В статье сплошное вранье: про 20% проекты, про «неожиданное» учреждение Alphabet, про увольнения, про офисы… Бред. Зачем вообще люди это придумывают и пишут, непонятно :)
Что за бред я только что прочитал? Люди рассуждают о чем-то, руководствуясь слухами и домыслами, которые не совпадают с реальностью. Какая-то желтуха получается, а не хабр.
Не увидел в статье информации о произошедшем в рамках конкурса инциденте и дублировании очков.
«Большой ку$h» – традиционный для CTF конкурс. Взлом системы ДБО в ограниченное время с реальным денежным призом, это очень круто, но… Давайте по порядку. Есть конкурс, есть правила, есть победитель. Заранее анонсируют максимальное количество очков за конкурс, заранее всем объясняют, как именно очки будут распределены по итогам конкурса. Как так выходит, что в итоге одно и то же количество очков за победу получают две команды? Одна команда всю ночь готовится к конкурсу, анализирует систему, пишет эксплоиты и, как результат, успешно набирает баллы в конкурсе, а другая команда в итоге забирает себе победу и почти все очки с помощью сетевой атаки. Как бы ОК, все в порядке вещей, это хакерские соревнования, и их смысл в проведении кибер-атак. Но прежде всего, это соревнования, которые проводятся по определенным правилам. Согласно правилам, атаки на сетевом уровне (также как и атаки на других участников) или запрещены, или разрешены. На основании данного критерия по итогам конкурса выбирается победитель в условиях той ситуации, которая произошла в этом году. Почему в итоге всем наплевать на правила?
Также не могу не прокомментировать вот это:
В этом году отдельные конкурсы стали частью CTF (подробнее в нашей статье на Хабрахабре), и, наряду с гостями форума, участвовать в соревнованиях могли CTF-команды.
На PHD есть командные соревнования CTF, в которых учитывается суммарный рейтинг по очкам, набранным в разных категориях (в этом году – в разных конкурсах). Одновременно с этим, все конкурсы сами по себе являются доступными для всех посетителей форума, и для каждого из конкурсов есть свой отдельный рейтинг. Причем в одних конкурсах участников CTF удаляют из общего рейтинга, а в других – нет. Что особенно неприятно, удаляют уже во время соревнований, без предупреждения ДО их начала. В итоге выходит, что победители в «Leave ATM Alone» или в «Большой ку$h» получают награды и за CTF и еще отдельно за общие конкурсы, а победители «Конкурентной Разведки», например, за общий конкурс ничего не получают. Потому что лидера в «Конкурентной Разведке» выкинули из общего рейтинга из-за того, он являлся участником одной из CTF-команд. Что за двойные стандарты? Или для CTF-ников нет ограничений, или они должны быть одинаковыми для всех конкурсов, имхо. В крайнем случае, если какой-то из конкурсов особенный, нужно заранее предупредить все команды, что в общем рейтинге они не могут ни на что претендовать, но никоим образом не выкидывать лидера рейтинга в том или ином конкурсе уже во время его проведения.
У них еще кстати страница авторизации позволяет перебирать логины. По крайней мере для российского Старбакса. Если учетной записи с введенным логином не существует, система любезно сообщает об этом. Так что неудивительно, что они страдают от таких проблем.
Я так и не понял из ответа, Вам известны прецеденты, когда человек был осужден и получил реальный срок по какой-либо из этих статей за социальную инженерию на территории РФ?
А как изменение примера могло повлиять на поведение? Пример могли вообще удалить, его присутствие необязательно.
Какого-то нового описания разыменования нулевого указателя не появилось, поэтому по данному вопросу все так же, как и было. Пункт 1.9/4 устанавливает неопределенное поведение.
Жаль, что за social engineering не начисляли баллы. Похоже, что мы бы получили first blood, т.к. в самом начале услышали объявление от организаторов, что Интернет доступен через Wi-Fi, а через Ethernet — только игровая сеть.
Да, мне тоже это кажется самым вероятным сценарием, что просто кто-то из организаторов не вовремя ввел пароль, а потом не удалил из истории.
Или еще один вариант, чуть более хардкорный — .bash_history вообще не должен был быть доступен, нужно было прочитать /etc/hosts и затем перебрать через XXE порты хостов Wopr и Osiris, т.к. с наших IP адресов эти хосты не были доступны.
то есть, на каждый вариант входных данных всегда будет тратиться 1 секунда?
Какой-нибудь много- поточный/процессорный режим есть у AFL?
А вообще круто, что рассмотренные статические анализаторы не обнаружили баг, в отличие от фаззера :)
«Большой ку$h» – традиционный для CTF конкурс. Взлом системы ДБО в ограниченное время с реальным денежным призом, это очень круто, но… Давайте по порядку. Есть конкурс, есть правила, есть победитель. Заранее анонсируют максимальное количество очков за конкурс, заранее всем объясняют, как именно очки будут распределены по итогам конкурса. Как так выходит, что в итоге одно и то же количество очков за победу получают две команды? Одна команда всю ночь готовится к конкурсу, анализирует систему, пишет эксплоиты и, как результат, успешно набирает баллы в конкурсе, а другая команда в итоге забирает себе победу и почти все очки с помощью сетевой атаки. Как бы ОК, все в порядке вещей, это хакерские соревнования, и их смысл в проведении кибер-атак. Но прежде всего, это соревнования, которые проводятся по определенным правилам. Согласно правилам, атаки на сетевом уровне (также как и атаки на других участников) или запрещены, или разрешены. На основании данного критерия по итогам конкурса выбирается победитель в условиях той ситуации, которая произошла в этом году. Почему в итоге всем наплевать на правила?
Также не могу не прокомментировать вот это:
На PHD есть командные соревнования CTF, в которых учитывается суммарный рейтинг по очкам, набранным в разных категориях (в этом году – в разных конкурсах). Одновременно с этим, все конкурсы сами по себе являются доступными для всех посетителей форума, и для каждого из конкурсов есть свой отдельный рейтинг. Причем в одних конкурсах участников CTF удаляют из общего рейтинга, а в других – нет. Что особенно неприятно, удаляют уже во время соревнований, без предупреждения ДО их начала. В итоге выходит, что победители в «Leave ATM Alone» или в «Большой ку$h» получают награды и за CTF и еще отдельно за общие конкурсы, а победители «Конкурентной Разведки», например, за общий конкурс ничего не получают. Потому что лидера в «Конкурентной Разведке» выкинули из общего рейтинга из-за того, он являлся участником одной из CTF-команд. Что за двойные стандарты? Или для CTF-ников нет ограничений, или они должны быть одинаковыми для всех конкурсов, имхо. В крайнем случае, если какой-то из конкурсов особенный, нужно заранее предупредить все команды, что в общем рейтинге они не могут ни на что претендовать, но никоим образом не выкидывать лидера рейтинга в том или ином конкурсе уже во время его проведения.
structTypeName r1 = { 0 };
structTypeName r2 = { 0 };
Какого-то нового описания разыменования нулевого указателя не появилось, поэтому по данному вопросу все так же, как и было. Пункт 1.9/4 устанавливает неопределенное поведение.
В стандарте C++03 есть разъяснение. Пункты 1.9/4 и 5.2.5/3.
Насколько мне известно, это называется unspecified behaviour.
А неопределенное поведение потому и названо так, что оно не определено. И никаких вариантов нет.
А какие бывают варианты неопределенного поведения?
Или еще один вариант, чуть более хардкорный — .bash_history вообще не должен был быть доступен, нужно было прочитать /etc/hosts и затем перебрать через XXE порты хостов Wopr и Osiris, т.к. с наших IP адресов эти хосты не были доступны.
Взрывная статья, спасибо!