POSITIVE HACK DAYS



ОРГАНИЗАТОР

Конкурсы

Конкурсы на площадке

Конкурсы онлайн

2600
Большой ку$h
Наливайка
Leave ATM Alone
Обход WAF
КОНКУРС СТАРТАПОВ
В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ

Advantech против кибергениев
MiTM Mobile
Digital Substation Takeover от iGrids
Hacknet
HackQuiz
Choo Choo PWN

Конкурентная разведка
Hash Runner
Best Reverser

Большой ку$h

Конкурс-ветеран (1, 2), в котором необходимо провести анализ исходных кодов ДБО, подготовить эксплойты и соревноваться с другими участниками на скорость. Победителем становится тот, кто быстрее всех «обчистит» «банк», его «клиентов» и других игроков. Деньги в нашем интернет-банке, вобравшем все лучшее из настоящих анализов защищенности (в самое ближайшее время выйдет свежий отчет), самые настоящие.

Образ системы ДБО для предварительного исследования будет выдан за день до мероприятия, а финал конкурса состоится во второй день на площадке. Следите за анонсами!

Дисклеймер: упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays. Она не является системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.

Правила проведения

Правила проведения

Конкурс проходит в два этапа. На первом этапе участникам конкурса будут предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО (аналог реальной системы интернет-банка). В течение заданного организаторами времени участникам предстоит обнаружить уязвимости в системе. На втором этапе конкурса участникам предстоит воспользоваться обнаруженными уязвимостями с целью несанкционированного вывода денежных средств.

Условия участия

Условия участия

Принять участие в конкурсе может любой гость форума. Регистрация проводится на стойке информации в фойе второго этажа. Количество мест ограничено.

Призы

Призы

Игроки забирают все «уведенные» из системы деньги (призовой фонд 40 000 руб.).

Технические детали

Технические детали

Для участия в конкурсе необходимо иметь ноутбук.

Победители

Победители

1 место
More Smoked Leet Chicken

2 место
Стас Поволотский

3 место
RDot

Большой ку$h

Hash Runner

Конкурс Hash Runner подвергнет проверке знания участников в области криптографических алгоритмов хэширования, а также их навыки взлома хэш-функций паролей.

Время проведения: 15 мая (19:00UTC+4) по 18 мая (19:00 UTC+4)

Правила проведения

Правила проведения

Участникам будет предоставлен перечень хэш-функций, сгенерированных по различным алгоритмам (MD5, SHA-1, BlowFish, GOST3411 и др.). Очки за каждый дешифрованный пароль будут начисляться в зависимости от сложности алгоритма. Чтобы стать победителем, необходимо набрать как можно больше очков за ограниченное время, обогнав всех конкурентов.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь. Зарегистрироваться можно на сайте phdays.ru (регистрация открывается за неделю до начала форума). Конкурс будет длиться два дня, на протяжении всего мероприятия.

Призы

Призы

1 место. Видеокарта ATI R9 295x2, ПЛИСы Quad-Spartan 6 LX150 (4 штуки), инвайты на форум для всей команды
2 место. ПЛИСы Quad-Spartan 6 LX150 (2 штуки), инвайты на форум для всей команды
3 место. ПЛИС Quad-Spartan 6 LX150, инвайты на форум для всей команды

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Потребуется подключение к Интернету.

Победители

Победители

1 место
Hashcat

2 место
Алексей Черепанов
Александр Черепанов (ch3root)
Сергей Заболоцкий (Nugget)
Илья Соколов
(john-users)

3 место
insidePRO

Hash Runner

Конкурентная разведка

Конкурс ярко показывает, насколько просто в современном мире можно получить различную конфиденциальную информации о людях и компаниях. Главный навык конкурентного разведчика — умение находить и анализировать крупицы информации, рассыпанные в общедоступных сетях. Три года подряд ( 2012, 2013, 2014) мы показываем, как можно узнать самые ценные секреты, ничего не взламывая (ну или почти ничего не взламывая).

Каждый год ремесло конкурентного разведчика становится с одной стороны легче из-за распространения информации в Интернете, с другой — сложнее, так как обработать эти данные человеку все сложнее. Поэтому, помимо поисковых движков, специалистам потребуется использовать специальные инструменты и технические приемы конкурентной разведки. Так же в конкурсе будут присутствовать традиционные веб-уязвимости разного уровня сложности, поэтому теоретики – готовьтесь!

Регистрация на конкурс откроется 26 мая на сайте phdays.com, конкурс будет доступен онлайн и на площадке PHDays.

Правила проведения

Правила проведения

На странице конкурса будут опубликованы вопросы, связанные с некой организацией, информацию о которой можно найти в Интернете. Задача участника конкурса — найти как можно больше правильных ответов на поставленные вопросы за минимальное время. Итоги будут подведены в конце второго дня форума.

Условия участия

Условия участия

Конкурс будет доступен с 9.00 26.05.2015 по адресу phdays.com/ci2015/. Регистрация доступна по ссылке phdays.com Просим обратить внимание: в этом году разрешена командная игра.

Призы

Призы

1. iPad Air, Сувениры от организаторов
2. Сувениры от организаторов
3. Сувениры от организаторов

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники выбирают самостоятельно. Потребуется подключение к Интернету.

Победители

Победители

1 место
djecka

2 место
sharsil

3 место
MZC

Конкурентная разведка

2600

Конкурс позволит участникам проверить свои знания, умения и навыки в области аппаратного обеспечения линий связи. Участникам будет предложено воспользоваться старым советским таксофоном для осуществления звонка при помощи обычного жетона.

Правила проведения

Правила проведения

По условиям конкурса необходимо осуществить звонок с таксофона на заранее определенный номер — и при этом возвратить жетон организаторам. Итоги будут подведены во второй день форума. При выборе победителя судьи будут учитывать оригинальность методов, позволивших участникам выполнить задание.

Условия участия

Условия участия

Принять участие в конкурсе может любой участник форума. Соревнование будет проходить на протяжении всего форума.

Технические детали

Технические детали

Участникам запрещается осуществлять любые действия, которые могут причинить ущерб конкурсному таксофону!

2600

Best Reverser

В рамках конкурсной программы пройдет конкурс для реверс-инженеров.

Правила проведения

Правила проведения

Необходимо найти правильный ключ, соответствующий Вашему email-адресу.

Условия участия

Условия участия

К конкурсу допускается любой интернет-пользователь.

Призы

Призы

1. FaceDancer21, Сувениры от организаторов.
2. FaceDancer21, Сувениры от организаторов.
3. FaceDancer21, Сувениры от организаторов.

Технические детали

Технические детали

Исполняемый файл для анализа находится по ссылке http://www.phdays.ru/download/fwldr.zip.

Ответы и комментарии к решению необходимо присылать на адрес best-re@phdays.com.

Ответы принимаются до 23:59:59 07 июня 2015 года.

Choo Choo PWN

Макет транспортной системы, построенный с использованием реальных промышленных контроллеров и ПО, в этом году претерпел значительные изменения. В ущерб «правдоподобности» промышленного оборудования была реализована автоматизация транспортной безопасности. Теперь у нас, как и в реальном мире, нельзя отправить команду, которая приведет к аварии, — логика, обеспечивающая безопасность движения, не позволит этому произойти. Поэтому целью соревнования будет взлом комплекса средств, обеспечивающих безопасность транспорта, что впоследствии может приводить к авариям на макете.

Условия участия

Условия участия

Подойти к стенду на площадке форума.

Призы

Призы

1. JTAGulator, рюкзак, Сувениры от организаторов.
2. Сувениры от организаторов.
3. Сувениры от организаторов

Choo Choo PWN

HackQuiz

Интеллектуальная викторина позволит участвующим командам продемонстрировать свою эрудицию в области практической безопасности. Гости форума PHDays, которые внимательно следят за новостями хакерского сообщества, разбираются в распространенных уязвимостях и методах взлома, знают в лицо именитых хакеров и быстрее всех отвечают на вопросы ведущего, имеют все шансы на победу.

Правила проведения

Правила проведения

Все как в классических телевикторинах – 5 тем, в каждой из которых по 5 вопросов различной стоимости. Для ответа на вопрос дается 30 секунд. При правильном ответе команда получает право выбрать следующий вопрос. Побеждает команда, набравшая наибольшее количество баллов.

Условия участия

Условия участия

В викторине могут принять участие посетители Positive Hack Days в Москве, а также посетители площадок PHDays Everywhere. Для удаленного участия в конкурсе необходимо заранее зарегистрировать команду и протестировать телеконференцию, написав по адресу phd@ptsecurity.com.

Призы

Призы

Победившая команда получит набор книг Райана Рассела по информационной безопасности и сувениры от организаторов.

Технические детали

Технические детали

Удаленным участникам на площадках PHDays Everywhere потребуется подключение к телеконференции (создает нагрузку на канал связи до 1 Мбит/с), а также колонки, микрофон и веб-камера.  

Победители

Победители

1 место
Bushwhackers (Москва)

2 место
Joker (Харьков)

3 место
Foxxland (Новосибирск)

HackQuiz

Hacknet

Динамическая маршрутизация сегодня используется практически повсеместно, как в глобальной сети, так и во внутрикорпоративных сегментах. Известны случаи удачных атак злоумышленниками на различные протоколы маршрутизации RIP, OSPF, EIGRP, BGP, IS-IS (и не только ipv4, но и ipv6) с целью перенаправления и последующего перехвата трафика. Мы покажем, как можно проводит атаки на нашем мастер-классе, и предоставим возможность вам самим попробовать свои силы. Приносите своим виртуальные машины с GNS3, устройствами Cisco и любимые инструменты Yersinia, loki, scapy, wireshark.

Условия участия

Условия участия

Подойти к стенду на площадке форума.

Призы

Призы

1. MikroTik CRS109-8G-1S-2HnD-IN, Сувениры от организаторов
2. Сувениры от организаторов
3. Сувениры от организаторов

Hacknet

Digital Substation Takeover от iGrids

В этому году у посетителей форума появится возможность увидеть и попробовать взломать настоящую электрическую подстанцию, построенную по стандарту IEC61850. Реальные коммутаторы, сервера времени, контроллеры и устройства релейной защиты, представленные на макете, управляют и защищают современные высоковольтные электрические сети от аварийных и внештатных ситуаций: например, от коротких замыканий или повреждения на линии электропередач. Взлом или другое негативное воздействие на программно-технический комплекс управления (SCADA) или непосредственно на интеллектуальные устройства защиты (IED) может привести к отключению потребителей от электричества, целенаправленному уничтожению силового оборудования и невозможности защитить дорогостоящую аппаратуру. Макет предоставлен партнером мероприятия — ООО «Интеллектуальные Сети», iGrids.ru.

Условия участия

Условия участия

Подойти к стенду на площадке форума.

Призы

Призы

1. Сувениры от организаторов
2. Сувениры от организаторов
3. Сувениры от организаторов

Digital Substation Takeover от iGrids

MiTM Mobile

Проблемы безопасности мобильной связи, от клиентских устройств до операторов, всем хорошо известны. Особенно выделяется стандарт GSM, который на сегодняшний день научились ломать не только спецслужбы, но и инженеры с 20$ в кармане. Если же возникает чувство ложной безопасности от использования более защищенных 3G/4G, то стоит знать о том, что от GSM еще долгое время невозможно будет полностью отказаться, что позволяет проводить downgrade-атаки с использованием ‘evil twin’ базовых станций для принудительного переключения абонентов в дырявый стандарт GSM.
Перехват SMS, USSD, телефонных разговоров, работа с IMSI-Catcher-ом, взлом ключей шифрование с помощью kraken-а и клонирование мобильных телефонов. Все это можно будет увидеть на стенде, прослушать workshop и освоить самому, попробовав взломать нашего собственного оператора мобильной связи. Наиболее расторопные участники могут выиграть ценные призы.

Правила проведения

Правила проведения

Время проведения: во время форума.

Условия участия

Условия участия

Подойти к стенду на площадке форума.

Призы

Призы

1. SIM Tracer, набор osmocom-bb, Сувениры от организаторов
2. набор osmocom-bb, Сувениры от организаторов
3. Сувениры от организаторов

Победители

Победители

1 место
Глеб Чербов

2 место
нету

3 место
нету

MiTM Mobile

Обход WAF

Задачей участников конкурса WAF Bypass является обход PT Application Firewall — межсетевого экрана прикладного уровня компании Positive Technologies. В этом году уязвимости заложены на подготовленном для конкурса веб-сайте, который будет защищаться WAF. Успешный обход будет засчитываться при сдаче специальных флагов. Попытать свои силы смогут не только участники форума, но и пользователи Интернета.

Связь с организаторами: waf-bypass@phdays.com.

Условия участия

Условия участия

Подойти к стенду на площадке форума.

Призы

Призы

1. iPad Air 2, Сувениры от организаторов
2. Sony Xperia Z3, Сувениры от организаторов
3. Burp Suite (годовая лицензия), Сувениры от организаторов

Победители

Победители

1 место
Андрей Петухов
Георгий Носеевич
Александр Раздобаров
(Bushwhackers)

2 место
Михаил Степанкин

3 место
Эльдар Заитов
(More Smoked Leet Chiken)

Обход WAF

Наливайка

Традиционное закрытие конкурсной программы на PHDays — Наливайка. Первым делом нужно подписать документ о снятии ответственности с организаторов конкурса за то, что произойдет в следующие 30 минут. К участию допускаются все желающие, достигшие алкогольной зрелости.
Участникам предстоит испытать свои навыки взлома веб-приложений, защищенных WAF (Web Application Firewall), а также продемонстрировать способность трезво мыслить в любой ситуации. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Правила проведения

Правила проведения

Участникам конкурса необходимо провести успешную атаку на веб-приложение, защищенное фильтром безопасности. Приложение содержит конечное число уязвимостей, последовательная эксплуатация которых позволяет, среди прочего, выполнять команды операционной системы.
Общая продолжительность конкурса ограничена 30 минутами. Каждые 5 минут участникам, на действия которых чаще всего реагировал WAF, предлагается выпить 50 мл крепкого горячительного напитка — и продолжать борьбу.
Победителем становится тот участник, который сумеет первым получить главный игровой флаг на этапе выполнения команд на сервере. Если главный флаг никто не получил, то победителем становится участник, набравший максимальное число флагов на других этапах при эксплуатации уязвимостей.

Условия участия

Условия участия

Быть на площадке после окончаний соревнований CTF.

Призы

Призы

1 Самовар, Сувениры от организаторов
2 Сувениры от организаторов
3 Сувениры от организаторов

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой. Предоставляется подключение по проводной сети к игровому сегменту.

Победители

Победители

1 место
Artsploit

2 место
Saplt

3 место
Zensec

Наливайка

Leave ATM Alone

Физические атаки на банкоматы в своей популярности и изощренности уступили место интеллектуальным атакам на программное обеспечение — теперь нарушителю нужен лишь ноутбук. Попробовать себя в роли настоящего взломщика банкоматов можно в рамках конкурса Leave ATM Alone. Специально для конкурса организаторы подготовили банкомат, который сможет атаковать любой желающий без отрицательных последствий для своей биографии. Участникам будет предоставлен доступ к интерфейсам взаимодействия модулей банкомата (таким как диспенсер, картридер, пинпад), где каждый сможет испытать свои навыки в эксплуатации уязвимостей и проведении атак “человек посередине”, чтобы попытаться управлять этими модулями и, возможно, выдать некоторое количество денег. И для этого не потребуется никакого специального оборудования! И не забудьте свои osmocom'ы, ожидаются осадки в виде SMS!

Правила проведения

Правила проведения

Конкурс Leave ATM Alone позволит участникам испытать свои навыки эксплуатации уязвимостей в банкоматах.

Условия участия

Условия участия

Принять участие в на конкурсе может любой гость форума. Регистрация проводится в зоне конкурсов. Количество мест ограничено.

Призы

Призы

1. FaceDancer21, рюкзак, 3d ATM, Сувениры от организаторов.
2. FaceDancer21, 3d ATM, Сувениры от организаторов.
3. FaceDancer21, 3d ATM, Сувениры от организаторов

Технические детали

Технические детали

Все необходимое программное и аппаратное обеспечение участники приносят с собой.

Победители

Победители

1 место
Андрей Гейн
(HackerDom)

2 место
(More Smoked Leet Chicken)

3 место
Антон Нургатин
Илья Маткин
(ReallyNonamesFor)

Leave ATM Alone

КОНКУРС СТАРТАПОВ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ

ПОБЕДИТЕЛЬ ПОЛУЧИТ 1 500 000 РУБЛЕЙ ОТ ALMAZ CAPITAL

ЧТО: Инвестиционный фонд Almaz Capital проводит открытый конкурс среди стартап-проектов в области кибербезопасности. На конкурс необходимо представить как минимум прототип решения, услуги или продукта, который пользователи могли бы опробовать. Чем дальше вы продвинулись в работе над своим проектом, тем лучше. Основное требование к заявкам — конкурентоспособность на мировом рынке.

ГДЕ: Международный форум по практической безопасности Positive Hack Days, Москва http://www.phdays.ru

КОГДА: 27 мая 2015

Правила проведения

Правила проведения

КОГО МЫ ИЩЕМ: Принять участие в конкурсе могут любые группы разработчиков и инженеров. Создавать свою компанию к данному этапу не требуется, но команда должна быть набрана.

СУДЕЙСТВО: Победитель будет выбран экспертным жюри 27 мая 2015 года на этапе презентации участниками своих проектов на Positive Hack Days. В состав жюри войдут сотрудники ведущих фирм венчурного капитала и ИБ-компаний. Представлять компанию Almaz Capital будут генеральный партнер Джеффри Баер, предприниматель и бывший главный технический директор по сетевым технологиям компании Sun Microsystems, и управляющий партнер Александр Галицкий, основатель нескольких компаний — разработчиков ПО. Имена членов жюри будут скоро объявлены, а пока следите за новостями на портале almazcapital.com.

Условия участия

Условия участия

КАК ПРИНЯТЬ УЧАСТИЕ: Презентацию или описание проекта необходимо выслать на электронный адрес hack@almazcapital.com до 12:00 27.05.2015. Командам, приславшим свои проекты для конкурса до 15 мая 2015, эксперты Almaz Capital готовы оказать помощь в подготовке презентации для выступления перед жюри.

Призы

Призы

Победитель конкурса получит 1 500 000 рублей от компании Almaz Capital на дальнейшее развитие проекта, который будет представлен крупным компаниям венчурного капитала из Силиконовой долины, таким как Greylock, Mohr Davidow, USVP и LDV.

КОНКУРС СТАРТАПОВ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ

Advantech против кибергениев

Участникам конкурса будет предоставлена возможность получить доступ к современному оборудованию для промышленной автоматизации и получить над ним полный контроль, тем самым произвести выстрел из ракетной установки по секретному объекту.

Правила проведения

Правила проведения

Задача для посетителей: отключить работающее ПО, получить управление ракетной установкой, развернуть в сторону защищаемого объекта, поразить мишень. Напоминаем, ваша задача не вывести оборудование из строя, а заставить его выполнить требуемые вам действия.

Условия участия

Условия участия

Принять участие в конкурсе может любой гость форума. Если вам удалось выполнить поставленную задачу, пожалуйста, подойдите к сотруднику компании Advantech, оставьте свои координаты и изложите метод достижения результата.

Технические детали

Технические детали

Для участия в конкурсе необходимо иметь ноутбук или планшет.

Победители

Победители

1 место
Артур Григорьев

2 место
Петр Иванов

3 место
Александр Яров

Advantech против кибергениев


Полная программа форума в формате PDF

Уровни сложности

Лабиринт

«Лабиринт» на Positive Hack Days — это настоящий хакерский аттракцион. Всего за один час участникам предстоит преодолеть лазерное поле и датчики движения, открыть секретные двери, очистить комнату от «жучков», сразиться в интеллектуальном поединке с искусственным разумом и обезвредить бомбу. В ходе прохождения Лабиринта вам пригодятся навыки копания в мусоре (dumpster diving), взлома замков, поиска уязвимостей в приложениях, социальной инженерии, а также смекалка и физподготовка.

Как попасть в Лабиринт?

Для прохождения Лабиринта необходимо собрать команду из трех человек и зарегистрироваться в зоне конкурсов. Вам будет предложено свободное время старта. Помните, что прохождение Лабиринта может занять больше часа: ничего не планируйте на это время!

Правила проведения

Правила проведения

«Судья всегда прав». Если в ходе прорыва через периметр судья требует вернуться к началу этапа, это требование следует выполнять неукоснительно. Даже если вы не слышите душераздирающего воя охранной сирены.

«Трезвость — норма жизни». Не смешивайте «Лабиринт» с «Наливайкой»: чтобы не заплутать — нужно сохранять ясность рассудка.

«Ломать? Не, строить!» Избегайте деструктивных воздействий на инфраструктуру Лабиринта. Если вам кажется, что без использования Болтореза™ прохождение комнаты невозможно, — посоветуйтесь с судьей.

«Время не ждет». Если вы прошли комнату с опережением графика (на каждый из этапов отводится по 9 минут), вы можете использовать оставшееся время для выполнения дополнительных заданий. Выполнили все? Такого не бывает!

Победители

Победители

1 место
Antichat


2 место
Shkolota


3 место
Extra Team

Лабиринт