HUNGARIAN CYBER SECURITY CHALLENGE 2019 vol.2. versenyszabályzat

 

1. A verseny célja

1. A verseny legfőbb célja a technikai képességek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése, új tehetségek felkutatása és a kiberbiztonsági tudatosság növelése. A verseny szervezője célul tűzte ki továbbá, hogy a résztvevők a magas szintű technikai feladatok megoldása során kompetitív szellemben és környezetben érezzék magukat, amely hozzájárul szakmai fejlődésükhöz.

2. További cél egy szakmai közösség építése, amely során a résztvevőknek lehetőségük nyílik versenyzőtársaikat megismerni.

2. A verseny szervezője

3. A verseny szervezője a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (a továbbiakban: NBSZ NKI).

4. A verseny alapjául szolgáló technikai lebonyolító platformot az Avatao.com Innovative Learning Kft. fejleszti és üzemelteti.

3. Fogalmak

5. Játékos: a versenyre szabályosan regisztráló természetes személy.

6. Szervező: a verseny lebonyolításáért felelős szervezet.

7. Feladat: az a kihívás, melyet a játékosnak a verseny során meg kell oldania, egy fordulóban több, eltérő nehézségű feladat is lesz.

8. Lebonyolító platform: az a nyílt internetről elérhető tér, amelynek segítségével a versenyt lebonyolítják.

9. Technikai támogató: az a harmadik szereplő, aki a verseny technikai feladatait összeállítja és a lebonyolító platformot üzemelteti.

4. Részvételi feltételek

10. A versenyszabályzatot és az adatvédelmi tájékoztatót minden résztvevőnek – a versenyre történő jelentkezés előtt – meg kell ismernie és el kell fogadnia. A versenyre való regisztrációval és jelentkezéssel a résztvevők kijelentik, hogy megismerték és elfogadták a szabályzatot és tájékoztatót. A versenyszabályzat megszegése a verseny bármely szakaszában az első figyelmeztetést követően kizárást von maga után.

11. A versenyre minden 16. életévét betöltött magyar állampolgárságú természetes személy jelentkezhet (felső korhatár nincs), a csapatok maximum 3 fősek lehetnek. Egyéni indulásra nincs lehetőség. Csapatkapitány választása és megnevezése szükséges. A csapattagok megnevezésére az elődöntős regisztrációnál kerül sor. A csapat összetételére vonatkozóan a fentieken túl egyéb korlátozás nincs. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs, de a résztvevőknek a feladatok megoldásához az informatikai biztonság területén magas fokú elméleti és gyakorlati tudással kell rendelkeznie.

12. Egy személy a versenyre csak egyszer, egy csapat tagjaként regisztrálhat.

13. Ha egy versenyző nem rendelkezik még csapattal, a verseny szervezője lehetőséget biztosít csapat toborzására is.

4.1. Regisztráció

14. A csapatoknak a részvételi szándékukat – regisztráció keretében – az NBSZ NKI weblapján – https://www.hcsc19.hu – egy erre a célra létrehozott űrlapon kell jelezniük (csapatnév, versenyzők neve, versenyzők e-mail címe, versenyzők születési ideje megadásával). A regisztráció célja, hogy egy jelentkező csak egy hozzáférést szerezhessen.

15. A csapat nélküli regisztrálóknak – az NBSZ NKI weblapján – https://www.hcsc19.hu – egy erre a célra létrehozott űrlapon kell jelezniük részvételi szándékukat (név, e-mail cím, születési idő), amely után a szervező – megfelelő létszám esetén – a regisztrációk beérkezésének sorrendjében lehetőséget biztosít újonnan összeállt csapatok szereplésére is. Az újonnan létrejött kollektívák tagjait a verseny szervezője a regisztrációkor megadott e-mail címeken értesíti a fejleményekről, releváns információkról.

16. A versenyre 2019.09.13-án 20:00 óra és 2019.10.17-én 00:00 óra között van lehetőség regisztrálni.

17. A verseny szervezője ellenőrzi a regisztráció során megadott e-mail címeket. A sikeres regisztrációról a versenyzők / csapattagok visszaigazoló e-mailt kapnak a szervezőtől a regisztráció alkalmával megadott e-mail címekre.

18. A szervező a regisztrált játékosok fent meghatározott adatai közül az e-mail címeket és a csapatneveket átadja a verseny technikai támogatójának.

4.2. Versenyre jelentkezés

19. A versenyre való jelentkezés – regisztrációt és a regisztrációs időszak végét követően – az Avatao platform online rendszerében történik (https://platform.avatao.com), ahol a bejelentkezést követően van lehetőség a versenyfeladatok megoldására. A lebonyolító platformra a regisztráció során használt e-mail címmel szükséges jelentkezni. Az első, egyszerű feladatmegoldás beküldésekor a platform regisztrációval véglegessé válik a versenyben való részvétel.

20. A résztvevőknek a versenyen való részvételi szándékukat – regisztráció keretében – a kiírásban jelzett módon kell jelezni.

21. A versenyen nem vehetnek részt a szervező munkatársai, valamint azok családtagjai, illetve azok a személyek és családtagjaik, akik bármilyen más formában kapcsolatba kerültek a rendezvény szervezésével (pl. lebonyolító platform külsős és belsős munkatársai).

4.3. Regisztrációhoz szükséges adatok

22. A regisztrációhoz és a versenyjelentkezéshez szükséges adatok:

      1. Csapatnév
      2. Versenyzők neve (csapatkapitány megjelölésével)
      3. Versenyzők e-mail címe
      4. Versenyzők születési ideje, anyja neve.

 

23. A verseny döntőjén résztvevő csapatoktól – a regisztráció során kért információkon túl – az alábbi adatokat és dokumentumokat kéri a szervező:

      1. Versenyzők lakcíme;
      2. Versenyzők telefonszáma;
      3. Személyes adatok kezeléséről szolgáló elfogadó nyilatkozat;
      4. Korábbi regisztráció jóváhagyásának igazolása (a résztvevő e-mail címére megküldött levél bemutatásával).

 

24. A verseny első három helyezett csapatának a fentieken túl – a főnyeremények végett – további személyes adatok megadására van szükség, amelyet a döntő helyszínén az eredményhirdetést követően, személyesen szükséges megtenni.

25. A versenyben való részvétel önkéntes és ingyenes. Az NBSZ NKI minden személyes adatot, amelyhez a verseny során hozzájut, bizalmasan és a hatályos adatvédelmi jogszabályoknak, szabályoknak megfelelően kezel, azt harmadik személynek nem adja át – kivéve a szabályzat 4.1. pontjának 16. alpontjában leírtak -, azokat harmadik személyek nem ismerhetik meg, az adatokat hozzáférhetővé nem teszi, az adatkezelés szabályainak mindenben eleget tesz. A versennyel kapcsolatos adatfeldolgozásra a lebonyolító platform felhasználási szabályzata és adatvédelmi politikája vonatkozik (https://platform.avatao.com/terms).

4.4. Kötelezően kitöltendő nyilatkozatok

26. A résztvevők a versenyre való regisztrációt megelőzően az alábbiakról kötelesek nyilatkozni:

      1. „Kijelentem, hogy az általam megadott adatok a valóságnak megfelelnek, és kizárólag ezt az egy felhasználói fiókot regisztráltam és használom a verseny során.”
      2. ”Kijelentem, hogy a verseny ideje alatt, azzal összefüggésben a hatályos magyar jogszabályokat betartva járok el.”
      3. „A döntő sajtónyilvános esemény, amelyen kép-és hangfelvétel készülhet rólam, amit a későbbiekben a készítők felhasználhatnak (sajtómegjelenésekre, közösségi portálokon történő beszámolók elkészítése, stb. céljából), amelyhez a regisztrációval hozzájárulok.”
      4. „Kijelentem, hogy megismertem és elfogadtam az adatvédelmi tájékoztatóban leírtakat.”

 

Regisztrációra és a versenyen való részvételre csak a fenti nyilatkozatok megtételével lesz lehetőség.

4.5. Egyéb szabályok

27. A verseny ideje alatt – a döntő helyszínén – alkohol és bódítószerek fogyasztása szigorúan tilos!

28. A rendezvény szervezője jogosult arra, hogy a versenyből kizárja azt a játékost, aki csalást követett el, vagy megszegte a részvételi feltételeket, amely esetben a játékos eredményei törlésre kerülnek a verseny adatbázisából.

29. A szervező fenntartja magának a jogot, hogy másik nyertest hirdessen, amennyiben okkal feltételezi, hogy az első körben kiválasztott játékos megszegte a részvétel feltételeit.

5. A versenyfeladatok, lebonyolítás

30. A verseny a meghatározott korcsoportba tartozó természetes személyek egyéni megmérettetése. A verseny lebonyolítására a magyar fejlesztésű, kifejezetten erre a célra is létrehozott Avatao platformot (https://avatao.com) használják a résztvevők (továbbiakban: lebonyolító platform). A lebonyolító platformhoz való hozzáférést – a versenyjelentkezés után – a szervező biztosítja. A részvétel feltétele a versenyszabályzat és a lebonyolító platform felhasználási szabályzatának, valamint az adatvédelmi politika elfogadása. A lebonyolító platform angol nyelven működik.

31. A verseny döntőjére a szervező a játékosok részére virtuális gépeket ad át, melyek futtatásához szükséges technikai paraméterekről a szervező előzetesen tájékoztatja a döntőbe jutott csapatokat. A virtuális gépek futatása a megadott paraméterek segítségével a versenyzők feladata lesz. A feladatok megoldásának beküldéséhez szükséges felülethez, a szervező hozzáférést fog biztosítani a játékosok részére.

32. A verseny résztvevőinek a szervező úgynevezett egyéni „capture the flag” (CTF) típusú feladatokat biztosít a lebonyolító platformon keresztül, amelyek egy közös feladatsorban lesznek elérhetőek. A feladatok megoldásához – azok nehézségi szintjétől függően – alapszintű vagy mélyebb technikai tudás szükséges. A változatos informatikai biztonsággal kapcsolatos feladatok egy részének célja egy „flag” (zászló) elérése, amely egyértelműen bizonyítja a feladat elvégzését. A zászlót elérni valamilyen (a lenti témákba vágó) technikai kihívás teljesítésével lehet. A „flag” egy egyedi azonosító (szöveg vagy karaktersorozat), amely minden feladat és felhasználó számára különböző is lehet. Egy feladat akkor minősül elvégezettnek, ha a portálon a zászló a megfelelő mezőben elküldésre került és az helyes értékű. A feladatok egy részéhez nem tartozik „flag”, ott a feladat helyessége az ellenőrző gomb megnyomásával tesztelhető (egyéb bemeneti karaktersorozat nélkül).

33. A lebonyolító platformon a használat megkönnyítésére ajánlott referenciák is rendelkezésre állnak.

34. A feladatok tetszőleges sorrendben oldhatók meg.

35. A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:

    1. Offenzív security (pl. exploit, sérülékenység-kihasználás);
    2. Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
    3. Biztonságos programozás (pl. C/C++ és python).

 

36. A feladatok megoldásához MS Windows és általános UNIX/Linux ismeret is szükséges.

37. A feladatok különböző nehézségűek, így azok teljesítéséért különböző mennyiségű, előre meghatározott és kihirdetett pontszámot kapnak a résztvevők. A feladatok végrehajtására részpontszámot a rendszer nem számol.

38. A pontok és az idő számítása minden csapat számára azonos időpontban, a verseny kezdetekor indul.

5.1. A verseny fordulói

39. A verseny két fordulóban (elődöntő és döntő) kerül lebonyolításra.

40. Mindkét fordulóban a csapatok rangsorolása az alábbiak szerinti sorrendben történik:

      1. Akik a legtöbb pontot gyűjtik be;
      2. Az előző pontban meghatározott szempont egyenlősége esetén, akik a legkevesebb idő alatt teljesítették sikeresen a feladatokat.

 

41. A verseny pillanatnyi állása a résztvevők számára mindvégig elérhető lesz (scoreboard).

5.1.1. A jelentés

42. A döntő során a csapatoknak a feladatokkal, a technikai kihívásokkal összefüggő jelentést szükséges készítenie a szervező által biztosított sablonban.

43. A jelentés sablonja a verseny honlapján érhető el.

44. A jelentésnek négy fő fejezetből kell állnia.

        1. Vezetői összefoglaló, mely röviden összefoglalja, értékeli a feladatok megállapításait, oly formában, hogy az informatikához kevésbé értő személy számára is értelmezhető legyen. Az összefoglaló terjedelme maximum 3 000 leütés;
        2. Vizsgálati módszerek, melyben röviden szerepel a vizsgálathoz használt eszközök és módszerek rövid leírása, és melynek terjedelme maximum 6 000 leütés;
        3. A vizsgálat, melyben szabadon választott tematika és rendezési szempontrendszer szerint részletezik a csapatok a feladatok megoldását és az ahhoz vezető utat. A fejezet terjedelme maximum 20 000 karakter;
        4. Javaslatok, melyek az esetlegesen feltárt problémákra reflektálva proaktívan adnak tanácsot a hasonló események megelőzése érdekében, és amelyből egy rendszerüzemeltető munkatárs könnyen és hatékonyan végre tudja hajtani a feladatot. A fejezet terjedelme maximum 6 000 leütés;

 

45. A jelentést  a döntőben megadott határidőn belül a szervező által előre meghatározott módon és helyre kell eljuttatnia a csapatoknak (csapatkapitánynak).

46. A jelentés a verseny és az értékelés részét képezi, melyet a szervezők előre meghatározott a résztvevők számára eljuttatott szempontrendszer szerint pontoznak. A jelentésre mindkét fordulóban a feladatok után szerezhető pontérték maximum 20 %-a adható. Az értékelés szempontjai leginkább a fejezetek szakmai minősége és megfelelősége a fent meghatározott céloknak, a leírás érthetősége, a határidő betartása, a terjedelmi korlátok és a formátumkorlátozások betartása.

5.1.2. Az elődöntő

47. Az elődöntő lebonyolítása 2019.10.17-én (csütörtök) 20:00 óra és 2019.10.20-án (vasárnap) 20:00 óra között történik. A feladat megkezdésére a jelzett időablakban nyílik lehetőségük a résztvevőknek. A játékban a feladatok végrehajtására a résztvevőknek 72 órájuk van. A verseny résztvevői otthoni környezetben saját eszközökön a lebonyolító platform segítségével, oda kapcsolódva, a platform technikai támogatásával és instrukciói alapján vehetnek részt a feladatok megoldásában. A versenyzőknek az elődöntőben 15 különböző nehézségű feladatot kell megoldania. A versenyjelentkezésről és az elődöntő indulásáról a résztvevők e-mail értesítést kapnak a technikai lebonyolítótól.

5.1.3. Továbbjutás a döntőbe

48. Az elődöntő fenti rangsorolás szerinti első tíz helyezettje jut a döntőbe. Amennyiben valamelyik döntőbe jutó csapat nem kíván részt venni a fináléban, akkor a helyeket a csapatok helyezésének sorrendjében a szervező folyamatosan feltölti (döntők feltöltése).

49. Az elődöntő kiértékelése és a továbbjutó csapatok kihirdetése 2019.10.22-ig történik meg. Az elődöntőt követően minden versenyző a regisztráció során megadott elérhetőségére értesítést kap az eredményről.

50. Az elődöntőből továbbjutó csapatok a döntőben való részvételt – a csapatkapitányokon keresztül – 2019.10.25-ig, az értesítésben megadott módon jelezhetik. Amennyiben egy döntőbe jutott csapat a fent nevezett dátumig nem erősítette meg jelentkezését, úgy helyét a szervező a fent leírtak szerint tölti fel. A döntő mezőnye 2019.10.28-án válik véglegessé.

5.1.4. A döntő

51. A döntő 2019.10.29-én (kedd) kerül megrendezésre, amelyen a résztvevők személyes megjelenésére van szükség.

52. A döntőben a fent ismertetett (CTF – jellegű) 10 feladat megoldása a résztvevők feladata. A döntő helyszínén a szervező virtuális gépekhez és a feladatok megoldásának beküldéséhez szükséges felülethez hozzáférést fog biztosítani a csapatoknak. A résztvevők kizárólag saját tulajdonú informatikai eszközzel vehetnek részt a döntőben, melynek helyszínre szállításáról valamint onnan történő elszállításáról is maguk gondoskodnak.

53. A fenteken túl a döntőben egyéb, nem technikai jellegű table top (döntés és management), procedurális incidenskezelési (elméleti és eljárás tesztelési), kommunikációs feladatok is lesznek, melyek szintén az értékelés részét képezik.

54. A döntő III. részére a döntőbe jutott csapatok közül az addig a pontig az első három helyen álló csapatok jutnak. A döntő III. része nyilvános

55. A verseny döntőjében a csapattársakon kívül más (sem jelenlévő, sem távoli) személy segítségét használni szigorúan tilos, ezt a szervező folyamatosan ellenőrzi. Amennyiben valaki mégis más személy segítségét használja egy figyelmeztetést követően a szervező az „Egyéb szabályok” című pont alapján jár el.

56. A döntőbe nem jutott versenyzők a döntő záró szakaszán való részvételi szándékukat 2019.10.25-ig, a verseny elődöntőjét követő értesítésben megadott módon jelezhetik. A döntő zártkörű rendezvény, oda kizárólag a részvételi szándékukat előzetesen jelzett versenyzőket áll módunkban beengedni. Az eseményen való részvétel díjtalan.

5.2. A döntő programja

57. A verseny(terem) programja

      1. 07:00 – 08:15 Regisztráció és az informatikai eszközök beüzemelése, reggeli
      2. 08:15 – 08:30 Megnyitó, köszöntő, szabályzat ismertető
      3. 08:30 – 12:30 Verseny I. része
      4. 12:30 – 13:30 Ebédszünet
      5. 13:30 – 16:00 Verseny II. része
      6. 16:00 – 16:30 Kávészünet
      7. 16:30 – 17:30 Verseny III. része, záró szakasza
      8. 17:30 – 18:00 Szünet
      9. 18:00 – 19:00 Eredményhirdetés, vacsora a döntős versenyzők számára

 

58. A döntő programjának változtatási jogát a szervező fenntartja.

6. Díjazás

59. A versenyre regisztrált és az elődöntőn részt vett minden játékos meghívót kap a döntő záró szakaszára.

60. A verseny döntőjében résztvevő személyek tárgynyereményekben, HCSC’19 logóval ellátott ajándékokban és oklevélben részesülnek.

61. A döntő első három helyezettje nívós nemzetközi, valamint hazai Informatikai Biztonsági konferenciákra (pl. ShmooCon, OffensiceCon, Bsides VIP) nyernek részvételi lehetőséget. Az utazást, a szállást és a részvételi díjat a szervező finanszírozza.

62. A döntő díjazásának vonatkozásában a szervező a változtatás jogát fenntartja.