Versenyszabályzat
1. A verseny célja
- A verseny legfőbb célja a kiberbiztonsági, technikai képességek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése, új tehetségek felkutatása és a kiberbiztonsági tudatosság növelése. A verseny szervezője célul tűzte ki továbbá, hogy a résztvevők a magas szintű technikai feladatok megoldása során kompetitív szellemben és környezetben érezzék magukat, amely hozzájárul szakmai fejlődésükhöz.
- A verseny további célja, hogy az ENISA által szervezett európai kiberbiztonsági versenyre (továbbiakban ECSC) selejtezőként is működve, lehetőséget biztosítson a kiemelkedő teljesítményt nyújtó játékosok számára a magyar csapatba való bekerüléshez.
- További cél egy szakmai közösség építése, amely során a résztvevőknek lehetőségük nyílik versenyzőtársaikat megismerni és tapasztalatot cserélni.
2. A verseny szervezője
- A verseny szervezője a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (továbbiakban: NBSZ NKI).
- A verseny során az NKI együttműködik a technikai feladatok előkészítése érdekében az Óbudai Egyetem BMI intézetével, illetve a White Hat IT Security Kft.-vel. Ezen minőségükben a verseny szervezéséhez feltétlenül szükséges adatokat megosztja az együttműködőkkel.
3. Fogalmak
- Játékos: a versenyre szabályosan regisztráló természetes személy, aki magyar állampolgár.
- Szervező: a verseny lebonyolításáért felelős szervezet.
- Feladat: az a kihívás, melyet a játékosnak a verseny során meg kell oldania, egy fordulóban több, eltérő nehézségű feladat is lesz.
- Lebonyolító platform: az a nyílt internetről elérhető tér, amelynek segítségével a versenyt lebonyolítják.
- Technikai támogató: az a harmadik szereplő, aki a verseny technikai feladatait összeállítja és a lebonyolító platformot üzemelteti
- Kommunikációs platform (Discord): a játékosok és a szervezők közötti elsődleges kapcsolattartási felület, melyen lehetőség van hibajegyek feladására és azok kezelésére is.
4. Részvételi feltételek
- A versenyszabályzatot és az adatvédelmi tájékoztatót minden résztvevőnek – a versenyre történő jelentkezés előtt – meg kell ismernie és el kell fogadnia. A versenyre való regisztrációval és jelentkezéssel a résztvevők kijelentik, hogy megismerték és elfogadták a szabályzatot és tájékoztatót. A versenyszabályzat megszegése a verseny bármely szakaszában az első figyelmeztetést követően kizárást von maga után.
- A versenyre minden olyan magyar állampolgárságú természetes személy jelentkezhet, aki 2024.09.01.-ig betölti 16. életévét (felső korhatár nincs), csak egyéni indulásra van lehetőség. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs, de a résztvevőknek a feladatok megoldásához az informatikai biztonság területén magas fokú elméleti és gyakorlati tudással kell rendelkeznie.
- Egy személy a versenyre csak egyszer regisztrálhat.
4.1. Regisztráció
- A játékosoknak a részvételi szándékukat – regisztráció keretében – az NBSZ NKI weblapján https://nki.gov.hu/rendezvenyek/hcsc/ – egy erre a célra létrehozott űrlapon kell jelezniük. (az űrlapon kötelező egy érvényes e-mail cím, de nem kötelező saját névvel regisztrálni. lehet becenév/nicknév). A regisztráció célja, hogy egy jelentkező csak egy hozzáférést szerezhessen.
- A regisztrációval a játékosok kijelentik, hogy megismerték és elfogadták a verseny Versenyszabályzatát és az Adatvédelmi Tájékoztatóját.
- A versenyre 2024.03.28.-án 00:00 óra és 2024.04.21-án 23:59 óra között van lehetőség regisztrálni.
- A verseny szervezője ellenőrzi a regisztráció során megadott e-mail címeket. A sikeres regisztrációról a játékosok visszaigazoló e-mailt kapnak a szervezőtől a regisztráció alkalmával megadott e-mail címekre.
- A szervező a regisztrált játékosok fent meghatározott adatai közül az e-mail címeket és a regisztráció során megadott nevet (nick) átadja a verseny technikai támogatójának.
4.2. Versenyre jelentkezés
- A versenyre való jelentkezés – regisztrációt és a regisztrációs időszak végét követően – a platform online rendszerében történik (ctfd.nki.gov.hu), ahol a bejelentkezést követően van lehetőség a versenyfeladatok megoldására. A lebonyolító platformra a regisztráció során használt e-mail címmel szükséges jelentkezni. Az első, egyszerű feladatmegoldás beküldésekor a platform regisztrációval véglegessé válik a versenyben való részvétel.
- A résztvevőknek a versenyen való részvételi szándékukat – regisztráció keretében – a kiírásban jelzett módon kell jelezni.
- A versenyen nem vehetnek részt a szervező munkatársai, valamint azok családtagjai, illetve azok a személyek és családtagjaik, akik bármilyen más formában kapcsolatba kerültek a rendezvény szervezésével (pl. lebonyolító platform külsős és belsős munkatársai).
4.3. Regisztrációhoz szükséges adatok
A regisztrációhoz és a versenyjelentkezéshez szükséges adatok:
- Versenyzők megadott azonosítója
- Versenyzők e-mail címe
- Versenyzők születési ideje
- A versenyben helyezést elért játékosok részéről további személyes adatok megadására van szükség, amelyet elektronikusan szükséges megtenni. Amennyiben egy helyezést elért játékos alább megjelölt adatai 2024.05.24-én 8:00-ig a szervezők részére nem kerülnek megküldésre, azon játékos eredménye érvénytelenné válik, az elért pontszámok a végső sorrend kialakítása tekintetében nem vehetők figyelembe. Ezen adatok:
- Versenyző neve
- Versenyző születési helye, ideje
- Telefonszám
- Adóazonosító szám
- Hozzájáruló nyilatkozat.
- Ételallergiára vonatkozó adat
- Szülői hozzájáruló nyilatkozat, amennyiben a játékos 18. életévét be nem töltött személy.
- Egyéb speciális igények
- Szervező az ECSC-be továbbjutott versenyzők személyazonosságát személyes találkozás és felkészítés során ellenőrzi.
- A versenyben való részvétel önkéntes és ingyenes. Az NBSZ NKI minden személyes adatot, amelyhez a verseny során hozzájut, bizalmasan és a hatályos adatvédelmi jogszabályoknak megfelelően kezel, azt harmadik személynek nem adja át – kivéve a szabályzat 2.2 alpontjában leírtak -, azokat harmadik személyek nem ismerhetik meg, az adatokat hozzáférhetővé nem teszi, az adatkezelés szabályainak mindenben eleget tesz.
4.4. Kötelezően kitöltendő nyilatkozatok
- A résztvevők a versenyre való regisztrációt megelőzően az alábbiakról kötelesek nyilatkozni:
- „Kijelentem, hogy a Versenyszabályzatot és az Adatvédelmi tájékoztatót megismertem és elfogadtam.
- Kijelentem, hogy az általam megadott adatok a valóságnak megfelelnek, és kizárólag ezt az egy felhasználói fiókot regisztráltam és használom a verseny során.
- Kijelentem, hogy a verseny ideje alatt, azzal összefüggésben a hatályos magyar jogszabályokat betartva járok el.”
- Regisztrációra és a versenyen való részvételre csak a fenti nyilatkozatok megtételével lesz lehetőség.
4.5. Egyéb szabályok
- A rendezvény szervezője jogosult arra, hogy a versenyből kizárja azt a játékost, aki csalást követett el, vagy megszegte a részvételi feltételeket, amely esetben a játékos eredményei törlésre kerülnek a verseny adatbázisából.
- A szervező fenntartja magának a jogot, hogy másik nyertest hirdessen, amennyiben okkal feltételezi, hogy az első körben kiválasztott játékos megszegte a részvétel feltételeit.
- A szervező megítélése szerint, a verseny adott időpontjaiban mindenki számára nyilvánosan közzé tehet segítséget adott feladatok megoldásához (Hint-ek).
5. A versenyfeladatok, lebonyolítás
- A verseny a meghatározott korcsoportba tartozó természetes személyek megmérettetése. Az ECSC csapatválogatásának feltételeként a szervezők 3 külön kategóriában értékelik a versenyzőket:
- Junior csoport: 2004.01.01 és 2008.12.31 között született versenyzők
- Senior csoport 1999.01.01 és 2003.12.31 között született versenyzők
- Összesített verseny: minden résztvevő játékos kortól függetlenül.
- A lebonyolító platformhoz való hozzáférést – a versenyjelentkezés után – a szervező biztosítja. A részvétel feltétele a versenyszabályzat és a lebonyolító platform felhasználási szabályzatának, valamint az adatvédelmi politika elfogadása. A lebonyolító platform angol nyelven működik.
- A feladatok megoldását a CTFd platformra tölti fel a játékos, mely a szervező által biztosított elérési úton keresztül, hitelesítést követően a nyílt internetről elérhető lesz a verseny alatt.
- A változatos témájú jeopardy feladatok megoldásához – azok nehézségi szintjétől függően, melyet a feladatért kapható pontszám is jelez – alapszintű vagy mélyebb technikai tudás szükséges. A jeopardy feladatok célja minden esetben egy „flag” (zászló) elérése (CTF feladatok), amely egyértelműen bizonyítja a feladat elvégzését. A zászlót elérni valamilyen technikai kihívás teljesítésével lehet. A „flag” egy egyedi azonosító (szöveg vagy karaktersorozat), amely minden feladat és felhasználó számára különböző is lehet. Egy feladat akkor minősül elvégezettnek, ha a CTFd plaformon a zászló a megfelelő mezőben elküldésre került és az helyes értékű. A feladatok leírása és elérhetősége a CTFd platformon található, a megoldást is itt kell beküldeni. Egy feladatkiíráshoz egy „flag” tartozik, de a feladatok összefügghetnek egymással.
- Egyes feladatok VPN-en keresztül lesznek elérhetőek, ezek elérhetőségéről, és a belépési módról tájékoztatást ad a szervező. A hálózaton elérhető célpontok szabadon támadhatóak. Saját támadó fájlok feltöltése a szerverekre és azok törlése megengedett, azonban minden olyan tevékenység, amely a feladat szándékos tönkretételére, elérhetőségének akadályozására, vagy a többi versenyző játékának szabotázsára irányul (pl. eredeti fájlok törlése, flag-ek felülírása) a versenyből való kizárást eredményez. Minden olyan támadó jellegű tevékenység, amely a biztosított, a feladatokban meghatározott hálózaton kívülre irányul, azonnali kizárást és további következményeket eredményez. A hálózatban minden feladat több példányban fut. A feladatokat a szervező rendszeresen alaphelyzetbe állítja, az ütemezés a verseny kezdetekor publikálásra kerül.
- A verseny másik részét képezi egy Defenzív virtuális gép forensic jellegű vizsgálata is. Az ehhez kapcsolódó képfileokat a szervezők letöltés céljából előre hozzáférhetővé teszik titkosított formátumban, majd a megfelelő időben a megadott e-mailben eljuttatják a játékosokhoz a szűkséges jelszavakat. A virtuális gépekben is a fent meghatározott flag-ek keresése a feladat. Külön kiemelendő, hogy ez nem az image file-okból való kiolvasást jelenti (pl: grep), hanem a virtuális gépen keresztül történő hozzáférést.
- A Defenzív gép feladataihoz a flagek beküldése szintén a CTFd platformon kerül megvalósításra. A flagek önmagukban, elfogadható leírás (writeup) nélkül a feladat pontszámának 10%-át érik.
- A játékosoknak maguknak kell megoldani a virtuális gépek konfigurációját és futtatását saját gépeiken.
- Egyes, a leírásban jelzett flag-ek (VM-es) beküldése mellé szükséges még egy leírás (ún. writeup) elkészítése is, melyben röviden megfogalmazásra kerül, hogyan jutott hozzá a játékos a flag-hez. Ennek elkészítéséhez egy dokumentumot (template) biztosítunk a versenyzők számára, a megoldásokat kizárólag ebben a formában fogadjuk el a hcscwriteups@nki.gov.hu emailcímre visszaküldve 2024.04.28 20:00 óráig. Azon flagekhez nem kell writeup-ot készíteni, melyeknél ezt a szervező nem kéri. Azon feladatoknál, amelyekhez tartozik writeup követelmény, ott a feladat pontszámának 90%-át adja a szabályosan beküldött és elfogadható leírás.
- A writeupok beküldésére versenyzőnként egyetlen lehetőség van (összesen és nem feladatonként), az első beküldést fogjuk figyelembe venni.
- A (VM-es) feladatra adható maximális pontot az a játékos kapja meg, aki érvényes flaget töltött fel a CTFd oldalra ÉS érvényes leírást küldött be hozzá e-mailben. Az a versenyző, aki egy adott feladathoz töltött fel „flaget”, de nem küld be hozzá writeup-ot, vagy az érvénytelennek bizonyul, az a feladat pontszámának 10%-át kapja meg. Writeup beküldése érvényes flag feltöltés nélkül érvénytelen feladatmegoldásnak minősül.
- A lebonyolító platformon a használat megkönnyítésére ajánlott referenciák is rendelkezésre állnak.
- A feladatok tetszőleges sorrendben oldhatók meg.
- A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:
- Offenzív security (pl. exploit, sérülékenység-kihasználás);
- Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
- Biztonságos programozás (pl. C/C++ , python, stb.).
- A feladatok megoldásához MS Windows és általános UNIX/Linux ismeret is szükséges.
- A feladatok különböző nehézségűek, így azok teljesítéséért különböző mennyiségű, előre meghatározott és kihirdetett pontszámot kapnak a résztvevők. A feladatok végrehajtására részpontszámot a rendszer nem számol.
- A pontok és az idő számítása minden versenyző számára azonos időpontban, a verseny kezdetekor indul. A pontok jelenlegi állását (scoreboard) a szervezők valós időben hozzáférhetővé teszik a versenyzők számára. A forensic feladatok ellenőrzéséből adódóan (writeups) az ezekre adott pontok tájékoztató jellegűek. Végleges pontszám, és sorrend, a writeupok ellenőrzése után alakul ki és kerül publikálásra. A Rendező vállalja, hogy a végleges pontszámok és sorrend publikálásra kerül legkésőbb 2024.05.05. 12:00-ig.
- A versenyfeladatok részét képezheti kommunikációs és egyéb nem CTF feladat is, melyet a játékosok e-mailben kapnak meg, a megoldás határidejét a levél fogja tartalmazni. Ezen feladat(ok) a végső értékelés részét képezheti(k).
- A verseny szervezői meghatározott Discord csatornán és e-mailben kommunikálnak a játékosokkal. A Discord csatorna biztosít lehetőséget a játékosoknak a verseny ideje alatt az esetleges problémák jelzésére és segítség kérésére (jegyrendszer).
- A rendező fenntartja a jogot, hogy adott feladatokhoz kiegészítésekkel éljen, illetve a verseny ideje alatt változásokat eszközöljön a versenyzők világos tájékoztatása mellett.
- A szervező a verseny ideje alatt dönthet úgy, hogy egyes feladatok megoldásához segítséget nyújt (hint-ek). Ez minden versenyző részére egységesen elérhető módon valósulhat meg a verseny hivatalos kommunikációs csatornáin (e-mail, discord), vagy magán a platformon (CTFd) keresztül ugyanezeken a csatornákon meghatározott feltételek mellett.
5.1. A verseny fordulója
- A verseny egy fordulóban kerül lebonyolításra.
- A verseny lebonyolítása nyári közép európai idő (CEST) szerint 2024. április 25. 18:00 és 2024. április 28. 18:00 között zajlik (72 óra) online. A játékra kizárólag ebben az időablakban nyílik lehetőségük a résztvevőknek. Így, a versenyfeladatok végrehajtására – a jelzett időablakon belül – a résztvevőknek összesen legfeljebb 72 órájuk van.
- A verseny résztvevői otthoni környezetben saját eszközökön a lebonyolító platform segítségével, oda kapcsolódva, a platform technikai támogatásával és instrukciói alapján vehetnek részt a feladatok megoldásában.
- A verseny ideje alatt a feladatok fokozatosan válnak elérhetővé, de mindvégig megoldhatóak maradnak.
- A játékosok rangsorolása pontozás alapján történik, melynek alapja a megoldott feladat nehézsége. Egyenlő pontszám esetén az utolsó beküldött feladat megoldásának ideje a döntő.
- A verseny pillanatnyi állása a résztvevők számára mindvégig elérhető lesz (scoreboard).
5.1.3. Továbbjutás és ECSC
- A verseny egyik célja az ECSC-re a magyar csapat kiválogatása.
- Korábbi évekkel ellentétben a HCSC-n elért helyezés önmagában nem jelent automatikus meghívást az ECSC csapatkeretbe. A HCSC-n elért eredmény, fontos, de nem az egyetlen szempont a magyar csapat keretének meghatározásakor. A kiemelkedő képességű játékosokkal felvesszük a kapcsolatot, és külön is foglalkozunk velük, de garancia a csapatba kerülésre nincsen.
- 18. életévét be nem töltött játékos esetén a felügyeleti jogokat gyakorló személy (szülő) hozzájáruló nyilatkozata szükséges a részvételhez.
- Az ECSC 2024. október végén kerül megrendezésre,Olaszországban
- A szervezők biztosítják a magyar csapat utaztatását, szállását és ellátását az ECSC ideje alatt.
- A továbbjutó játékosokkal a szervezők a HCSC után felveszik a kapcsolatot egyeztetés és adatok bekérése céljából.
- Az ECSC verseny előtt a szervezők tartanak egy személyes megjelenést igénylő csapatépítő eseményt Budapesten, ahol kialakításra kerül a magyar csapat kerete.
- A szervezők fenntartják a jogot, hogy a csapat végleges összetételéről döntsenek.
- Az ECSC-re való felkészülés keretében több esemény, ezen belül több személyes jelenlétet igénylő (akár külföldi) esemény kerülhet megszervezésre. Ennek értelmében a csapat tagja az lehet, aki tudja vállalni az ezeken való aktív részvételt.
- A csapat tagjai Magyarországot képviselik az európai versenyen, ennek megfelelően vállalják, hogy csapatként legjobb tudásuk szerint együttműködnek, illetve a verseny szabályzatát mindenben betartják.
6. Díjazás
- A verseny 3 kategóriájában külön rangsor és díjazás történik.
- Lehetséges több kategóriában is helyezést elérni (pl senior 1. hely és összetett 3. hely), ebben az esetben mindkét kategóriában megjelölt díj az érintett játékost illeti.
- A díjak átvételéhez a 4.3.5 pont alatt tárgyaltaknak megfelelően a játékosoknak további adatokat kell a szervezőknek szolgáltatniuk.
- A díjazás:
- Első helyezett (korcsoportonként) 600 000 forint értékű nyereményben részesül, az összetett verseny első helyezettje 1 000 000 forint értékű nyereményt kap.
- Második helyezett (korcsoportonként) 400 000 forint értékű nyereményben részesül, az összetett verseny második helyezettje 750 000 forint értékű nyereményt kap.
- Harmadik helyezett (korcsoportonként) 250 000 forint értékű nyereményben részesül, az összetett verseny harmadik helyezettje 500 000 forint értékű nyereményt kap összetett verseny első helyezettje
- A döntő díjazásának vonatkozásában a szervező a változtatás jogát fenntartja.