CTF на РусКрипто2010

Ассоциация " РусКрипто " приглашает принять участие в соревновании студенческих команд " РусКрипто CTF'2010 ", проводимом в рамках конференции 3-го апреля 2010 года. Организаторы соревнований ассоциация "РусКрипто" , компания Positive Technologies и НОУ "Академия Информационных Систем" . РусКрипто CTF это всероссийские соревнования по защите информации, проводимые по принципам игры в capture the flag (захват флага). В начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов, выполняющих определенные функции и содержащие предустановленные уязвимости. Помимо уязвимостей, содержащихся в "самописных" сервисах, информационная среда команд соперников содержит распространенные уязвимости, характерные для реальных информационных систем: слабые пароли, публичные уязвимости в ОС/сервисах, недостатки администрирования, реальные уязвимости Web-приложениях (таких, как популярные CMS). В процессе соревнований в среде производятся подготовленные организаторами изменения, которые в свою очередь могут синхронно вносить дополнительные уязвимости в среду функционирования сервисов команд. name='more'> Задача участников выявлять уязвимости, устранять их на своих серверах, не нарушая функционирование приложений, и использовать аналогичные уязвимости на серверах команд противников для получения секретной информации (флагов). За процессом игры непрерывно следит жюри соревнования, регулярно помещая новые флаги и уязвимости на серверы команд, и отслеживая наличие ранее установленных флагов и выполнения своих функций уязвимыми сервисами. Кроме того, система принимает от команд флаги, захваченные у соперников, а также рекомендации по устранению найденных уязвимостей и описание способов их использования (advisories). Требования к командам участников: - Команда должна состоять не более чем из 5 человек, один из которых является капитаном команды; - Все члены команды должны быть учащимися ВУЗов; - Команды должны использовать собственные компьютеры (например, ноутбуки) для решения заданий. Желающие принять участие в соревновании РусКрипто'2010 CTF могут отправить заявку в свободной форме на электронный ящик ctf@ruscrypto.ru При отправке заявки необходимо указать ФИО каждого из участников, а также удобные способы связи (email, мобильный телефон). Заявки на участие принимаются до 28 февраля. Если число команд превысит требуемое количество, организаторы проведут отборочный турнир между заявленными участниками за месяц до начала мероприятия. Дополнительная информация для участников Баллы начисляются за: поддержание своих сервисов в рабочем состоянии;отправку уведомлений об уязвимостях и способах их устранения (advisories) оценивается также полнота уведомления и наличие кода, демонстрирующего эксплуатацию обнаруженной уязвимости (proof of concept, POC);отправку флагов, захваченных с сервисов команд-соперников;устранение уязвимостей на предоставленных серверах, не нарушая функций, выполняемых уязвимыми сервисами;а также особым решением жюри. Правила проведения 1. Общие разрешения Во время игры команды могут: использовать любое количество компьютеров и сетевого оборудования не ниже второго уровня стека ISO OSI;вносить любые изменения в предоставленные им серверы, если это прямо не запрещено жюри;проводить атаки на сервера команд соперников с целью захвата флагов.2. Общие запреты Во время игры командам запрещается: проводить атаки на компьютеры жюри;осуществлять фильтрацию трафика к любым ресурсам CTF (например, по ip-адресам);генерировать неоправданно большой объем трафика (флуд);проводить деструктивные атаки на серверы команд-соперников (например, rm rf /);преднамеренно нарушать нормальное функционирование сервисов более чем на пять минут в течение двух часов;удалять флаги с предоставленных серверов и на серверах команд соперников;осуществлять указанные выше действия от имени команд-соперников.3. Работа жюри Жюри может уточнить правила в любой момент до начала игры;Жюри может оштрафовать/дисквалифицировать команду за нарушение правил;Жюри определяет победителя, основываясь на баллах. Возможные уязвимости подготавливаемых сервисов на РусКрипто CTF: 1. Уязвимости Web-приложений - Ошибки в реализации функций аутентификации; - Ошибки в реализации функций авторизации и разграничения доступа; - Атаки на клиентов Web-приложения (включая Cross-Site Scripting и Cross-Site Request Forgery); - Уязвимости, приводящие к выполнению кода (включая SQL Injection, OS Commanding, XML Injection); - Разглашение чувствительной информации; - Ошибки в реализации логики системы; - Ошибки в настройке приложений и серверов. 2. Уязвимости сетевых сервисов - Ошибки в реализации функций аутентификации; - Ошибки в реализации функций авторизации и разграничения доступа; - Уязвимости, приводящие к выполнению кода (включая переполнение буфера, стека и т.д.); - Уязвимости криптографической защиты; - Ошибки в реализации логики системы. 3. Уязвимости приложений и сценариев автоматизации функций администрирования - Ошибки в реализации функций аутентификации; - Ошибки в реализации функций авторизации и разграничения доступа; - Уязвимости, приводящие к выполнению кода (включая переполнение буфера, стека и т.д.); - Уязвимости криптографической защиты; - Ошибки в реализации логики системы. Возможные уязвимости среды на РусКрипто CTF: 1. Уязвимости Web-приложений - Ошибки в реализации функций аутентификации; - Ошибки в реализации функций авторизации и разграничения доступа; - Разглашение чувствительной информации; - Ошибки в настройке приложений и серверов. 2. Уязвимости сетевых сервисов - Публичные уязвимости для удаленной эксплуатации; - Ошибки администрирования; - Использование не стойких паролей. 3. Уязвимости установленных приложений - Публичные уязвимости для локальной эксплуатации (повышение привилегий и пр.); - Ошибки администрирования; - Использование не стойких паролей. 4. Уязвимости беспроводных сетей - Несанкционированные точки доступа; - Уязвимости в конфигурации настроек беспроводного доступа.