Hungarian Cyber Security Challenge 2019 vol.2. versenykiírás

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet 2019-ben októberében IT biztonsági csapatversenyt szervez – Hungarian Cyber Security Challenge 2019 vol. 2 (HCSC’19 vol.2) néven -, amelyre maximum 3 fős kollektívák jelentkezését várják a szervezők. A nagy sikerű tavaszi és egyben első kiberversenyt követő megmérettetés célja továbbra is az informatikában jártas személyek – kompetitív szellemiségben és környezetben megvalósuló – technikai képességeinek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése és új tehetségek felkutatása.

Az NBSZ NKI egyik alaprendeltetése, hogy IT biztonsági, kibervédelmi tudatosító tevékenységet végezzen. A XXI. század felgyorsult és digitalizált világában rendkívül fontos, hogy a közvélemény is meg tudja különböztetni – informatikai rendszerek sérülékenységeinek feltárása okán – a hackerek / „hacktivizmus” által képviselt ideológiát, tetteket az etikus hackerek tevékenységétől. Az etikus hacker (white-hat hacker) olyan kiemelkedő tudással rendelkező informatikai szakember, aki képességeit és ismereteit arra használja fel, hogy – megbízás alapján (vagy állandó jelleggel) – biztonsági hibákat találjon a rendszereken (sérülékenységvizsgálat). Ezen tevékenység által nyílik lehetőség elkerülni, megelőzni a hackerek, feketekalapos (black-hat) hackerek betörési kísérleteit, akiknek egyértelmű célja a károkozás. Mindezekkel összefüggésben a HCSC’19 vol.2 – ismételten – kiváló alkalmat biztosít arra, hogy a versenyzők szabályozott keretek között gyakorolják technikai képességeiket, megismerjék egymást, illetve felhívják arra a figyelmet, hogy a kibertér biztonságának szavatolása (a jogalkotó folyamatoktól kezdve, az incidenskezelésen át, egészen a sérülékenységvizsgálatig) korunk egyik legégetőbb kihívása.

A versenyre minden 16. életévét betöltött magyar állampolgárságú természetes személy jelentkezhet (felső korhatár nincs), a csapatok maximum 3 fősek lehetnek. Csapatkapitány választása és megnevezése szükséges. A megmérettetés során a HCSC’19-ben alkalmazott technikai jellegű feladatok mellet table top (döntés és management), procedurális incidenskezelési (elméleti és eljárás tesztelési), kommunikációs feladatok is lehetnek. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs. A csapattagok közti feladatmegosztásba a szervezők nem szólnak bele, az a teamek saját szabad döntésén nyugszik. A szervezők azon jelentkezők számára is biztosítanak versenyzési lehetőséget, akik nem rendelkeznek csapattal: részükre egy online felületen nyílik majd lehetőség csapatot toborozni.

A verseny alapjául szolgáló nyílt internetről elérhető technikai platformot (lebonyolító platform) az Avatao.com Innovative Learning Kft. fejleszti és üzemelteti. A hozzáférést, annak ellenértékét – a versenyjelentkezés után – a szervezők biztosítják. A lebonyolító platform angol nyelven működik.

A versenyben résztvevő csapatok számára a szervezők ún. „capture the flag” (CTF) típusú feladatokat biztosítanak a lebonyolító portálon keresztül, amelyek egy közös feladatsorban lesznek elérhetőek. A feladatok megoldásához – azok nehézségi szintjétől függően – alapszintű vagy mélyebb technikai tudás szükséges.

A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:

  • Offenzív security (pl. exploit, sérülékenység-kihasználás);
  • Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
  • Biztonságos programozás (pl. C/C++ és python).

A verseny két fordulóban (online elődöntő és személyes megjelenésű döntő) kerül lebonyolításra. Az elődöntőre 2019.10.17. (csütörtök) 20:00 óra és 2019.10.20. (vasárnap) 20:00 óra között, a döntőre a CyberSec2019.hu nevű Nemzeti Kiberbiztonsági Konferencia keretein belül, 2019.10.29-én kerül sor. Az elődöntő elkezdésére a jelzett időablakban nyílik lehetőségük a résztvevőknek, amelyet otthoni környezetben, saját eszközeiken, a lebonyolító platformra kapcsolódva és egy az NBSZ NKI által biztosított csatorna segítségével vehetnek részt a feladatok megoldásában.

Az elődöntő legjobb tíz csapata jut a személyes megjelenésű, egész napos döntőbe. A döntő helyszíne: Dürer Rendezvényház (Budapest).

Az elődöntő és döntő során a csapatoknak a feladatokkal, a technikai kihívásokkal összefüggő jelentést szükséges készítenie a szervező által biztosított sablonban és az abban leírt metodika szerint. A jelentés a verseny és az értékelés részét képezi, melyet a szervezők előre meghatározott szempontrendszer szerint pontoznak. A jelentés sablonja és az értékelés szempontrendszere a verseny honlapján válik elérhetővé. A jelentést mind az elődöntőben, mind a döntőben a megadott határidőn belül a szervező által előre meghatározott módon és helyre el kell juttatnia a játékosoknak. A versenyfeladatok fejlesztésénél és megalkotásánál a szervezők kiemelt szempontként tekintenek arra, hogy azok a technikailag képzett részvevők számára is kellő változatossággal bírjanak és nagy kihívást jelentsenek.

A döntőben két virtuális gép felhasználásával kell az elődöntőhöz hasonló CTF szisztémájú offenzív és defenzív security tematikájú feladatokat megoldani. A virtuális gépekhez, valamint a feladatok megoldásának beküldéséhez szükséges felülethez, a szervező hozzáférést fog biztosítani a játékosok részére. A virtuális gépekben a feladatmegoldáshoz MS Windows és általános UNIX/Linux ismeret szükséges.

A döntős csapatok értékes tárgynyereményekben és elismerő oklevélben részesülnek. Az első három helyezett csapat nyereménye:

  • III. helyezett csapat: részvételi lehetőség (VIP belépő) a BSides Budapest IT biztonsági konferencián és ott egy egész napos tréningen;
  • II. helyezés csapat: részvételi lehetőség a berlini OffensiveCon technikai jellegű IT biztonsági konferencián;
  • I. helyezés: részvételi lehetőség a Washingtonban megrendezésre kerülő ShmooCon nevű technikai jellegű IT biztonsági konferencián.