Secure The Flag

Back to Posts

Secure The Flag

Recentemente abbiamo anticipato su Slack l’arrivo di alcune novità, i più attenti di voi avranno notato l’aggiunta di un importante partner: Bitdefender, nota software house dell’omonimo antivirus.

Cogliamo pertanto questa occasione per presentarvi il nostro primo hack contest:

VoidSec Secure The Flag

Il contest preparato dallo staff di VoidSec si articolerà in una serie di sfide di difficoltà crescente che porteranno i partecipanti alla sfida finale.

Qui le recensioni dei nostri betatester che hanno avuto la fortuna di provarlo in anteprima.

In palio per i primi tre vincitori una licenza per il prodotto Bitdefender Internet Security 2015

Regolamento:

  • Come partecipare?
    Per partecipare basterà lasciare il proprio Nome, Cognome e contatto e-mail nell’apposito form sottostante. La CTF è terminata in data 11/10/15.
  • Chi può partecipare e quali saranno i costi?
    Il contest è aperto a tutti ed è completamente gratuito.
  • Quando avrà luogo il contest?
    Il contest avrà inizio Sabato 26 Settembre 2015 e terminerà Domenica 11 Ottobre alle ore 00:00
    Ultimo termine per la consegna dei report: Domenica 11 Ottobre ore 00:00
  • Quale sarà la meccanica del contest?
    Il contest prevede la “cattura” di una serie di Flag di difficoltà crescente fino al raggiungimento della prova finale, un elenco di file cifrati contenenti i sorgenti delle flag affrontate nei punti precedenti. A partire da questi sorgenti i partecipanti dovranno redarre dei report contenenti le mitigation delle vulnerabilità sfruttate nella fase di penetration test.
    La soluzione per poter essere accettata deve essere così formata:

    • un archivio contenente un report con la lista delle flag (vulnerabilità) riscontrate
    • una descrizione puntuale delle stesse
    • la modalità utilizzata per l’exploiting (è possibile allegare screenshot o allegati tecnici)
    • il nome del software commerciale o il sorgente del software utilizzato per “decifrare” il file finale
    • il contenuto del file (decifrato)
    • le possibili soluzioni (mitigation) alle vulnerabilità riscontrate.
  • Formato archivio: .zip, formato report: .pdf
    Il contest si concluderà con tre finalisti distinti.

    Bitdefender sponsorizza l’evento mettendo a disposizione tre licenze destinate ai vincitori.I report saranno valutati a giudizio insindacabile dallo staff di VoidSec (VoidSec, kalup, bughardy), a parità di completezza del report e di numero di flag trovate (e solo in questo caso) si valuterà l’orario di ricezione delle e-mail contenenti il report.
  • Come comunicare la soluzione?
    Una volta risolte le flag, decifrati i file e redatto il report occorrerà inviare la soluzione insieme al proprio nome e cognome all’indirizzo e-mail: hackcontest@voidsec.com
  • Qual è il premio per i vincitori?
    Una licenza per il prodotto Bitdefender Internet Security 2015 per ciascuno dei tre vincitori.
  • Come verranno comunicati i tre finalisti del contest?
    Al termine del contest, nell’apposita sezione del nostro forum, verranno comunicati i nomi dei tre vincitori. http://forum.voidsec.com/forum-47.html
  • Come verranno consegnati i premi?
    Terminato il contest, dopo la proclamazione dei tre vincitori, quest’ultimi verranno contattati in privato via e-mail, tramite la quale verrà consegnata la licenza premio.
  • Si può essere esclusi dal contest?
    I partecipanti che violano le “Regole di condotta” verranno esclusi dal contest

Regole di condotta

Occorre assumere un comportamento professionale, non si dovrà modificare, alterare o tentare di manipolare alcun elemento del contest. Non sono ammessi attacchi di tipo Denial of Service (DoS) di qualsiasi tipo, né nei confronti del server né nei confronti degli altri partecipanti.

Non si dovrà riavviare, arrestare o disattivare in modo intenzionale i servizi o le funzioni del sistema target.

Non si devono attuare azioni offensive che causano interferenze con gli altri partecipanti.
Sono vietati tutti gli scanner automatici di vulnerabilità (es. Acunetix, Netsparker, WebInspect, ecc.), è permesso l’utilizzo di software quali Burp Suite e Zed Attack Proxy (ZAP).

Torino, 02/07/2015

Team VoidSec

Share this post

Back to Posts