Versenyszabályzat

Versenyszabályzat

1. A verseny célja

  1. A verseny legfőbb célja a kiberbiztonsági, technikai képességek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése, új tehetségek felkutatása és a kiberbiztonsági tudatosság növelése. A verseny szervezője célul tűzte ki továbbá, hogy a résztvevők a magas szintű technikai feladatok megoldása során kompetitív szellemben és környezetben érezzék magukat, amely hozzájárul szakmai fejlődésükhöz.
  2. A verseny további célja, hogy az ENISA által szervezett európai kiberbiztonsági versenyre (továbbiakban ECSC) selejtezőként is működve, lehetőséget biztosítson a kiemelkedő teljesítményt nyújtó játékosok számára a magyar csapatba való bekerüléshez.
  3. További cél egy szakmai közösség építése, amely során a résztvevőknek lehetőségük nyílik versenyzőtársaikat megismerni és tapasztalatot cserélni.

2. A verseny szervezője

  1. A verseny szervezője a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (továbbiakban: NBSZ NKI).
  2. A verseny során az NKI együttműködik a technikai feladatok előkészítése érdekében az Óbudai Egyetem BMI intézetével, illetve a White Hat IT Security Kft.-vel. Ezen minőségükben a verseny szervezéséhez feltétlenül szükséges adatokat megosztja az együttműködőkkel.

3. Fogalmak

  1. Játékos: a versenyre szabályosan regisztráló természetes személy, aki magyar állampolgár.
  2. Szervező: a verseny lebonyolításáért felelős szervezet.
  3. Feladat: az a kihívás, melyet a játékosnak a verseny során meg kell oldania, egy fordulóban több, eltérő nehézségű feladat is lesz.
  4. Lebonyolító platform: az a nyílt internetről elérhető tér, amelynek segítségével a versenyt lebonyolítják.
  5. Technikai támogató: az a harmadik szereplő, aki a verseny technikai feladatait összeállítja és a lebonyolító platformot üzemelteti
  6. Kommunikációs platform (Discord): a játékosok és a szervezők közötti elsődleges kapcsolattartási felület, melyen lehetőség van hibajegyek feladására és azok kezelésére is.

4. Részvételi feltételek

  1. A versenyszabályzatot és az adatvédelmi tájékoztatót minden résztvevőnek – a versenyre történő jelentkezés előtt – meg kell ismernie és el kell fogadnia. A versenyre való regisztrációval és jelentkezéssel a résztvevők kijelentik, hogy megismerték és elfogadták a szabályzatot és tájékoztatót. A versenyszabályzat megszegése a verseny bármely szakaszában az első figyelmeztetést követően kizárást von maga után.
  2. A versenyre minden  olyan magyar állampolgárságú természetes személy jelentkezhet, aki 2024.09.01.-ig betölti 16. életévét (felső korhatár nincs), csak egyéni indulásra van lehetőség. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs, de a résztvevőknek a feladatok megoldásához az informatikai biztonság területén magas fokú elméleti és gyakorlati tudással kell rendelkeznie.
  3. Egy személy a versenyre csak egyszer regisztrálhat.

4.1. Regisztráció

  1. A játékosoknak a részvételi szándékukat – regisztráció keretében – az NBSZ NKI weblapján https://nki.gov.hu/rendezvenyek/hcsc/ – egy erre a célra létrehozott űrlapon kell jelezniük. (az űrlapon kötelező egy érvényes e-mail cím, de nem kötelező saját névvel regisztrálni. lehet becenév/nicknév). A regisztráció célja, hogy egy jelentkező csak egy hozzáférést szerezhessen.
  2. A regisztrációval a játékosok kijelentik, hogy megismerték és elfogadták a verseny Versenyszabályzatát és az Adatvédelmi Tájékoztatóját.
  3. A versenyre 2024.03.28.-án 00:00 óra és 2024.04.21-án 23:59 óra között van lehetőség regisztrálni.
  4. A verseny szervezője ellenőrzi a regisztráció során megadott e-mail címeket. A sikeres regisztrációról a játékosok visszaigazoló e-mailt kapnak a szervezőtől a regisztráció alkalmával megadott e-mail címekre.
  5. A szervező a regisztrált játékosok fent meghatározott adatai közül az e-mail címeket és a regisztráció során megadott nevet (nick) átadja a verseny technikai támogatójának.

4.2. Versenyre jelentkezés

  1. A versenyre való jelentkezés – regisztrációt és a regisztrációs időszak végét követően – a platform online rendszerében történik (ctfd.nki.gov.hu), ahol a bejelentkezést követően van lehetőség a versenyfeladatok megoldására. A lebonyolító platformra a regisztráció során használt e-mail címmel szükséges jelentkezni. Az első, egyszerű feladatmegoldás beküldésekor a platform regisztrációval véglegessé válik a versenyben való részvétel.
  2. A résztvevőknek a versenyen való részvételi szándékukat – regisztráció keretében – a kiírásban jelzett módon kell jelezni.
  3. A versenyen nem vehetnek részt a szervező munkatársai, valamint azok családtagjai, illetve azok a személyek és családtagjaik, akik bármilyen más formában kapcsolatba kerültek a rendezvény szervezésével (pl. lebonyolító platform külsős és belsős munkatársai).

4.3. Regisztrációhoz szükséges adatok

A regisztrációhoz és a versenyjelentkezéshez szükséges adatok:

  1. Versenyzők megadott azonosítója
  2. Versenyzők e-mail címe
  3. Versenyzők születési ideje
  4. A versenyben helyezést elért játékosok részéről további személyes adatok megadására van szükség, amelyet elektronikusan szükséges megtenni. Amennyiben egy helyezést elért játékos alább megjelölt adatai 2024.05.24-én 8:00-ig a szervezők részére nem kerülnek megküldésre, azon játékos eredménye érvénytelenné válik, az elért pontszámok a végső sorrend kialakítása tekintetében nem vehetők figyelembe. Ezen adatok:
    1. Versenyző neve
    2. Versenyző születési helye, ideje
    3. Telefonszám
    4. Adóazonosító szám
    5. Hozzájáruló nyilatkozat.
    6. Ételallergiára vonatkozó adat
    7. Szülői hozzájáruló nyilatkozat, amennyiben a játékos 18. életévét be nem töltött személy.
    8. Egyéb speciális igények
  5. Szervező az ECSC-be továbbjutott versenyzők személyazonosságát személyes találkozás és felkészítés során ellenőrzi.
  6. A versenyben való részvétel önkéntes és ingyenes. Az NBSZ NKI minden személyes adatot, amelyhez a verseny során hozzájut, bizalmasan és a hatályos adatvédelmi jogszabályoknak megfelelően kezel, azt harmadik személynek nem adja át – kivéve a szabályzat 2.2 alpontjában leírtak -, azokat harmadik személyek nem ismerhetik meg, az adatokat hozzáférhetővé nem teszi, az adatkezelés szabályainak mindenben eleget tesz.

4.4. Kötelezően kitöltendő nyilatkozatok

  1. A résztvevők a versenyre való regisztrációt megelőzően az alábbiakról kötelesek nyilatkozni:
    1. „Kijelentem, hogy a Versenyszabályzatot és az Adatvédelmi tájékoztatót megismertem és elfogadtam.
    2. Kijelentem, hogy az általam megadott adatok a valóságnak megfelelnek, és kizárólag ezt az egy felhasználói fiókot regisztráltam és használom a verseny során.
    3. Kijelentem, hogy a verseny ideje alatt, azzal összefüggésben a hatályos magyar jogszabályokat betartva járok el.”
  2. Regisztrációra és a versenyen való részvételre csak a fenti nyilatkozatok megtételével lesz lehetőség.

4.5. Egyéb szabályok

  1. A rendezvény szervezője jogosult arra, hogy a versenyből kizárja azt a játékost, aki csalást követett el, vagy megszegte a részvételi feltételeket, amely esetben a játékos eredményei törlésre kerülnek a verseny adatbázisából.
  2. A szervező fenntartja magának a jogot, hogy másik nyertest hirdessen, amennyiben okkal feltételezi, hogy az első körben kiválasztott játékos megszegte a részvétel feltételeit.
  3. A szervező megítélése szerint, a verseny adott időpontjaiban mindenki számára nyilvánosan közzé tehet segítséget adott feladatok megoldásához (Hint-ek).

5. A versenyfeladatok, lebonyolítás

  1. A verseny a meghatározott korcsoportba tartozó természetes személyek megmérettetése. Az ECSC csapatválogatásának feltételeként a szervezők 3 külön kategóriában értékelik a versenyzőket:
    1. Junior csoport: 2004.01.01 és 2008.12.31 között született versenyzők
    2. Senior csoport 1999.01.01 és 2003.12.31 között született versenyzők
    3. Összesített verseny: minden résztvevő játékos kortól függetlenül.
  2. A lebonyolító platformhoz való hozzáférést – a versenyjelentkezés után – a szervező biztosítja. A részvétel feltétele a versenyszabályzat és a lebonyolító platform felhasználási szabályzatának, valamint az adatvédelmi politika elfogadása. A lebonyolító platform angol nyelven működik.
  3. A feladatok megoldását a CTFd platformra tölti fel a játékos, mely a szervező által biztosított elérési úton keresztül, hitelesítést követően a nyílt internetről elérhető lesz a verseny alatt.
  4. A változatos témájú jeopardy feladatok megoldásához – azok nehézségi szintjétől függően, melyet a feladatért kapható pontszám is jelez – alapszintű vagy mélyebb technikai tudás szükséges. A jeopardy feladatok célja minden esetben egy „flag” (zászló) elérése (CTF feladatok), amely egyértelműen bizonyítja a feladat elvégzését. A zászlót elérni valamilyen technikai kihívás teljesítésével lehet. A „flag” egy egyedi azonosító (szöveg vagy karaktersorozat), amely minden feladat és felhasználó számára különböző is lehet. Egy feladat akkor minősül elvégezettnek, ha a CTFd plaformon a zászló a megfelelő mezőben elküldésre került és az helyes értékű. A feladatok leírása és elérhetősége a CTFd platformon található, a megoldást is itt kell beküldeni. Egy feladatkiíráshoz egy „flag” tartozik, de a feladatok összefügghetnek egymással.
  5. Egyes feladatok VPN-en keresztül lesznek elérhetőek, ezek elérhetőségéről, és a belépési módról tájékoztatást ad a szervező. A hálózaton elérhető célpontok szabadon támadhatóak. Saját támadó fájlok feltöltése a szerverekre és azok törlése megengedett, azonban minden olyan tevékenység, amely a feladat szándékos tönkretételére, elérhetőségének akadályozására, vagy a többi versenyző játékának szabotázsára irányul (pl. eredeti fájlok törlése, flag-ek felülírása) a versenyből való kizárást eredményez. Minden olyan támadó jellegű tevékenység, amely a biztosított, a feladatokban meghatározott hálózaton kívülre irányul, azonnali kizárást és további következményeket eredményez. A hálózatban minden feladat több példányban fut. A feladatokat a szervező rendszeresen alaphelyzetbe állítja, az ütemezés a verseny kezdetekor publikálásra kerül.
  6. A verseny másik részét képezi egy Defenzív virtuális gép forensic jellegű vizsgálata is. Az ehhez kapcsolódó képfileokat a szervezők letöltés céljából előre hozzáférhetővé teszik titkosított formátumban, majd a megfelelő időben a megadott e-mailben eljuttatják a játékosokhoz a szűkséges jelszavakat. A virtuális gépekben is a fent meghatározott flag-ek keresése a feladat. Külön kiemelendő, hogy ez nem az image file-okból való kiolvasást jelenti (pl: grep), hanem a virtuális gépen keresztül történő hozzáférést.
  7. A Defenzív gép feladataihoz a flagek beküldése szintén a CTFd platformon kerül megvalósításra. A flagek önmagukban, elfogadható leírás (writeup) nélkül a feladat pontszámának 10%-át érik.
  8. A játékosoknak maguknak kell megoldani a virtuális gépek konfigurációját és futtatását saját gépeiken.
  9. Egyes, a leírásban jelzett flag-ek (VM-es) beküldése mellé szükséges még egy leírás (ún. writeup) elkészítése is, melyben röviden megfogalmazásra kerül, hogyan jutott hozzá a játékos a flag-hez. Ennek elkészítéséhez egy dokumentumot (template) biztosítunk a versenyzők számára, a megoldásokat kizárólag ebben a formában fogadjuk el a hcscwriteups@nki.gov.hu emailcímre visszaküldve 2024.04.28 20:00 óráig. Azon flagekhez nem kell writeup-ot készíteni, melyeknél ezt a szervező nem kéri. Azon feladatoknál, amelyekhez tartozik writeup követelmény, ott a feladat pontszámának 90%-át adja a szabályosan beküldött és elfogadható leírás.
  10. A writeupok beküldésére versenyzőnként egyetlen lehetőség van (összesen és nem feladatonként), az első beküldést fogjuk figyelembe venni.
  11. A (VM-es) feladatra adható maximális pontot az a játékos kapja meg, aki érvényes flaget töltött fel a CTFd oldalra ÉS érvényes leírást küldött be hozzá e-mailben. Az a versenyző, aki egy adott feladathoz töltött fel „flaget”, de nem küld be hozzá writeup-ot, vagy az érvénytelennek bizonyul, az a feladat pontszámának 10%-át kapja meg. Writeup beküldése érvényes flag feltöltés nélkül érvénytelen feladatmegoldásnak minősül.
  12. A lebonyolító platformon a használat megkönnyítésére ajánlott referenciák is rendelkezésre állnak.
  13. A feladatok tetszőleges sorrendben oldhatók meg.
  14. A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:
    1. Offenzív security (pl. exploit, sérülékenység-kihasználás);
    2. Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
    3. Biztonságos programozás (pl. C/C++ , python, stb.).
  15. A feladatok megoldásához MS Windows és általános UNIX/Linux ismeret is szükséges.
  16. A feladatok különböző nehézségűek, így azok teljesítéséért különböző mennyiségű, előre meghatározott és kihirdetett pontszámot kapnak a résztvevők. A feladatok végrehajtására részpontszámot a rendszer nem számol.
  17. A pontok és az idő számítása minden versenyző számára azonos időpontban, a verseny kezdetekor indul. A pontok jelenlegi állását (scoreboard) a szervezők valós időben hozzáférhetővé teszik a versenyzők számára. A forensic feladatok ellenőrzéséből adódóan (writeups) az ezekre adott pontok tájékoztató jellegűek. Végleges pontszám, és sorrend, a writeupok ellenőrzése után alakul ki és kerül publikálásra. A Rendező vállalja, hogy a végleges pontszámok és sorrend publikálásra kerül legkésőbb 2024.05.05. 12:00-ig.
  18. A versenyfeladatok részét képezheti kommunikációs és egyéb nem CTF feladat is, melyet a játékosok e-mailben kapnak meg, a megoldás határidejét a levél fogja tartalmazni. Ezen feladat(ok) a végső értékelés részét képezheti(k).
  19. A verseny szervezői meghatározott Discord csatornán és e-mailben kommunikálnak a játékosokkal. A Discord csatorna biztosít lehetőséget a játékosoknak a verseny ideje alatt az esetleges problémák jelzésére és segítség kérésére (jegyrendszer).
  20. A rendező fenntartja a jogot, hogy adott feladatokhoz kiegészítésekkel éljen, illetve a verseny ideje alatt változásokat eszközöljön a versenyzők világos tájékoztatása mellett.
  21. A szervező a verseny ideje alatt dönthet úgy, hogy egyes feladatok megoldásához segítséget nyújt (hint-ek). Ez minden versenyző részére egységesen elérhető módon valósulhat meg a verseny hivatalos kommunikációs csatornáin (e-mail, discord), vagy magán a platformon (CTFd) keresztül ugyanezeken a csatornákon meghatározott feltételek mellett.

5.1. A verseny fordulója

  1. A verseny egy fordulóban kerül lebonyolításra.
  2. A verseny lebonyolítása nyári közép európai idő (CEST) szerint 2024. április 25. 18:00 és 2024. április 28. 18:00 között zajlik (72 óra) online. A játékra kizárólag ebben az időablakban nyílik lehetőségük a résztvevőknek. Így, a versenyfeladatok végrehajtására – a jelzett időablakon belül – a résztvevőknek összesen legfeljebb 72 órájuk van.
  3. A verseny résztvevői otthoni környezetben saját eszközökön a lebonyolító platform segítségével, oda kapcsolódva, a platform technikai támogatásával és instrukciói alapján vehetnek részt a feladatok megoldásában.
  4. A verseny ideje alatt a feladatok fokozatosan válnak elérhetővé, de mindvégig megoldhatóak maradnak.
  5. A játékosok rangsorolása pontozás alapján történik, melynek alapja a megoldott feladat nehézsége. Egyenlő pontszám esetén az utolsó beküldött feladat megoldásának ideje a döntő.
  6. A verseny pillanatnyi állása a résztvevők számára mindvégig elérhető lesz (scoreboard).

5.1.3. Továbbjutás és ECSC

  1. A verseny egyik célja az ECSC-re a magyar csapat kiválogatása.
  2. Korábbi évekkel ellentétben a HCSC-n elért helyezés önmagában nem jelent automatikus meghívást az ECSC csapatkeretbe. A HCSC-n elért eredmény, fontos, de nem az egyetlen szempont a magyar csapat keretének meghatározásakor. A kiemelkedő képességű játékosokkal felvesszük a kapcsolatot, és külön is foglalkozunk velük, de garancia a csapatba kerülésre nincsen.
  3. 18. életévét be nem töltött játékos esetén a felügyeleti jogokat gyakorló személy (szülő) hozzájáruló nyilatkozata szükséges a részvételhez.
  4. Az ECSC 2024. október végén kerül megrendezésre,Olaszországban
  5. A szervezők biztosítják a magyar csapat utaztatását, szállását és ellátását az ECSC ideje alatt.
  6. A továbbjutó játékosokkal a szervezők a HCSC után felveszik a kapcsolatot egyeztetés és adatok bekérése céljából.
  7. Az ECSC verseny előtt a szervezők tartanak egy személyes megjelenést igénylő csapatépítő eseményt Budapesten, ahol kialakításra kerül a magyar csapat kerete.
  8. A szervezők fenntartják a jogot, hogy a csapat végleges összetételéről döntsenek.
  9. Az ECSC-re való felkészülés keretében több esemény, ezen belül több személyes jelenlétet igénylő (akár külföldi) esemény kerülhet megszervezésre. Ennek értelmében a csapat tagja az lehet, aki tudja vállalni az ezeken való aktív részvételt.
  10. A csapat tagjai Magyarországot képviselik az európai versenyen, ennek megfelelően vállalják, hogy csapatként legjobb tudásuk szerint együttműködnek, illetve a verseny szabályzatát mindenben betartják.

6. Díjazás

  1. A verseny 3 kategóriájában külön rangsor és díjazás történik.
  2. Lehetséges több kategóriában is helyezést elérni (pl senior 1. hely és összetett 3. hely), ebben az esetben mindkét kategóriában megjelölt díj az érintett játékost illeti.
  3. A díjak átvételéhez a 4.3.5 pont alatt tárgyaltaknak megfelelően a játékosoknak további adatokat kell a szervezőknek szolgáltatniuk.
  4. A díjazás:
    1. Első helyezett (korcsoportonként) 600 000 forint értékű nyereményben részesül, az összetett verseny első helyezettje 1 000 000 forint értékű nyereményt kap.
    2. Második helyezett (korcsoportonként) 400 000 forint értékű nyereményben részesül, az összetett verseny második helyezettje 750 000 forint értékű nyereményt kap.
    3. Harmadik helyezett (korcsoportonként) 250 000 forint értékű nyereményben részesül, az összetett verseny harmadik helyezettje 500 000 forint értékű nyereményt kap összetett verseny első helyezettje
  5. A döntő díjazásának vonatkozásában a szervező a változtatás jogát fenntartja.