Versenyszabályzat

1.  A verseny célja

  1. A verseny legfőbb célja a technikai képességek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése, új tehetségek felkutatása és a kiberbiztonsági tudatosság növelése. A verseny szervezője célul tűzte ki továbbá, hogy a résztvevők a magas szintű technikai feladatok megoldása során kompetitív szellemben és környezetben érezzék magukat, amely hozzájárul szakmai fejlődésükhöz.
  2. További cél egy szakmai közösség építése, amely során a résztvevőknek lehetőségük nyílik versenyzőtársaikat megismerni.

2.  A verseny szervezője

  1. A verseny szervezője a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (a továbbiakban: NBSZ NKI).
  2. A verseny alapjául szolgáló technikai lebonyolító platformot az Avatao.com Innovative Learning Kft. fejleszti és üzemelteti.

3.  Fogalmak

  1. Játékos: a versenyre szabályosan regisztráló természetes személy.
  2. Szervező: a verseny lebonyolításáért felelős szervezet.
  3. Feladat: az a kihívás, melyet a játékosnak a verseny során meg kell oldania, egy fordulóban több, eltérő nehézségű feladat is lesz.
  4. Lebonyolító platform: az a nyílt internetről elérhető tér, amelynek segítségével a versenyt lebonyolítják.
  5. Technikai támogató: az a harmadik szereplő, aki a verseny technikai feladatait összeállítja és a lebonyolító platformot üzemelteti.

4.  Részvételi feltételek

  1. A versenyszabályzatot és az adatvédelmi tájékoztatót minden résztvevőnek – a versenyre történő jelentkezés előtt – meg kell ismernie és el kell fogadnia. A versenyre való regisztrációval és jelentkezéssel a résztvevők kijelentik, hogy megismerték és elfogadták a szabályzatot és tájékoztatót. A versenyszabályzat megszegése a verseny bármely szakaszában az első figyelmeztetést követően kizárást von maga után.
  2. A versenyre minden 16. életévét betöltött magyar állampolgárságú természetes személy jelentkezhet (felső korhatár nincs), a csapatok maximum 3 fősek lehetnek. Egyéni indulásra nincs lehetőség. Csapatkapitány választása és megnevezése szükséges. A csapattagok megnevezésére az elődöntős regisztrációnál kerül sor. A csapat összetételére vonatkozóan a fentieken túl egyéb korlátozás nincs. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs, de a résztvevőknek a feladatok megoldásához az informatikai biztonság területén magas fokú elméleti és gyakorlati tudással kell rendelkeznie.
  3. Egy személy a versenyre csak egyszer, egy csapat tagjaként regisztrálhat.
  4. Ha egy versenyző nem rendelkezik még csapattal, a verseny szervezője lehetőséget biztosít csapat toborzására is.

4.1.           Regisztráció

  1. A csapatoknak a részvételi szándékukat – regisztráció keretében – az NBSZ NKI weblapján https://www.hcsc21.hu – egy erre a célra létrehozott űrlapon kell jelezniük (csapatnév, versenyzők neve, versenyzők e-mail címe, versenyzők születési helye és ideje megadásával). A regisztráció célja, hogy egy jelentkező csak egy hozzáférést szerezhessen.
  2. A csapat nélküli regisztrálóknak a verseny weblapján – https://www.hcsc21.hu – egy erre a célra létrehozott űrlapon kell jelezniük részvételi szándékukat (név, e-mail cím, születési hely, idő), amely után a szervező – megfelelő létszám esetén – a regisztrációk beérkezésének sorrendjében lehetőséget biztosít újonnan összeállt csapatok szereplésére is. Az újonnan létrejött kollektívák tagjait a verseny szervezője a regisztrációkor megadott e-mail címeken értesíti a fejleményekről, releváns információkról.
  3. A regisztrációval a csapatok, csapattagok kijelentik, hogy megismerték és elfogadták a verseny Adatvédelmi Tájékoztatóját.
  4. A versenyre 2021.09.01-én 00:00 óra és 2021.10.05-én 24:00 óra között van lehetőség regisztrálni.
  5. A verseny szervezője ellenőrzi a regisztráció során megadott e-mail címeket. A sikeres regisztrációról a versenyzők / csapattagok visszaigazoló e-mailt kapnak a szervezőtől a regisztráció alkalmával megadott e-mail címekre.
  6. A szervező a regisztrált játékosok fent meghatározott adatai közül az e-mail címeket és a csapatneveket átadja a verseny technikai támogatójának.

4.2.           Versenyre jelentkezés

  1. A versenyre való jelentkezés – regisztrációt és a regisztrációs időszak végét követően – az Avatao platform online rendszerében történik (https://next.avatao.com), ahol a bejelentkezést követően van lehetőség a versenyfeladatok megoldására. A lebonyolító platformra a regisztráció során használt e-mail címmel szükséges jelentkezni. Az első, egyszerű feladatmegoldás beküldésekor a platform regisztrációval véglegessé válik a versenyben való részvétel.
  2. A résztvevőknek a versenyen való részvételi szándékukat – regisztráció keretében – a kiírásban jelzett módon kell jelezni.
  3. A versenyen nem vehetnek részt a szervező munkatársai, valamint azok családtagjai, illetve azok a személyek és családtagjaik, akik bármilyen más formában kapcsolatba kerültek a rendezvény szervezésével (pl. lebonyolító platform külsős és belsős munkatársai).

4.3.           Regisztrációhoz szükséges adatok

  1. A regisztrációhoz és a versenyjelentkezéshez szükséges adatok:
  2. Csapatnév (amennyiben rendelkezik csapattal)
  3. Versenyzők valós neve (csapatkapitány megjelölésével)
  4. Versenyzők e-mail címe
  5. Versenyzők születési helye, ideje
  6. A verseny első tíz helyezett csapatának a fentieken túl – a nyeremények végett – további személyes adatok megadására van szükség, amelyet az elődöntőt követően, a döntő végéig elektronikusan szükséges megtenni. Amennyiben egy döntőbe jutott csapat alább megjelölt adatai a döntőt megelőző napig (2021.10.15-én 07:00-ig) – külön felszólítás nélkül – a Szervezők részére nem kerülnek megküldésre, azon csapat eredménye érvénytelenné válik, az élért pontszámok a végső sorrend kialakítása tekintetében nem vehetők figyelembe. Ezen adatok:
  7. Telefonszám
  8. Adóazonosító szám
  9. Taj szám
  10. Hozzájáruló nyilatkozat.
  11. Szervező a döntőbe jutott Versenyzők személyazonosságát a döntő helyszínén, egy fényképes igazolvány bemutatásával ellenőrizheti.
  12. A versenyben való részvétel önkéntes és ingyenes. Az NBSZ NKI minden személyes adatot, amelyhez a verseny során hozzájut, bizalmasan és a hatályos adatvédelmi jogszabályoknak, szabályoknak megfelelően kezel, azt harmadik személynek nem adja át – kivéve a szabályzat 4.1. pontjának 19. alpontjában leírtak -, azokat harmadik személyek nem ismerhetik meg, az adatokat hozzáférhetővé nem teszi, az adatkezelés szabályainak mindenben eleget tesz. A versennyel kapcsolatos adatfeldolgozásra a lebonyolító platform felhasználási szabályzata és adatvédelmi politikája vonatkozik (https://platform.avatao.com/terms).

4.4.     Kötelezően kitöltendő nyilatkozatok

  1. A résztvevők a versenyre való regisztrációt megelőzően az alábbiakról kötelesek nyilatkozni:
  2. Kijelentem, hogy a Versenyszabályzatot és az Adatvédelmi tájékoztatót megismertem és elfogadtam.
  3. Kijelentem, hogy az általam megadott adatok a valóságnak megfelelnek, és kizárólag ezt az egy felhasználói fiókot regisztráltam és használom a verseny során.
  4. Kijelentem, hogy a verseny ideje alatt, azzal összefüggésben a hatályos magyar jogszabályokat betartva járok el.

Regisztrációra és a versenyen való részvételre csak a fenti nyilatkozatok megtételével lesz lehetőség.

4.5.     Egyéb szabályok

  1. A rendezvény szervezője jogosult arra, hogy a versenyből kizárja azt a játékost, aki csalást követett el, vagy megszegte a részvételi feltételeket, amely esetben a játékos eredményei törlésre kerülnek a verseny adatbázisából.
  2. Az alábbi tevékenységek a versenyből történő azonnali kizárást vonják maguk után:
    1.  A feladatok megoldásának (flag) megosztása más csapatokkal.
    2.  A feladatok megoldásában segítség nyújtása más csapatok részére.
    3. A verseny lebonyolításához szükséges infrastruktúra bármilyen jellegű támadása. (pl. DDoS, a feladatok megoldásának nyers erővel történő kitalálása)
    4. Bármilyen versenyen kívüli tevékenység, amely a feladatok megoldásának megszerzésére irányul. (pl. social engineering)
  3. A szervező fenntartja magának a jogot, hogy másik nyertest hirdessen, amennyiben okkal feltételezi, hogy az első körben kiválasztott játékos megszegte a részvétel feltételeit.

5.  A versenyfeladatok, lebonyolítás

  1. A verseny a meghatározott korcsoportba tartozó természetes személyek csapatban való megmérettetése. A verseny lebonyolítására a magyar fejlesztésű, kifejezetten erre a célra is létrehozott Avatao platformot (https://avatao.com) használják a résztvevők (továbbiakban: lebonyolító platform). A lebonyolító platformhoz való hozzáférést – a versenyjelentkezés után – a szervező biztosítja. A részvétel feltétele a versenyszabályzat és a lebonyolító platform felhasználási szabályzatának, valamint az adatvédelmi politika elfogadása. A lebonyolító platform angol nyelven működik.
  2. A verseny résztvevőinek a szervező úgynevezett egyéni „capture the flag” (CTF) típusú feladatokat biztosít a lebonyolító platformon keresztül, amelyek egy közös feladatsorban lesznek elérhetőek. A feladatok megoldásához – azok nehézségi szintjétől függően – alapszintű vagy mélyebb technikai tudás szükséges. A változatos informatikai biztonsággal kapcsolatos feladatok egy részének célja egy „flag” (zászló) elérése, amely egyértelműen bizonyítja a feladat elvégzését. A zászlót elérni valamilyen (a lenti témákba vágó) technikai kihívás teljesítésével lehet. A „flag” egy egyedi azonosító (szöveg vagy karaktersorozat), amely minden feladat és felhasználó számára különböző is lehet. Egy feladat akkor minősül elvégezettnek, ha a portálon a zászló a megfelelő mezőben elküldésre került és az helyes értékű. A feladatok egy részéhez nem tartozik „flag”, ott a feladat helyessége az ellenőrző gomb megnyomásával tesztelhető (egyéb bemeneti karaktersorozat nélkül).
  3. A lebonyolító platformon a használat megkönnyítésére ajánlott referenciák is rendelkezésre állnak. 
  4. A feladatok tetszőleges sorrendben oldhatók meg.
  5. A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:
  6. Offenzív security (pl. exploit, sérülékenység-kihasználás);
  7. Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
  8. Biztonságos programozás (pl. C/C++ és python).
  9. A feladatok megoldásához MS Windows és általános UNIX/Linux ismeret is szükséges.
  10. A feladatok különböző nehézségűek, így azok teljesítéséért különböző mennyiségű, előre meghatározott és kihirdetett pontszámot kapnak a résztvevők. A feladatok végrehajtására részpontszámot a rendszer nem számol. 
  11. A pontok és az idő számítása minden csapat számára azonos időpontban, a verseny kezdetekor indul.
  12. A versenyfeladatok részét képezheti kommunikációs és egyéb nem CTF feladat is, melyet e-mailben a csapatkapitányok kapnak meg, a megoldás határidejét a levél fogja tartalmazni. Ezen feladat(ok) a végső értékelés részét képezi(k).

5.1.           A verseny fordulói

  1. A verseny két fordulóban (online elődöntő és személyes megjelenésű döntő) kerül lebonyolításra.
  2. Mindkét fordulóban a csapatok rangsorolása az alábbiak szerinti sorrendben történik:
  3. Akik a legtöbb pontot gyűjtik be;
  4. Az előző pontban meghatározott szempont egyenlősége esetén, akik a legkevesebb idő alatt teljesítették sikeresen a feladatokat.
  5. A verseny pillanatnyi állása a résztvevők számára mindvégig elérhető lesz (scoreboard).

5.1.2.  Az elődöntő

  1. Az elődöntő lebonyolítása nyári közép európai idő szerint október 07. 8:00 óra és 2021. október 10. 24:00 óra között zajlik (4 nap) online. A játékra kizárólag ebben az időablakban nyílik lehetőségük a résztvevőknek. Így, a versenyfeladatok végrehajtására – a jelzett időablakon belül -a résztvevőknek összesen legfeljebb 96 órájuk van.
  2. A verseny résztvevői otthoni környezetben saját eszközökön a lebonyolító platform segítségével, oda kapcsolódva, a platform technikai támogatásával és instrukciói alapján vehetnek részt a feladatok megoldásában. A versenyzőknek az elődöntőben 10 különböző nehézségű feladatot kell megoldania. A feladatok számát Szervező saját döntése jogán tovább bővíthet, amelyről Szervező minden esetben tájékoztató e-mailt küld a csapatkapitányoknak.  A versenyjelentkezésről és az elődöntő indulásáról a résztvevők e-mail értesítést kapnak a technikai lebonyolítótól.

5.1.3.  Továbbjutás a döntőbe

  1. Az elődöntő fenti rangsorolás szerinti első tíz helyezettje jut a döntőbe. Amennyiben valamelyik döntőbe jutó csapat nem kíván részt venni a fináléban, akkor a helyeket a csapatok helyezésének sorrendjében a szervező folyamatosan feltölti (döntők feltöltése).
  2. Az elődöntő kiértékelése és a továbbjutó csapatok kihirdetése 2021.10.11-én 24:00-ig történik meg. Az elődöntőt követően minden versenyző a regisztráció során megadott elérhetőségére értesítést kap az eredményről.
  3. Az elődöntőből továbbjutó Csapatok a döntőben való részvételt – a csapatkapitányokon keresztül – 2021.10.13-án 24:00-ig, az értesítésben megadott módon jelezhetik. Amennyiben egy döntőbe jutott Csapat nevezett dátumig nem erősítette meg jelentkezését, úgy helyét a Megbízó a fent leírtak szerint tölti fel. A döntő mezőnye október 15-én válik véglegessé.

5.1.4.  A döntő

  1. A döntő 2021.10.26-án (kedden) a CyberSec elnevezésű Nemzeti Kiberbiztonsági Konferencia keretein belül kerül megrendezésre, amelyen a résztvevők személyes megjelenésére van szükség. Szervező a döntő személyes megjelenésével kapcsolatosan – kiemelt figyelemmel a pandémiás helyzetre – a változtatás jogát fenntartja.
  2. A döntőben a fent ismertetett (CTF – jellegű) 10 további feladat megoldása a résztvevők feladata.
  3. A döntő helyszínén internetelérést a Megbízó biztosít a résztvevőknek. A döntő helyszínén a versenyzőknek a Megbízó nem biztosít a részvételhez szükséges technikai eszközöket (személyi számítógép, perifériák, operációs rendszer, virtualizáló környezet), arról a versenyzőknek kell gondoskodnia.
  4. Az elődöntős feladatok a döntőben már nem folytathatóak.
  5. A fentieken túl a döntőben egyéb, nem technikai jellegű table top (döntés és management), procedurális incidenskezelési (elméleti és eljárás tesztelési), kommunikációs feladatok is lehetnek, melyek szintén az értékelés részét képezik.
  6. A versenyben a csapattársakon kívül más (sem jelenlévő, sem távoli) személy segítségét használni szigorúan tilos. Amennyiben valaki mégis más személy segítségét használja egy figyelmeztetést követően a szervező az „Egyéb szabályok” című pont alapján jár el.

6.  Díjazás

  1. A verseny döntőjében résztvevő személyek tárgynyereményekben, HCSC’21 logóval ellátott ajándékokban és oklevélben részesülnek.
  2. A verseny összdíjazása meghaladja a 8.000.000 forintot.
  3. A döntő első három helyezett csapata értékes tárgyjutalmakban részesül az alábbiak szerint:
    1. helyezett csapat kb. 2 millió forint értékű tárgynyereményekben részesül.
    2. helyezett csapat kb. 1.6 millió forint értékű tárgynyereményekben részesül.
    3. helyezett csapat kb. 1.3 millió forint értékű tárgynyereményekben részesül.
  4. A döntőbe jutott többi csapat értékes tárgyjutalmakban részesülnek.
  5. A döntő díjazásának vonatkozásában a szervező a változtatás jogát fenntartja.