Pull to refresh

3070 часов хак-квеста, отчёт и рассказы участников

КРОК corporate blog Sport programming *

Участники одного из оффлайновых хакерских турниров Cyber Readiness Challenge

В пятницу закончилась онлайн-игра хак-квеста Cyber Readiness Challenge, которую проводили Symantec и КРОК.

Частенько встречаются хакквесты, которые делают люди, далекие от профессионального инфобеза. Такие квесты можно узнать по заданиям на угадайку: для прохождения требуются не столько скиллы, сколько везение и угадывание что имел в виду автор. А здесь, похоже, получилась очень редкая вещь: соревнование делали люди, шарящие в инфобезе, но при этом далекие от мира CTF. В результате таски получились с одной стороны наивными, но в то же время технически правильными. В одном соревновании сошлись задания вида «Просканируйте сетку. Сколько у нас машин в сети?» и хардкорчик вроде «Расшифруйте заксоренный блок base64, мультибайтовый xor-ключ неизвестен».
Влад «vos» Росков

Участники подключались к симулятору, моделирующему сеть крупной корпорации EDC. По сценарию в системе безопасности EDC произошло несколько инцидентов. Компания нанимает разобраться в случившемся лучших экспертов в области информационной безопасности, чтобы доказать или опровергнуть возможность взлома.

В целом на игру ушло около 3070 часов (общее время, затраченное участниками). Всего в турнире залогинилось 143 игрока из разных регионов России, из которых активно участвовало примерно две трети.
Читать дальше →
Total votes 25: ↑23 and ↓2 +21
Views 20K
Comments 7

Приглашаю на хак-квест в Москве – last call

КРОК corporate blog

Специалисты по инфобезопасности на турнире Symantec Cyber Readiness Challenge в Торонто, 2012 г.

Привет!
Я уже много писала про подготовку нашего большого хакерского квеста.

Коротко основное:
  • Это CTF в симуляторе сети крупной корпорации.
  • Симулятор изначально делался для обучения специалистов ИБ, но стал развлечением.
  • Такие турниры проводятся по всему миру и собирают сотни участников.
  • Российский турнир будет в Москве 10 сентября параллельно с конференцией по информационной безопасности.

Теперь главное: приглашаю к участию.
Несколько десятков мест ещё есть.
Это бесплатно.
Пристёгивайте ремни — и поехали!
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Views 6.1K
Comments 3

Рассказы участников о недавнем хак-квесте

КРОК corporate blog Information Security *Sport programming *

«Этичный хакер», участник хак-квеста

Вот здесь лежит отчёт с конференции по информационной безопасности, на которую приезжал Митник. Параллельно шла оффлайн-игра – CTF в симуляторе корпоративной сети, Symantec Cyber Readiness Challenge. Онлайн этап состоялся летом, а это был завершающий, его победитель едет на международный турнир в Ниццу защищать честь нашей страны.

Скорость взятия флагов нашими участниками удивила и порадовала технических экспертов Symantec из Англии.

Ниже — рассказы участников.
Читать дальше →
Total votes 42: ↑39 and ↓3 +36
Views 25K
Comments 8

Делаем USB-ключ из Arduino для обхода беспарольной авторизации

НеоБИТ corporate blog Information Security *Programming *CTF *
Обход беспарольной авторизации уже давно будоражит умы компьютерных энтузиастов. При мыслях о биометрике по спине проходит холодок: ну а вдруг как отрежут палец или вырвут глаз? А самый гуманный и уже никого не удивляющий способ — это, конечно, USB-ключи.

На очном туре NeoQUEST-2013 мы предложили участникам взломать авторизацию на базе созданного нами USB-ключа, сделанного из Arduino. Для успешного прохождения задания участникам нужно было самим подделать USB-ключ, реализовав на Arduino довольно примитивный механизм авторизации, заключающийся в перемножении нескольких матриц. На первый взгляд, всё просто, однако задание было не без «подводных камней». О том, как тривиальная задача перемножения матриц на Arduino может вызвать затруднения у крутых специалистов, способных без проблем написать драйвер, хакнуть ботнет, и вообще обойти практически любую технологию защиты, читайте под катом.
Читать дальше →
Total votes 25: ↑19 and ↓6 +13
Views 23K
Comments 6

Поле битвы — гипервизор

НеоБИТ corporate blog Information Security *CTF *
image В одном из заданий очного тура хакерского соревнования NeoQUEST-2013 участникам квеста противостоял грозный противник — гипервизор! Для побега из тюрьмы им нужно было всего лишь считать строчку из памяти процесса. Но было несколько НО… Гипервизор всячески усложнял нашим конкурсантам жизнь, а именно:
• не давал просто так читать память процесса, контролируя адресное пространство
• выполнял роль антиотладчика
• проверял целостность образа процесса, вычисляя хэш его секции
• осуществлял привязку программы к компьютеру, и т.д.

Участникам пришлось как следует поломать головы, чтобы найти нетривиальное решение обхода гипервизора! Представим себя на их месте и сразимся с гипервизором, шаг за шагом, набивая «шишки», то и дело возвращаясь на шаг назад, и, в конце концов, добьемся победы и получим ключ! Под катом — детальное рассмотрение того, как гипервизор контролировал доступ к ключу, и какие способы его обхода пытались применить участники.

Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views 16K
Comments 8

Рояль, азот и котик: как это было

RUVDS.com corporate blog Information Security *Hackathon Reading room DIY
Если кто-то пропустил, то с 24 по 28 мая мы реализовали проект под кодовым названием «Рояль, азот и котик». И настало время рассказать о том, как мы всё организовали, с грязными подробностями, скандалами, интригами и расследованиями.

Сразу скажем, что это был, пожалуй, самый смелый и необычный проект для нашей компании. 

Итак, наливайте в кружку кофе, смузи или ягер, и устраивайтесь поудобнее: впереди много гик-порно, мужиков с перфораторами и сварочными аппаратами, красивых девушек и, собственно, самого рояля «Красный октябрь», который, как и полагается музыкальному инструменту Made in USSR, пережил падение и даже не расстроился (в прямом и переносном смысле). Чего не скажешь о капиталистическом ноутбуке… 

Всё началось с идеи. «Ты никогда не знаешь, когда на тебя упадет рояль» — фраза, которая не один раз обыгрывалась в литературе и кинематографе и описывает гипотетическую ситуацию, когда происходит какое-то нелепое событие, которое, скажем так, «вносит коррективы» в планы главного героя.  


Но, обо всем по порядку
Total votes 49: ↑42 and ↓7 +35
Views 5.2K
Comments 7