26 и 27 мая в ЦМТ состоится пятый по счету форум Positive Hack Days. Подготовка к мероприятию идет полным ходом: формируется программа докладов и мастер-классов (проголосовать за то или иное выступление можно на сайте), к инициативе PHDays Everywhere присоединились первые площадки из разных стран, но это еще не все.

Традиционно на форуме проходил много конкурсов. Сегодня мы расскажем о том, в каких соревнованиях смогут принять участие гости PHDays и интернет-пользователи, а также о том, какие призы ждут победителей.

Соревнования на площадке

Внимание! Для участия в большинстве конкурсов нужно принести с собой ноутбук.

Leave ATM Alone

Физические атаки на банкоматы постепенно уступают место интеллектуальным атакам на программное обеспечение. На этом конкурсе любой желающий сможет попробовать свои силы в поиске уязвимостей в банкоматах.



Подготовка к конкурсу Leave ATM Alone на PHDays IV

Организаторы подготовили банкомат, программное обеспечение которого содержит типичные для подобных устройств уязвимости. Участникам будет предоставлен доступ к интерфейсам взаимодействия модулей банкомата (диспенсер, кардридер, пинпад): захватив управление ими, можно попробовать изъять из банкомата некоторое количество денег.

Призы:

    1-е место — FaceDancer21, рюкзак, 3d ATM, сувениры от организаторов;
    2-е и 3-е места — FaceDancer21, 3d ATM, сувениры.

Обход WAF

Задачей участников конкурса является обход PT Application Firewall — межсетевого экрана прикладного уровня компании Positive Technologies. В этом году уязвимости внедрены в специально подготовленный веб-сайт.

Успешный обход будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и все пользователи интернета.

Призы:

    1-е место — iPad Air 2, сувениры от организаторов
    2-е место — Sony Xperia Z3, сувениры
    3-е место — Burp Suite (годовая лицензия), сувениры

Большой ку$h

Это конкурс-ветеран (читайте райтапы прошлых лет: один и второй). Участники должны провести анализ исходных кодов системы ДБО (она создана специально для конкурса и содержит типичные уязвимости приложений интернет-банкинга), подготовить эксплойты и попытаться опередить других взломщиков и похитить деньги.

Победителем станет тот, кто быстрее всех обчистит «банк», его «клиентов» и других игроков. Деньги в нашем интернет-банке — самые что ни на есть настоящие.



Конкурс «Большой ку$h» на PHDays III

Образ системы ДБО для предварительного исследования будет выдан за день до мероприятия, а финал конкурса состоится во второй день на площадке.

Игроки забирают все «уведенные» из системы деньги (призовой фонд 40 000 руб.).

Примечание: система ДБО разработана в компании Positive Technologies специально для форума PHDays. Она не является системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.

Choo Choo Pwn

Конкурс по анализу защищенности критически важных систем. В этом году макет транспортной системы, построенной с использованием реальных промышленных контроллеров и ПО, претерпел значительные изменения.



В ущерб «правдоподобности» промышленного оборудования была реализована автоматизация транспортной безопасности. Теперь у нас, как и в реальном мире, нельзя отправить команду, которая приведет к аварии: логика, обеспечивающая безопасность движения, не позволит этому произойти. Целью соревнования будет взлом комплекса средств, обеспечивающих безопасность транспорта (который впоследствии может приводить к авариям на макете).

Призы:

    1-е место — JTAGulator, рюкзак, сувенир;
    2-е и 3-е места — сувениры.

«Наливайка»

По традиции венчает конкурсную программу, да и сам форум Positive Hack Days, атмосферное соревнование «Наливайка». Чтобы принять в нем участие, прежде всего нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. Допускаются все желающие, достигшие алкогольной зрелости.

Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.



В 2013 году победителем конкурса стал знаменитый хакер Geohot.

Победителем становится тот участник, который сумеет первым получить главный игровой флаг или набравший максимальное число флагов.