Сергей @sergeybelove Белов, исследователь безопасности Digital Security, уже не первый год отвечает за организацию HackQuest перед ZERONIGHTS. В нашей любимой рубрике ZERONIGHTS Heroes он рассказывает кое-что про конкурс и задания, делится воспоминаниями прошлых лет и приглашает проверить свои силы в юбилейном квесте.

Каждый год перед ZERONIGHTS мы проводим своеобразное соревнование на взлом среди всех желающих - хакквест. Последние два года делали его в формате 1 задание на 24 часа, 7 заданий - 7 дней. Все таски связаны с offensive security, т.е. нужно что-то «поломать» - разреверсить бинарь, написать бинарный сплоит, обойти песочницу (pysandbox), обойти CSP и заставить бота выполнить XSS, поломать какую-нибудь хардварную штуку (удаленно!), атаковать реальный Oracle-сервер и решить другие подобные задачи. В общем, уровень мы стараемся задавать хардкорный (а как иначе – это ж ZERONIGHTS!), причем жестим не в стиле "фиг пойми что тут придумали и что тут делать", как это бывает на различных CTF'ах, а именно в части технической сложности. Чтобы решить наши задания, нужно быть в тренде новых атак или просто уметь очень быстро разобраться в технологии. Таски готовятся командой организаторов DSec. 

Было бы преуменьшением сказать, что для решения задач нашего HackQuest достаточно обладать специальными навыками, а опыт не так важен. Конечно, он имеет значение. И иногда пригодится опыт не одного человека, а целой команды специалистов высокого уровня. Например, чтобы решить задание по перехвату ботнета с прошлогоднего хакквеста, построенного с применением реально работающих в мире техник (управление через соц. сети, миграция в другие процессы, сокрытие, обфускация и т.п.), необходимо было обладать экспертизой сразу в нескольких областях. Объем работы в итоге оказался слишком большим, и время на решение таска приходилось несколько раз продлевать. Это неудивительно, учитывая, что над его созданием трудилось несколько человек не один день. В итоге, это задание стало одним из самых эпичных за всю историю нашего хакквеста.

А вот из забавного. Бывало, что мы давали совсем нетипичные задания. К примеру, однажды поставили цель произвести деанонимизацию конкретного человека, известного среди "хакерских кругов", - Дмитрия Бумова. Многие сначала удивились - разве это не его реальное имя? Но приступили к процессу. Интересно, что буквально через несколько минут после старта задания был дан правильный ответ, но участник наотрез отказался рассказать о том, как ему удалось узнать правду, в связи с чем мы не смогли ему засчитать победу (да и он сам сказал, что это нормально). 

По нашим правилам «победитель получает все», а именно — инвайт на конференцию и всеобщий почет. Бывает, что после подведения итогов участники отказываются называть свои личные данные для инвайта (анонимность для многих превыше всего). Так что некоторые победители у нас так и числятся под никнеймами.

Стоит отметить, что участников, занимающих первые места, мы почти всегда знаем лично, но бывают и неожиданности. С совершенно незнакомыми призерами мы стараемся сразу наладить контакт, подкидываем идею участвовать в следующем ZERONIGHTS с докладом.

Кстати, в этом году мы, возможно, чуть изменим формат хакквеста, постараемся сделать его более динамичным. Каждый год нас просят давать больше веб-тасков. Ну что, на этот раз вас ждет несколько интересных кейсов!

Ждите, участвуйте и дерзайте в приближающемся ZERONIGHTS HackQuest'2015!

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии