwiejsza bo nie trzeba nic wcześniej przygotowywać (systemu operacyjnego, konfiguracji IDS), a najtrudniejsza bo trzeba mieć dużą wiedzę i doświadczenie w testowaniu systemów, aby znaleźć błędy w specjalnie przygotowanych rozwiązaniach. Coś dla osób, które wolą bardziej ofensywny charakter pracy. Ich zadaniem będzie testowanie aplikacji oraz systemów. Im bardziej rzetelny raport przygotują tym lepiej zostanie to ocenione przez jury. Pamiętajcie że możecie wykorzystać dowolne techniki!

Przebieg konkursu

  • Dostawcy systemów IPS i systemów “twierdz” dostarczają swoje systemy przed konkursem, systemy twierdze dostarczane są w postaci obrazów maszyn wirtualnych.

  • Systemy Twierdze umieszczane są w serwerowni. Obrońcy mogą dostarczyć organizatorom skonfigurowany system celem umieszczenia go w serwerowni

  • Pentesterzy każdą znalezioną podatność raportują do jury. Ważny jest opis podatności ale również czas jej zgłoszenia- podatności wskazane przez innych uczestników konkursów nie są zaliczane do klasyfikacji punktowej.

Zwycięzcy i klasyfikacje

Prowadzone są trzy osobne klasyfikacje: obrońca, twierdza, pentester.

  • Punkty arbitralnie przyznaje jury.

  • W klasyfikacji obrońca oraz twierdza wygrywa ten dostawca, który zdobędzie sumarycznie najmniej punktów za udane ataki, punkty nie dublują się, tzn. jeżeli dwóch lub więcej ofensorów ujawni tą samą podatność, punkty liczone są tylko raz.

  • W klasyfikacji pentesterów wygrywa ten kto zdobędzie najwięcej punktów za udane ataki, sumują się punkty z ataków na ips oraz twierdza z każdego systemu z osobna.

Niedozwolone są ataki flood, DoS/DDoS. Osoby nie stosujące się do opisanych zasad zostaną zawieszone bez możliwości odwołania.

FAQ

  1. Nie jestem sam, chciałbym wystartować w zespole osób, co muszę zrobić?

    Nic – wystarczy zgłoszenie do organizatorów. Nie interesuje nas czy na sukces pracuje jedna osoba, czy kilka. Limit oficjalnych członków zespołu to cztery osoby. Ważny jest efekt końcowy.

  2. Jaki są ważne terminy związane z konkursem.

    Do 10 maja czekamy na dostarczenie konfiguracji lub systemów ‘twierdz’. Od 16 do 20 maja będzie rozgrywał się etap dla pentesterów. Lista adresów IP będzie rozesłana mailem do uczestników.

  3. Jaka nagroda czeka na zwycięzce?

    Każdy zespół, który zwycięży otrzyma 20 minut czasu na prezentację swojej pracy podczas konferencji CONFidence oraz zwrot kosztów udziału w konferencji. Organizatorzy przygotowali również nagrody rzeczowe ale dokładny opis nie jest jeszcze znany.

  4. Gdzie mam się zgłosić?

    Wystarczy, że zgłosisz opis zespołu wraz z jego listą na adres andrzej.targosz{@}proidea.org.pl

  5. Co jeśli znajdę jakieś prywatne dane na testowanych maszynach? Czy coś mi wówczas grozi?

    Spróbujemy emacsem przez sendmaila ;-) Oczywiście nic Wam nie grozi, każdy kto zgłasza się do konkursu wie jakie są jego zasady i liczy się z tym, że niezabezpieczone dane, na maszynach dostępnych w konkursie mogą stać się łupem złych, niedobrych hackerów.

  6. Co muszę wiedzieć, aby wziąć udział w konkursie?

    To pozostawiamy Twojej ocenie.

  7. Co ma być uruchomione na maszynie “Twierdza”?

    Usługi uruchomione na serwerze:

    • Serwer DNS
    • WordPress dowolna wersja
    • serwer poczty
    • http z Tomcat
    • webmail

  8. Jakie aplikacje mają być uwzględnione przy projektowaniu systemu “Obrońcy”?

    Na chronionym serwerze uruchomione będą:

    • Bind v. 9.4
    • Wordpress 2.5.1
    • Squirremail 1.2.7
    • Apache Tomcat 5.5.0