Сергей @sergeybelove Белов, исследователь безопасности Digital Security, уже не первый год отвечает за организацию HackQuest перед ZERONIGHTS. В нашей любимой рубрике ZERONIGHTS Heroes он рассказывает кое-что про конкурс и задания, делится воспоминаниями прошлых лет и приглашает проверить свои силы в юбилейном квесте.

Каждый год перед ZERONIGHTS мы проводим своеобразное соревнование на взлом среди всех желающих — хакквест. Последние два года делали его в формате 1 задание на 24 часа, 7 заданий — 7 дней. Все таски связаны с offensive security, т.е. нужно что-то «поломать» — разреверсить бинарь, написать бинарный сплоит, обойти песочницу (pysandbox), обойти CSP и заставить бота выполнить XSS, поломать какую-нибудь хардварную штуку (удаленно!), атаковать реальный Oracle-сервер и решить другие подобные задачи. В общем, уровень мы стараемся задавать хардкорный (а как иначе – это ж ZERONIGHTS!), причем жестим не в стиле «фиг пойми что тут придумали и что тут делать», как это бывает на различных CTF’ах, а именно в части технической сложности. Чтобы решить наши задания, нужно быть в тренде новых атак или просто уметь очень быстро разобраться в технологии. Таски готовятся командой организаторов DSec. 

Было бы преуменьшением сказать, что для решения задач нашего HackQuest достаточно обладать специальными навыками, а опыт не так важен. Конечно, он имеет значение. И иногда пригодится опыт не одного человека, а целой команды специалистов высокого уровня. Например, чтобы решить задание по перехвату ботнета с прошлогоднего хакквеста, построенного с применением реально работающих в мире техник (управление через соц. сети, миграция в другие процессы, сокрытие, обфускация и т.п.), необходимо было обладать экспертизой сразу в нескольких областях. Объем работы в итоге оказался слишком большим, и время на решение таска приходилось несколько раз продлевать. Это неудивительно, учитывая, что над его созданием трудилось несколько человек не один день. В итоге, это задание стало одним из самых эпичных за всю историю нашего хакквеста.

А вот из забавного. Бывало, что мы давали совсем нетипичные задания. К примеру, однажды поставили цель произвести деанонимизацию конкретного человека, известного среди «хакерских кругов», — Дмитрия Бумова. Многие сначала удивились — разве это не его реальное имя? Но приступили к процессу. Интересно, что буквально через несколько минут после старта задания был дан правильный ответ, но участник наотрез отказался рассказать о том, как ему удалось узнать правду, в связи с чем мы не смогли ему засчитать победу (да и он сам сказал, что это нормально). 

По нашим правилам «победитель получает все», а именно — инвайт на конференцию и всеобщий почет. Бывает, что после подведения итогов участники отказываются называть свои личные данные для инвайта (анонимность для многих превыше всего). Так что некоторые победители у нас так и числятся под никнеймами.

Стоит отметить, что участников, занимающих первые места, мы почти всегда знаем лично, но бывают и неожиданности. С совершенно незнакомыми призерами мы стараемся сразу наладить контакт, подкидываем идею участвовать в следующем ZERONIGHTS с докладом.

Кстати, в этом году мы, возможно, чуть изменим формат хакквеста, постараемся сделать его более динамичным. Каждый год нас просят давать больше веб-тасков. Ну что, на этот раз вас ждет несколько интересных кейсов!

Ждите, участвуйте и дерзайте в приближающемся ZERONIGHTS HackQuest’2015!

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…