Thể lệ vòng Chung kết cuộc thi an toàn không gian mạng WhiteHat Grand Prix 06
03:30:00 | 19-11-2019

I. Giới thiệu chung

  • Vòng chung kết WhiteHat Grand Prix 06 gồm 3 phần thi: Khởi động, Tăng tốc và Về đích
  • Cuộc thi sẽ diễn ra liên tục trong thời gian 8 tiếng: từ 09h30 đến 17h30 ngày 27/12/2020
  • Điểm cuối cùng của mỗi đội sẽ được tính bằng tổng điểm 3 phần thi Khởi động, Tăng tốc và Về đích. Các thử thách sau khi được mở sẽ được duy trì cho đến khi kết thúc cuộc thi.
  • Hệ thống giám sát của BTC sẽ được kích hoạt trong suốt cuộc thi.

II. Khởi động

Ở phần thi đầu tiên này, các đội sẽ thi dưới hình thức CTF – Jeopardy với các chủ đề: Reverse engineering (Dịch ngược mã nguồn phần mềm, unpack…), Web Security (Các kỹ thuật tấn công vào ứng dụng web), Cryptography (Lý thuyết mật mã và ứng dụng, phá mã), Pwnable (Khai thác lỗ hổng phần mềm), Miscellaneous (Hỗn hợp).

Cách tính điểm:

  • Điểm = 1.000 – (n-1)*50 (n= số đội giải được challenge)
  • Firstblood = 50 (điểm thưởng cho đội đầu tiên giải thành công challenge).
  • Nếu không có thông báo gì khác thì Flag sẽ có dạng WhiteHat{SHA1(this_is_a_flag)}

Lưu ý:
Sau khi phần thi Khởi động diễn ra được một khoảng thời gian, Ban tổ chức sẽ mở tiếp phần thi Tăng tốc.

III. Tăng tốc

Ở phần thi thứ hai này, các đội sẽ thi đấu đối kháng trực tiếp dưới hình thức CTF Attack/Defense.

Mỗi đội sẽ được cấp một Server có các dịch vụ đang hoạt động, được bảo vệ bởi một Firewall.

Mỗi đội sẽ bảo vệ các dịch vụ của đội mình trước các cuộc tấn công, đảm bảo dịch vụ luôn sẵn sàng cũng như tấn công các đội khác để lấy cờ ghi điểm.

Ban tổ chức sẽ cung cấp thông tin quản trị Firewall cho mỗi đội đồng thời công bố thông tin các dịch vụ của tất cả đội chơi khác.

Các dịch vụ sẽ được mở lần lượt theo kế hoạch của BTC. Dịch vụ và tài nguyên của các đội gồm:

  • Server dịch vụ:
    • Server chứa nhiều dịch vụ tồn tại lỗ hổng, tương ứng với các challenge.
    • Đội chơi không được cấp quyền quản trị server, thay đổi, vá binary file
    • Mỗi dịch vụ, tại một thời điểm nhất định có một Flag (Flag không có định dạng chuẩn).
    • Tất cả dịch vụ là giống hệt nhau với tất cả các đội trừ Flag.
  • Firewall:
    • Đóng vai trò đứng trước bảo vệ Server dịch vụ
    • Đội chơi được cấp quyền quản trị (root) và sử dụng Firewall này để áp dụng các biện pháp phòng thủ cho Server dịch vụ.

Phương pháp tính điểm:

  • Cuộc thi được chia thành các round, mỗi round có thời lượng từ 20 đến 30 phút.
  • Với mỗi đội chơi, có 3 loại điểm: điểm tấn công, điểm phòng thủ, điểm dịch vụ. Điểm của một round sẽ là tổng của 3 loại điểm trên.
  • Trong mỗi Round, dịch vụ sẽ được reset, flag được thay đổi.
  • Điểm tấn công: tấn công dịch vụ của các đội khác thành công và lấy được 1 flag sẽ được 20 điểm.
  • Điểm phòng thủ: Trước khi bắt đầu mỗi round, các đội sẽ được cộng 100 điểm/dịch vụ. Mỗi lần bị một đội khác lấy được flag sẽ bị trừ 10 điểm. Trong trường hợp một đội bị tất cả các đội khác tấn công và lấy được cờ, điểm phòng thủ sẽ bằng 0.
  • Điểm dịch vụ sẵn sàng: Dịch vụ gốc sẵn sàng tại thời điểm ban tổ chức kiểm tra ngẫu nhiên trong một round của mỗi đội. Tối đa là 100 điểm/ dịch vụ. Cụ thể:

Lưu ý:

  • Nếu điểm dịch vụ bằng 0, điểm phòng thủ cũng bằng 0.
  • Submit thành công một dịch vụ ngay ở lần đầu tiên, các đội sẽ thu thập được một key part. Ghép các key part này lại sẽ có được thông tin hoàn chỉnh để sử dụng trong phần thi Về đích.

IV. Về đích:

Đây là phần thi Jeopardy IoT. Nhiệm vụ của các đội là tấn công vào hệ thống quản lý an ninh của một tổ chức, khai thác các lỗ hổng bảo mật từ đó leo thang chiếm quyền điều khiển các thiết bị trong hệ thống. Hệ thống an ninh của tổ chức này bao gồm nhiều thành phần, chính là các thử thách mà các đội phải vượt qua.

Cách thức tính điểm: 

  • Một trong các thử thách là xâm nhập vào hệ thống an ninh và tắt được hệ thống điều khiển ánh sáng. Hoàn thành challenge này, các đội sẽ được cộng 1.000 điểm.
  • Hai thử thách còn lại được định giờ theo thời gian buộc các đội phải nỗ lực thực hiện nhanh nhất có thể, để bảo toàn được số điểm mà Ban tổ chức cho trước. Quỹ điểm dành cho mỗi đội thi ở phần này bao gồm: 2.000 cho bài camera, 1.500 điểm cho challenge sensor. Các đội phải chạy đua với thời gian, vượt qua thử thách càng sớm thì số điểm còn lại sẽ càng nhiều. Càng kéo dài thời gian giải đề thì số điểm trừ sẽ càng cao. Điểm bị trừ theo chu kỳ thời gian.
  • Submit thành công cả ba thử thách, các đội sẽ lấy được final flag và được cộng thêm 500 điểm.

V. Nghiêm cấm

  • Tấn công mang tính phá hoại vào các server tính điểm hoặc các chủ thể khác không nằm trong yêu cầu của cuộc thi
  • DOS/DDOS hạ tầng, làm cản trợ việc thi đấu của các đội khác
  • Chia sẻ flag giữa các đội
  • Các hành vi gian lận khác…

VI. Quy định chung

  • Quyết định của BTC là quyết định cuối cùng.
  • Tùy thuộc vào mức độ nghiêm trọng của các hành vi vi phạm mà đội chơi có thể bị nhắc nhở, phạt điểm, hoặc bị truất quyền thi đấu.
  • Trong trường hợp cần thiết, BTC có quyền thay đổi nội dung thể lệ này và những thay đổi đó sẽ được thông báo cho các đội qua email.

----------------------------------------

Thể lệ vòng Sơ loại cuộc thi an toàn không gian mạng WhiteHat Grand Prix 06

1. QUY ĐỊNH CHUNG

1.1. Các tập thể, cá nhân tham dự cuộc thi trên nguyên tắc tự nguyện và tự giác chấp hành Thể lệ cuộc thi.

1.2. Mọi thông tin của cuộc thi được công bố tại https://Grandprix.WhiteHatVN.comhttps://ctftime.org/event/942/

2. MỤC ĐÍCH CUỘC THI

2.2. Kích thích, khơi gợi tinh thần học tập, rèn luyện, nâng cao kỹ năng

2.3. Tăng cường khả năng làm việc tập thể, giao lưu, học hỏi, chia sẻ kinh nghiệm trong nước và quốc tế

2.4. Tìm kiếm, phát hiện và hỗ trợ khắc phục các lỗ hổng trên các hệ thống trọng yếu, phền mềm thông dụng.

3. CHỦ ĐỀ CUỘC THI: Vietnam Today – Việt Nam hôm nay

4. ĐƠN VỊ BẢO TRỢ CUỘC THI: Bộ Thông tin và Truyền thông

5.ĐƠN VỊ TỔ CHỨC CUỘC THI:

Cục An toàn thông tin - Bộ Thông tin và Truyền thông

Cộng đồng An ninh mạng Việt Nam WhiteHat.vn

6. ĐƠN VỊ TÀI TRỢ CUỘC THI: Tập đoàn công nghệ Bkav

7. ĐƠN VỊ RA ĐỀ: Cục An toàn thông tin, Bkav Team, CyStack, Đại học Duy Tân

8. CƠ CẤU GIẢI THƯỞNG

Tổng giải thưởng của một đội có thể nhận được là tiền thưởng từ chương trình Bug Bounty và phần thi Attack/Defense.

8.1 Phần thi Attack/Defense

- Giải nhất: 230 triệu đồng (10,000$), Cúp, Giấy chứng nhận của BTC

- Giải nhì: 45 triệu đồng (2,000$), Giấy chứng nhận của BTC

- Giải ba: 23 triệu đồng (1,000$), Giấy chứng nhận của BTC

8.2 Phần Private Bug Bounty

- Các đội chơi sẽ tham gia phần thi Bug bounty trên hệ thống mô phỏng, với mỗi Bug tìm được các đội sẽ được cộng điểm theo mức: Nguy hiểm, cao, Trung bình và thấp

- Các đội sẽ nhận được thêm các mức thưởng từ số điểm kiếm được trong phần thi Bug Bounty.

9. PHẠM VI VÀ ĐỐI TƯỢNG DỰ THI

9.1. Đối tượng tham gia cuộc thi: Tất cả các đội không giới hạn Quốc gia và vùng lãnh thổ trên toàn thế giới.

9.2. Các cá nhân, tổ chức là thành viên của Ban tổ chức không được tham gia dự thi, thành viên BQT diễn đàn WhiteHat.vn không được tham gia cuộc thi.

9.3. Các cá nhân, tổ chức có liên quan (trực tiếp ra đề/ hỗ trợ một phần đề thi) của các nhóm ra đề (Cục An toàn thông tin, Bkav Team, CyStack, Đại học Duy Tân) không được tham gia cuộc thi.

10. PHƯƠNG THỨC TỔ CHỨC THI

10.1. Vòng loại: Chọn ra 10 đội vào Vòng chung kết.

Hình thức: CTF – Jeopardy Online với các chủ đề: Reverse engineering (Dịch ngược mã nguồn phần mềm, unpack…), Web Security (Các kỹ thuật tấn công vào ứng dụng web) Cryptography (Lý thuyết mật mã và ứng dụng, phá mã), Pwnable (Khai thác lỗ hổng phần mềm), Miscellaneous (Hỗn hợp)

Cách chọn 10 đội vào Vòng chung kết: Theo điểm từ cao xuống thấp, trong đó mỗi quốc gia và vùng lãnh thổ lấy tối đa 3 đội có điểm cao nhất của quốc gia và vùng lãnh thổ đó. Thông tin về quốc gia sẽ được kiểm tra trước khi diễn ra Vòng chung kết, một đội được coi là hợp lệ nếu có ít nhất một thành viên là công dân của quốc gia/vùng lãnh thổ đó.

Thời gian đăng ký: Từ 09h00’ (UTC+7) ngày 06/12/2019 đến khi kết thúc vòng loại

Thời gian thi: Từ 09h00 thứ 7 ngày 04/01/2020 đến 09h00 Chủ Nhật ngày 05/01/2020 (UTC +7)

Cách thức đăng ký tham gia: Đăng ký online tại https://GrandPrix.WhiteHatVN.com hoặc https://ctftime.org/event/942/

10.2. Vòng chung kết: 10 đội lọt vào Vòng chung kết sẽ thi đấu trực tiếp để chọn ra 03 đội xuất sắc nhất

Hình thức: Private Bug Bounty và Attack/Defense

Private Bug Bounty là chương trình tìm kiếm lỗ hổng  dành riêng cho 10 đội chơi lọt vào vòng chung kết.  Thời gian của chương trình diễn ra trong thời gian tổ chức vòng chung kết.

11. CÁC QUY ĐỊNH VÀ LƯU Ý KHI DỰ THI

11.1. Nghiêm cấm việc tấn công mang tính phá hoại vào server tính điểm hoặc các chủ thể khác không nằm trong yêu cầu của đề thi, DOS/DDOS hạ tầng, làm cản trở việc thi đấu của các đội khác.

11.2. Nghiêm cấm chia sẻ Flag giữa các đội.

11.3. Nếu không có thông báo gì khác thì Flag sẽ có dạng WhiteHat{SHA1(this_is_a_flag)}.

11.4. Nếu phát hiện bất kỳ vấn đề gì với đề thi, các đội thi cần liên lạc ngay với BTC.

11.5. Phải chấp hành nghiêm các quy chế và quy định của cuộc thi. Mọi vi phạm, tùy theo mức độ nặng nhẹ mà có thể bị nhắc nhở, cảnh cáo, trừ điểm hoặc loại khỏi cuộc thi. Quyết định của Ban tổ chức là quyết định cuối cùng.

11.6. Có thể có các gợi ý trong quá trình thi đấu, tùy vào tình hình làm bài của các đội.

11.7. Trong trường hợp các đội thi có cùng số điểm, thứ hạng sẽ được ưu tiên cho đội có thời gian gửi kết quả sớm hơn.

11.8. Các đội lọt vào vòng chung kết phải gửi write-up các bài thi đã giải được cho BTC.

11.9. Các đội không được đổi thông tin quốc gia từ thời điểm bắt đầu thi vòng loại.

12. BAN HÀNH THỂ LỆ

Bản Thể lệ này đã được Ban tổ chức cuộc thi thông qua và có hiệu lực kể từ ngày ban hành. Trong quá trình tổ chức thực hiện, nếu có điều chỉnh, thay đổi, Ban Tổ chức sẽ có thông báo kịp thời đến các đội tham dự và cập nhật trên https://Grandprix.WhiteHatVN.com.

=============================

  • Cách tính điểm vòng loại:

1. Điểm = 500 – (số đội giải được)*10 (500>=Điểm>=100)

2. Firstblood = 10 (điểm thưởng cho đội đầu tiên giải thành công chall)

3. Nếu không có thông báo gì khác thì Flag sẽ có dạng WhiteHat{SHA1(this_is_a_flag)}

4. 10 đội lọt vào vòng chung kết phải gửi writeup những bài giải được cho BTC

5. 10 đội có điểm cao nhất vòng loại sẽ được tham dự vòng chung kết dự kiến tổ chức vào đầu năm 2020.

6. Cách chọn 10 đội vào vòng chung kết: Theo điểm từ cao xuống thấp, trong đó mỗi quốc gia và vùng lãnh thổ lấy tối đa 3 đội có điểm cao nhất của quốc gia và vùng lãnh thổ đó. Thông tin về quốc gia sẽ được kiểm tra trước khi diễn ra vòng chung kết, một đội được coi là hợp lệ nếu có ít nhất một thành viên là công dân của quốc gia/vùng lãnh thổ đó.

7. Kênh hỗ trợ:

Slack: https://whitehatgrandprix06.slack.com/

Facebook: https://www.facebook.com/whitehatvn