---

Декабрь — время праздников и интересных мероприятий, поэтому компания OTUS подготовила для вас нечто особенное. В начале декабря 2019 года состоятся командные онлайн-соревнования по информационной безопасности, которые мы организовали совместно с VolgaCTF и СTF.Moscow. Если вы знакомы с анализом исходного кода, не боитесь уязвимостей на веб-сайтах и без проблем можете восстановить логику работы программы, у вас есть полноценный шанс стать победителем и получить приз!

29 октября приглашаем на вторую онлайн-встречу по информационной безопасности Digital Security ON AIR.

Поговорим о Kubernetes, С2 фреймворках в контексте Red Team, исследовании прошивок UEFI BIOS и уязвимостях инфраструктуры эквайринга. Начало в 17:00 (МСК). Вход свободный.

Давно ничего не взламывали? Команда информационной безопасности Delivery Club подготовила задачу для экспертов по Android.

Началась регистрация на хакерские соревнования Defcon 17 СTF. Отборочный тур пройдет удаленно с 5 до 7 июня. К участию допускаются любые команды.

Сайт регистрации: ddtek.biz/ctf/register.html
Задание прошлых лет: nopsr.us
Официальный анонс: www.defcon.org

Если вы подумали, что я вам расскажу о великом «мочилове» в каком-нибудь крутом 3D-шутере, или дворовой игре с палками и тряпками — вы ошиблись. Речь пойдёт о соревнованиях в области компьютерной безопасности. В России.

Abstract

7 ноября 2009 года в России были впервые проведены международные студенческие соревнования по защите информации. В этой статье разберемся что такое CTF, чем отличается RuCTFE от RuCTF, что же представлял из себя RuCTFE 2009, что это за команда ХакерДом и что же делать, если вы тоже захотели принять участие в подобных соревнованиях.

В ночь с 18 на 19 декабря команда разработчиков клуба Хакердом Уральского государственного университета провела вторые международные студенческие соревнования по защите информации RuCTFE 2010. Соревнования прошли при поддержке компаний Яндекс, Айдеко и Clustertech. В RuCTFE 2010 приняли участие 56 команд из 11 стран мира. Победила немецкая команда 0ldEur0pe из RWTH Aachen University.

Что такое CTF?

CTF — это командная игра, в которой участники могут продемонстрировать свои навыки и умения в области компьютерной безопасности. Команды оцениваются сразу по четырем категориям: защита, атака, публикация отчетов о найденных уязвимостях (адвайзори) и выполнение особых заданий (таски). Подробнее про это читайте в нашем прошлогоднем посте.

Компания Positive Technologies проводит уникальное мероприятие – международную конференцию Positive Hack Day(s), которая посвящена практическим вопросам безопасности и предоставляет собой площадку для обмена мнениями, получения новых знаний, обретения контактов и практических навыков. Мероприятие проходит 19 мая в Культурно-развлекательном центре Молодая Гвардия г. Москва. Во время проведения мероприятия будет организовано online-вещание. Сайт мероприятия: http://phdays.ru/

Тематика конференции сформирована с акцентом на практические моменты актуальных вопросов информационной безопасности. Основными темами конференции являются: безопасность веб-приложений, защита облачных вычислений и виртуальной инфраструктуры, противодействие 0-day атакам, расследование инцидентов, защита от DDoS, противодействие мошенничеству, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP.

В рамках конференции пройдут следующие мероприятия:

Деловая программа, которая включает в себя доклады ведущих отечественных и зарубежных экспертов отрасли.
Круглые столы, дающие возможность в компании коллег-профессионалов обсудить сложные, а подчас и щекотливые моменты информационной безопасности.
Мастер-классы, проводимые экспертами-практиками, дающие возможность получить практический опыт в решении сложных задач защиты информации, таких как поиск уязвимостей, анализ последствий взлома, анализ средств для проведения атак.
Конкурсы по взлому, в рамках которых каждый получит возможность попробовать свои силы во взломе iPhone, мобильных телефонов, браузеров и средств защиты.
Соревнования PHD CTF 2011 — открытые командные соревнования по защите информации, проводимые по правилам Capture The Flag, в рамках которых команды в течение 8 часов будет защищать свои сети и атаковать сети противников.

На днях завершились две крупные хакерские конференции: BlackHat 2011 и DEFCON 19, которые проходили в Вегасе.
На конференции DEFCON, помимо докладов, ежегодно проходят самые знаменитые хакерские (whitehat) соревнования Capture The Flag (CTF). DEFCON является своеобразной альма-матер данных соревнований.

Стартует набор команд на отборочные соревнования форума по информационной безопасности Positive Hack Days. В этом году все желающие могут попробовать свои силы в отборочном туре: CTF Quals или CTF Afterparty. Все участники попробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, выполнении заданий на реверсинг и просто хакерстве. Причем борьба будет проходить в условиях, максимально приближенных к боевым: уязвимости, использованные в PHD CTF Quals и CTF Afterparty, не выдуманы, а встречаются в «живой природе».

10 и 11 декабря в первом туре – PHD CTF Quals – определятся лучшие команды, которые примут участие в финале PHD CTF в мае. С 12 по 25 декабря состязания продолжатся в индивидуальном зачете: самые яркие участники PHD CTF Afterparty 2011 получат дипломы от Positive Technologies и персональные приглашения на форум PHD, который пройдет в Москве в мае 2012 года. А это уже уникальное общение, конкурсная программа и масса эмоций.

На правах архитектора уже не одного соревнования в стиле CTF/HackQuest мне хотелось поделиться с уважаемым читателем основными моментами подготовки и проведения подобных мероприятий на примере PHDAYS CTF 2011. Нижеизложенный текст не претендует на инструкцию к действию. Относитесь к нему с долей юмора ;)

Ante Scriptum

До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).

Вступайте и компилируйте!

Scriptum

26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.

20 стран, 45 команд, 250 хакеров. 2 тура (командный и индивидуальный) и 2 месяца времени. Задания по вебу, криптографии, reverse engineering и не только. Поиск уязвимостей и анализ защищенности.
А все вместе – это отборочные этапы соревнований CTF, которые пройдут на форуме по информационной безопасности Positive Hack Days в мае.

Дмитрий Евтеев, мозговой центр и PHDays CTF Overlord расскажет, как сделать подобные соревнования, и поделится техническими и организационными подробностями. В программе – тайны подготовки CTF 2011, СTF Quals и CTF Afterparty.

Вебинар пройдет 16 февраля (четверг) в 14.00. Участие – бесплатное!
Зарегистрироваться можно здесь.

Мы уже писали о том, что на форуме Positive Hack Days пройдут международные хакерские соревнования – PHDays CTF. А еще конкурсы hack2own, где участники смогут попробовать взломать айфон или банкомат. В этом году мы соберем передовые хакерские команды и просто одиночные дарования со всего мира. Как мы их находим? В том числе, с помощью отборочных соревнований.

Чтобы отобрать сильнейших, которые в мае примут участие в битве за монолит, мы провели два отборочных конкурса – командный и индивидуальный. В последнем победу одержал участник небезызвестной российской команды Smoked Chicken – kyprizel. Он единственный решил все задания 2011 года и набрал 100 баллов. За что получил большой респект от организаторов и легендарный XSpider 7.8!

Kyprizel любезно согласился ответить на несколько вопросов о заданиях, CTF, хакерах в России вообще.

Напомним правила: всем участникам нужно было решить задания, которые были представлены на прошлогоднем PHDays CTF. Времени – 2 недели, ресурсы – не ограничены.

У многих людей, как-либо связанных с безопасностью, периодически возникает желание заняться pentest'ом, то есть тестом на проникновение. И чаще всего начинают все с pentest'а веб-приложений. Порог вхождения довольно мал (простейшая sqli определяется добавлением кавычки в параметр и эксплуатируется не особо сложнее), но при этом встречаются и довольно сложные задания, которые заставляют потратить пару-тройку дней на ковыряние.
Но возникает вопрос — где применять теоретические знания, без страха внезапного появления маски-шоу? Под катом проведу небольшой обзор полигонов для экспериментов по pentest'у.

Как и планировалось, 14-го марта 2012 года мы завершили NeoQUEST-2012. Суммарные баллы подсчитаны, победители названы; в ближайшие несколько дней мы обязательно свяжемся с ними и определим, когда и где они получат свои честно заслуженные призы (в том числе и наш главный приз, тот самый MacBookPro, засветившийся и в самом квесте).
Теперь можно подвести итоги квеста, рассказать о том, как мы его делали и о том, с какими трудностями столкнулись. И, конечно, поблагодарить всех тех, кто принимал участие как в самом квесте, так и в его создании и отладке.

Желаете узнать, как взламывают и защищают информационные системы? Или вы опытный хакер, готовый продемонстрировать свой опыт и преподать урок новичкам? В последний день марта состоится workshop компании Positive Technologies, посвященный итогам PHDays CTF Afterparty 2011.

Формат
На площадке будет развернута виртуальная сеть, аналогичная той, что использовалась на отборочных соревнованиях CTF Afterparty 2011. Вы сможете не только выяснить секреты создания дьявольски сложных эксплойтов, но и порешать задания по ходу действия, поэтому не забудьте захватить ноутбук.

Что?
Эксперты Positive Technologies расскажут о заданиях на конкурсе по защите информации PHDays CTF Afterparty 2011, по косточкам разберут их и оценят полученные решения.

Информация о докладчиках и времени/месте проведения под катом.

Нет, это не про Quake. Статья будет интересна тем, кто уже знает, что такое соревнования CTF и принимал участие хотя бы в одном подобном мероприятии. Для тех, кто не знает, CTF(Capture The Flag) — соревнования в сфере информационной безопасности, основной целью которых является захват т.н. «флагов», которые в дальнейшем превращаются в очки.

Соревнования длятся 24–48 часов, часто без перерыва, что требует от участников обладания огромным багажом знаний и опыта. Немаловажным фактором является возможность быстрого обмена информацией/знаниями в режиме реального времени. Таким образом, CTF можно рассматривать как модель сжатого во времени процесса, связанного одновременно с анализом данных, мозговым штурмом, поиском и эксплуатацией уязвимостей, разработкой ПО.

15 апреля завершился отборочный этап соревнований в области информационной безопасности VolgaCTF-2012, в котором принимали участие 29 команд из различных городов Приволжского Федерального округа. Командам давалось 48 часов, на решение задач в областях:

• Crypto –криптографические задачи;
• Web – разнообразные веб-уязвимости;
• Reverse engineering –обратная разработка программ;
• StegaSic (Steganography & Forensic) – стеганография и исследования в области компьютерных преступлений;
• PPC (Professional programming and coding) – различные задачи на программирование;
• Joy – задачи на общую эрудицию в области информационной безопасности;
• Blackbox Admin – задачи на администрирование сетей;

Хочется поделиться с вами своими впечатлениями и написать как выглядят такие соревнования именно со стороны участника.