コンテスト


コンテスト参加は無料です。
※コンテスト会場しか入場できませんが、Code Blueカンファレンスチケットは不要です。
コンテストへの参加は、各3つのコンテストのそれぞれの登録フォームから登録を行って下さい。入場に関しては各コンテスト主催者からご説明します。

Hack2Win | Hack-a-Tron | CarHack4All 

Hack2Win

Hack2Win

Hack2Winは、世界中のリサーチャーの皆様のスキルをハードウェアデバイスに思いっきり挑戦していただけるイベントです。二日間のコンテストではこれらのデバイスに直接アクセスができ、もし意図しないアクセスや特権を得るなど攻略することが出来た方には賞品が提供されます。
登録フォーム: http://bit.ly/cb16h2w

Hack2Win

コンテストルール:
- 本コンテストの目的は、与えられたデバイスのいずれかで最高の権限を取得することです。 - 今回は二日間で別々のイベントを開催します。初日はコンテスト登録者には1時間ずつの挑戦時間が与えられます。二日目には、全参加者に開放し挑戦が可能になります。匿名アクセスも可能です。

コンテスト対象デバイス
対象デバイスは下記の通り。すべてAmazonで購入したもので、参加者の皆様にも手に入れやすいものにしました。
1. Ubiquiti Networks EdgeMAX EdgeRouter X ER-X
2. TP-LINK TL-WR740N
3. ヒューレット・パッカード ProCurve Switch 1700-8 J9079A#ACF
4. NUUO NVRmini 2 – Standalone DVR – 2 x 2 TB – networked
5. Cisco Systems(Small Business) SG300-10MPP-K9-JP 10-port Gigabit Max PoE+ Managed Switch
6. UPPEL 720p HD Wireless IP Cameras Remote Hidden Surveillance Wifi P2P Home security Spy Web Cam with 2-way Audio IR Day/Night Vision Motion Detection for Android IOS System
7. Ugreen HDMI 延長器 HDMI エクステンダー 120mまで延長 HDCP対応 3D 1080P支持 Cat5e/6/7 ルーター利用でマルチ画面可能 ACアダプタ付 送信受信セット
8. StarTech.com 10/100/1000 Mbps Gigabit 1 Port USB over IP Device Server (USB1000IP)
9. Home NetWerks 43802-PB WiFi Enabled Key Pad Door Lock with Lever Handle, Polished Brass Finish by Homewerks Worldwide

URL:
コンテストの詳細は下記URLにある公式サイトにて参照ください(英語)。
https://blogs.securiteam.com/?p=2780

公式サイトを抜粋し翻訳した内容を下記に示します。

賞品
- 1日日のイベントの賞金は、8,000米ドル、4,000米ドル、2,000米ドルです。
- 2日目のイベントの賞金は、3,000米ドル、2,000米ドル、1,000米ドルです。
- 各日とも、1位/2位/3位はハックされていないデバイスをハックした1名(またはグループ)から決定します。ハックされたデバイスは、ターゲットリストから削除されます。

判定クライテリア
1位/2位/3位の勝者判定のクライテリアは下記の通り。
- 攻撃の複雑さ — アクセスを達成するために必要とされたもの
- 革新的な方法 — 過去に見られない革新的なXSS、SQLi、RCE
- LAN/WANへの攻撃による影響 — WANに影響を与えた場合はより多くのポイントが与えられる
- 攻撃によって何が達成されたか — すべての挑戦者にはアクセスを与えられていない中でアクセスを可能にする必要があるため、ゲストアカウントのアクセスはrootアカウントと比較して低い価値と考慮する
- WRITEUPの品質 — (英語での)最高なWRITEUP、裁量の説明、詳細に説明されるなど

デバイス設定
- 全デバイスは工場出荷時の状態にリセットされています。すなわち、デフォルトの設定であり、デフォルトでない設定は、製品ガイドにある「admin」(あるいはそれに近い)アカウントのパスワードと、WiFiパスワードです(該当する場合)。

デバイスアクセス
- デバイスはWAN側イーサネットインターフェース、あるいはWiFi経由でアクセス出来ます。

何を”ハッキング”として認めるか
デバイスが下記のような状態になったときにデバイスはハックされたと考える
1. デバイスの管理者ウェブインターフェースへのアクセス権奪取(任意のクレデンシャルは与えられていなこと)
2. 無線パスワード等の設定ファイルのデータの変更。(注意:デバイスのIPアドレスの変更は考慮しない)
3. デバイスに想定しない動きをさせた場合:コードの実行、SSHやTelnetなど元々稼働していないポート/サービスのオープンなど
4. 予期しない革新的な何かをした場合。クリエイティブになってください!(例:実際にハッキングせずにカメラから画像を摘出するなど)

何をハッキングとして認めないか’
1. 起動不能、反応をなくす、DoSなどデバイスに危害を与えるような行為、それが意図的に起こされたと我々が感じた場合、参加者は直ちに失格とする。
2. デバイスを物理的にあける、参加者に許可した接続(イーサネット/WiFi)以外の手段でデバイスに接続しようとした場合
3. 既知のハッキングメソッドを使った場合 — 既知のメソッドとは、Google/Bing他で見つけられる方法など。これには(変更できない)デフォルトパスワードを含む文書、既知の脆弱性やセキュリティホールでGoogleやexploit-db等で見つけられるもの
4. BeyondSecurityがアンフェアだと考慮したもの — たとえばBeyondSecurityスタッフや個人をソーシャルエンジニアしたり、ターゲットリスト以外のデバイスにハックしてターゲットデバイスへのアクセス権を奪取するなど。

適格性
- コンテストは、参加者の国で賞金を受領してもよい法定年齢であれば誰でも参加可能です。もし賞金を受領できない場合、法定年齢を超えるメンバーとチームを編成するなどの対応をするなど事前に確認、調整をしておいてください。
- コンテストの対象デバイスの企業に勤務する方、開発に携わる方は参加出来ません。

受賞者の発表
- 二日目の終わりに1日目、2日目のすべての受賞者を発表します。その準備のため、二日目の会議終了の2-3時間前にコンテストは終了します。参加を希望する方はそれを見込んで早めに参加することをおすすめします。

登録方法
- 1日目のコンテスト参加には登録が必要です。メールあるいは以下のフォーム、当日会場での登録から選択可能です。それによってあなたの好みのデバイスに挑戦できる時間を得えることが出来ます。2日目のコンテストはネットワークに接続できるすべての方に開かれています。

- 1日目のイベントに参加したい方は、メール( )または下記のフォームより登録ください。
- 登録フォーム: http://bit.ly/cb16h2w

備考
コンテストはカンファレンスの全参加者、および聴講しないコンテスト参加者に開かれています。詳細は受付ないし5Fのコンテストブースまで起こしください。
勝者
勝者はカンファレンス終了時に発表されます。

Hack-a-Tron

Hack-a-Tron

PWNINGスタイル - ハイバーバイザー好きならぜひ挑戦を!

登録フォーム: http://bit.ly/cb16HaT

Hack-a-Tron

このコンテストでは、リアルタイムで皆様の攻撃の様子(ログ)を出力します(たまに大スクリーンに投影されます)。MCには上野宣氏をお迎えして、コメンテータと実況解説を行う他、コスプレコンパニオンがいます。ご来場の皆様には、挑戦者以外にも無料でお飲み物(ビール、ソフトドリンク)等をお配りする、新しいハッキングコンテストです。

賞金/賞品
賞品として、空撮可能なドローン(1万円程度)を参加者全員にプレゼントします。

コンテストルール:
[Day 1 – POWER OF FULL PURSUIT – 難易度: 初級>]
ファーストチャレンジ:11:00 〜12:00
セカンドチャレンジ :14:00 〜15:00
(勝者は17:00に発表予定)

競技参加者は自身のコンピュータを使って挑戦する個人戦です。Full Pursuitと呼ばれるカーネルの動きまで詳細に出力するロギングツール(※攻撃を防ぐような動作はしません)が入った4台のコンピュータが標的です。(尚、FULL PURSUITは警察庁に導入されています。)スイッチとLANケーブル(カテゴリ5e)は提供されます。競技参加者は自身のコンピュータとその他のデバイスを自由に使えます。競技は1時間の中でどれだけ多くの得点を獲得するかを競います。2回目にも連続出場OKです(同一端末を手配します)。

下記の攻撃は得点としてカウントします(2度めの同様の攻撃はカウントしません):
- スクリプトプロセスを用いた外部通信
- 管理者権限でのコマンド実行
- Windowsフォルダへのファイルの書き込み
- リモートデスクトップの有効化
- DEPのキャンセル
- 他のユーザメモリのエクスプロイト
- 他のシステムメモリを止める or エクスプロイト
- IDT (Interrupt Descriptor Table)の改ざん
- MBRの書き換え

競技ルール
競技の対象コンピュータの設定は下記の通り
-Toshiba Satellite Pro S750 Seriesに、コンテスト仕様のFull Pursuit(ロギングツール)、Windows 7 Professional 64bit SP1, Office 2010, Chrome, Firefox, Safari, Acrobat Reader, Java VM, Microsoft Security Essentials (最新版)
- 競技参加者にはゲストアカウントが与えられる

(失格につながる)違反行為
- 再起動、BSOD -- そこで即刻ゲームオーバー
- あらゆるデバイスの意図的な物理的破壊は失格となる
- OSの論理的破壊(起動しない)は失格となる

[Day 2 - INTΦへの攻撃 - 難易度:超難関]
-13:00 to 16:00
(勝者は16:30に発表予定)

1つの攻撃対象のコンピュータに1名の競技参加者が挑戦する個人戦です。
INTΦ(ゼロ)という製品のコンテスト仕様がインストールされた4台のコンピュータと、スイッチおよびLANケーブル(カテゴリ5e)が提供されます。競技参加者は自身のコンピュータとその他のデバイスを自由に使えます。競技は3時間の中でどれだけ多くの得点を獲得するかを競います。
INTΦとは、ハイパーバイザーの領域で動作するエンドポイントセキュリティ製品で、パターンマッチングではなく、コンピュータを守る独自のルールを持ち、ルールに抵触する行為は全て防ぎます。(http://ftron.co.jp/products/

下記の攻撃は得点としてカウントします(2度めの同様の攻撃はカウントしません)
- スクリプトプロセスを用いた外部通信
- 管理者権限でのコマンド実行
- Windowsフォルダへのファイルの書き込み
- リモートデスクトップの有効化
- レジストリの変更
- DEPのキャンセル
- 他のユーザメモリのエクスプロイト
- 他のシステムメモリの停止 or エクスプロイト
- IDT (Interrupt Descriptor Table)の改ざん
- MBRの書き換え

競技ルール
競技の対象コンピュータの設定は下記の通り
- Toshiba Satellite Pro S750 Seriesに、INTΦコンテスト版, Windows 7 Professional 64bit SP1, Office 2010, Chrome, Firefox, Safari, Acrobat Reader, Java VM (すべて最新版)
- 競技参加者にはゲストアカウントのみが与えられる

(失格につながる)違反行為
- BIOS設定の変更
- あらゆるデバイスの意図的な物理的破壊は失格となる
- OSの論理的破壊(起動しない)は失格となる

参加申込方法
日本時間の2016/10/5が〆切です10/17まで登録を延長しました。。遅い登録(および応募者多数)の場合は抽選となります。
- 事前登録フォーム form > http://bit.ly/cb16HaT
優勝者は二日目夜のネットワーキングパーティにご招待いたします。

勝者
1日目と2日目の勝者は当日の終わりに発表し、優勝者は二日目夜のパーティにご招待いたします。
挑戦者全員に参加賞あり。

CarHack4All

CarHack4All

このコンテストは自動車のコンピューターと相互接続されたメディアシステムを表すいくつかのスタンドで構成されています。参加者はシステムのより多くの制御する方法を見つける必要があります。コンテストではスタンダードあるいはフリースタイルのメソッドの選択ができます。競技中、無線あるいは有線の接続方法が使用できます。
登録フォーム: http://bit.ly/cb16ch4a

CarHack4All

コンテストルール
- 参加者は、CANToolz用にPython 3.5を事前インストールしておくか、他の車用ハッキングソフトを事前にインストールしておく必要があります。USBTinとubertoothをCANとBluetoothにつなぐために使います。ユニット制御テクニックを最も多く見つけた人が優勝です。 

備考
優勝者
結果はカンファレンス終了時に発表します。 

参加方法
- 事前登録フォーム: http://bit.ly/cb16ch4a

SPONSORS

EMERALD SPONSORS :

DIAMOND SPONSORS :

PLATINUM SPONSORS :

GOLD SPONSORS :

SILVER SPONSORS :

BRONZE SPONSORS :