Versenyszabályzat

Versenyszabályzat

1. A verseny célja

  1. A verseny legfőbb célja a kiberbiztonsági, technikai képességek gyakorlása, az elektronikus információbiztonsági szakmai orientáció, a szakma népszerűsítése, új tehetségek felkutatása és a kiberbiztonsági tudatosság növelése. A verseny szervezője célul tűzte ki továbbá, hogy a résztvevők a magas szintű technikai feladatok megoldása során kompetitív szellemben és környezetben érezzék magukat, amely hozzájárul szakmai fejlődésükhöz.
  2. A verseny további célja, hogy az ENISA által szervezett európai kiberbiztonsági versenyre (továbbiakban ECSC) selejtezőként működve, a magyar csapat tagjai kiválogatásra kerüljenek. Ehhez a két korkategóriából (junior és senior) 5-5 versenyző kap lehetőséget, korosztályonként 1-1 póttag is kiválasztásra kerül.
  3. További cél egy szakmai közösség építése, amely során a résztvevőknek lehetőségük nyílik versenyzőtársaikat megismerni és tapasztalatot cserélni.

2. A verseny szervezője

  1. A verseny szervezője a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (a továbbiakban: NBSZ NKI).
  2. A verseny során az NKI együttműködik a technikai feladatok előkészítése érdekében az Óbudai Egyetem BMI intézetével, illetve a White Hat IT Security Kft.-vel. Ezen minőségükben a verseny szervezéséhez feltétlenül szükséges adatokat megosztja az együttműködőkkel.

3. Fogalmak

  1. Játékos: a versenyre szabályosan regisztráló természetes személy, aki magyar állampolgár.
  2. Szervező: a verseny lebonyolításáért felelős szervezet.
  3. Feladat: az a kihívás, melyet a játékosnak a verseny során meg kell oldania, egy fordulóban több, eltérő nehézségű feladat is lesz.
  4. Lebonyolító platform: az a nyílt internetről elérhető tér, amelynek segítségével a versenyt lebonyolítják.
  5. Technikai támogató: az a harmadik szereplő, aki a verseny technikai feladatait összeállítja és a lebonyolító platformot üzemelteti
  6. Kommunikációs platform (Discord): a játékosok és a szervezők közötti elsődleges kapcsolattartási felület, melyen lehetőség van hibajegyek feladására és azok kezelésére is.

4. Részvételi feltételek

  1. A versenyszabályzatot és az adatvédelmi tájékoztatót minden résztvevőnek – a versenyre történő jelentkezés előtt – meg kell ismernie és el kell fogadnia. A versenyre való regisztrációval és jelentkezéssel a résztvevők kijelentik, hogy megismerték és elfogadták a szabályzatot és tájékoztatót. A versenyszabályzat megszegése a verseny bármely szakaszában az első figyelmeztetést követően kizárást von maga után.
  2. A versenyre minden 16. életévét betöltött magyar állampolgárságú természetes személy jelentkezhet (felső korhatár nincs), csak egyéni indulásra van lehetőség. A versenyre történő jelentkezésnek előképzettségi feltétele (iskolai végzettség) nincs, de a résztvevőknek a feladatok megoldásához az informatikai biztonság területén magas fokú elméleti és gyakorlati tudással kell rendelkeznie.
  3. Egy személy a versenyre csak egyszer, regisztrálhat.

4.1. Regisztráció

  1. A játékosoknak a részvételi szándékukat – regisztráció keretében – az NBSZ NKI weblapján https://nki.gov.hu/hcsc22 – egy erre a célra létrehozott űrlapon kell jelezniük. (az űrlapon kötelező egy érvényes e-mail cím, de nem kötelező saját névvel regisztrálni. lehet becenév/nicknév). A regisztráció célja, hogy egy jelentkező csak egy hozzáférést szerezhessen.
  2. A regisztrációval a játékosok kijelentik, hogy megismerték és elfogadták a verseny a Versenyszabályzatát és az Adatvédelmi Tájékoztatóját.
  3. A versenyre 2022.06.06-én 00:00 óra és 2022.07.18-án 24:00 óra között van lehetőség regisztrálni.
  4. A verseny szervezője ellenőrzi a regisztráció során megadott e-mail címeket. A sikeres regisztrációról a játékosok visszaigazoló e-mailt kapnak a szervezőtől a regisztráció alkalmával megadott e-mail címekre.
  5. A szervező a regisztrált játékosok fent meghatározott adatai közül az e-mail címeket és a regisztráció során megadott nevet (nick) átadja a verseny technikai támogatójának.

4.2. Versenyre jelentkezés

  1. A versenyre való jelentkezés – regisztrációt és a regisztrációs időszak végét követően – az platform online rendszerében történik (ctf.ecsc.hu), ahol a bejelentkezést követően van lehetőség a versenyfeladatok megoldására. A lebonyolító platformra a regisztráció során használt e-mail címmel szükséges jelentkezni. Az első, egyszerű feladatmegoldás beküldésekor a platform regisztrációval véglegessé válik a versenyben való részvétel.
  2. A résztvevőknek a versenyen való részvételi szándékukat – regisztráció keretében – a kiírásban jelzett módon kell jelezni.
  3. A versenyen nem vehetnek részt a szervező munkatársai, valamint azok családtagjai, illetve azok a személyek és családtagjaik, akik bármilyen más formában kapcsolatba kerültek a rendezvény szervezésével (pl. lebonyolító platform külsős és belsős munkatársai).

4.3. Regisztrációhoz szükséges adatok

  1. A regisztrációhoz és a versenyjelentkezéshez szükséges adatok:
  2. Versenyzők megadott azonosítója
  3. Versenyzők e-mail címe
  4. Versenyzők születési ideje
  5. A versenyben helyezést elért játékosok (mindkét korkategória első 5+1, illetve az abszolút verseny első három helyezettje) részéről további személyes adatok megadására van szükség, amelyet elektronikusan szükséges megtenni. Amennyiben egy helyezést elért játékos alább megjelölt adatai 2022.08.15.én 8:00-ig a szervezők részére nem kerülnek megküldésre, azon játékos eredménye érvénytelenné válik, az elért pontszámok a végső sorrend kialakítása tekintetében nem vehetők figyelembe. Ezen adatok:
    1. Versenyző neve
    2. Versenyző születési helye, ideje
    3. Telefonszám
    4. Adóazonosító szám
    5. Taj szám
    6. Hozzájáruló nyilatkozat.
    7. Ételallergiára vonatkozó adat
    8. Szülői hozzájáruló nyilatkozat, amennyiben a játékos 18. életévét be nem töltött személy.
  6. Szervező az ECSC-be továbbjutott versenyzők személyazonosságát személyes találkozás és felkészítés során ellenőrzi.
  7. A versenyben való részvétel önkéntes és ingyenes. Az NBSZ NKI minden személyes adatot, amelyhez a verseny során hozzájut, bizalmasan és a hatályos adatvédelmi jogszabályoknak, szabályoknak megfelelően kezel, azt harmadik személynek nem adja át – kivéve a szabályzat 2.2  alpontjában leírtak -, azokat harmadik személyek nem ismerhetik meg, az adatokat hozzáférhetővé nem teszi, az adatkezelés szabályainak mindenben eleget tesz.

4.4. Kötelezően kitöltendő nyilatkozatok

  1. A résztvevők a versenyre való regisztrációt megelőzően az alábbiakról kötelesek nyilatkozni:
    1. „Kijelentem, hogy a Versenyszabályzatot és az Adatvédelmi tájékoztatót megismertem és elfogadtam.
    2. Kijelentem, hogy az általam megadott adatok a valóságnak megfelelnek, és kizárólag ezt az egy felhasználói fiókot regisztráltam és használom a verseny során.
    3. Kijelentem, hogy a verseny ideje alatt, azzal összefüggésben a hatályos magyar jogszabályokat betartva járok el.”
  2. Regisztrációra és a versenyen való részvételre csak a fenti nyilatkozatok megtételével lesz lehetőség.

4.5. Egyéb szabályok

  1. A rendezvény szervezője jogosult arra, hogy a versenyből kizárja azt a játékost, aki csalást követett el, vagy megszegte a részvételi feltételeket, amely esetben a játékos eredményei törlésre kerülnek a verseny adatbázisából.
  2. A szervező fenntartja magának a jogot, hogy másik nyertest hirdessen, amennyiben okkal feltételezi, hogy az első körben kiválasztott játékos megszegte a részvétel feltételeit.
  3. A szervező megítélése szerint, a verseny adott időpontjaiban mindenki számára nyilvánosan közzé tehet segítséget adott feladatok megoldásához (Hint-ek).

5. A versenyfeladatok, lebonyolítás

  1. A verseny a meghatározott korcsoportba tartozó természetes személyek megmérettetése. Az ECSC csapatválogatásának feltételeként a szervezők 3 külön kategóriában értékelik a versenyzőket:
    1. Junior csoport: 2002.01.01 és 2006.12.31 között született versenyzők
    2. Senior csoport 1997.01.01 és 2001.12.31 között született versenyzők
    3. Összesített verseny: minden résztvevő játékos kortól függetlenül.
  2. A lebonyolító platformhoz való hozzáférést – a versenyjelentkezés után – a szervező biztosítja. A részvétel feltétele a versenyszabályzat és a lebonyolító platform felhasználási szabályzatának, valamint az adatvédelmi politika elfogadása. A lebonyolító platform angol nyelven működik.
  3. A feladatok megoldását a CTFd platformra tölti fel a játékos, mely a szervező által biztosított elérési úton keresztül, hitelesítést követően a nyílt internetről elérhető lesz a verseny alatt.
  4. A változatos témájú feladatok megoldásához – azok nehézségi szintjétől függően, melyet a feladatért kapható pontszám is jelez – alapszintű vagy mélyebb technikai tudás szükséges. A feladatok célja minden esetben egy „flag” (zászló) elérése (CTF feladatok), amely egyértelműen bizonyítja a feladat elvégzését. A zászlót elérni valamilyen technikai kihívás teljesítésével lehet. A „flag” egy egyedi azonosító (szöveg vagy karaktersorozat), amely minden feladat és felhasználó számára különböző is lehet. Egy feladat akkor minősül elvégezettnek, ha a CTFd plaformon a zászló a megfelelő mezőben elküldésre került és az helyes értékű. A feladatok leírása és elérhetősége a CTFd platformon található, a megoldást is itt kell beküldeni. Egy feladatkiíráshoz egy „flag” tartozik, de a feladatok összefügghetnek egymással.
  5. Egyes feladatok VPN-en keresztül lesznek elérhetőek, ezek elérhetőségéről, és a belépési módról tájékoztatást ad a szervező. A hálózaton elérhető célpontok szabadon támadhatóak. Saját támadó fájlok feltöltése a szerverekre és azok törlése megengedett, azonban minden olyan tevékenység amely a feladat szándékos tönkretételére, elérhetőségének akadályozására, vagy a többi versenyző játékának szabotázsára irányul (pl. eredeti fájlok törlése, flag-ek felülírása) a versenyből való kizárást eredményez. Minden olyan támadó jellegű tevékenység, amely a biztosított, a feladatokban meghatározott hálózaton kívülre irányul, azonnali kizárást és további következményeket eredményez. A hálózatban minden feladat több példányban fut. A feladatokat a szervező rendszeresen alaphelyzetbe állítja, az ütemezés a verseny kezdetekor publikálásra kerül.
  6. A verseny másik részét képezi Offenzív és Defenzív virtuális gépek forensic jellegű vizsgálata is. Az ehhez kapcsolódó képfileokat a szervezők letöltés céljából előre hozzáférhetővé teszik titkosított formátumban, majd a megfelelő időben a megadott e-mailben eljuttatják a játékosokhoz a szűkséges jelszavakat. A virtuális gépekben is a fent meghatározott flag-ek keresése a feladat.
    Az Offensív és Defenzív gép feladataihoz a „flagek” beküldése szintén a CTFd platformon kerül megvalósításra. Helyes „flag” beküldésekor a rendszer ideiglenesen kiosztja a feladatért adható pontszámot.
  7. A játékosoknak maguknak kell megoldani a virtuális gépek konfigurációját és futtatását saját gépeiken.
  8. Egyes, a leírásban jelzett flag-ek (VM-es) beküldése mellé szükséges még egy leírás (ún. writeup) elkészítése is, melyben röviden megfogalmazásra kerül, hogyan jutott hozzá a játékos a flag-hez. Ennek elkészítéséhez egy dokumentumot (template) biztosítunk a versenyzők számára, a megoldásokat kizárólag ebben a formában fogadjuk el a hcscwriteups@nki.gov.hu emailcímre visszaküldve 2022.07.31 20:00 óráig. Azon flagekhez, melyeknél ezt a szervező nem kéri nem kell writeup-ot készíteni.
  9. A writeupok beküldésére versenyzőnként egyetlen lehetőség van, az első beküldést fogjuk figyelembe venni.
  10. A (VM-es) feladatra adható pontot az a játékos kapja meg, aki érvényes flaget töltött fel a CTFd oldalra ÉS érvényes leírást küldött be hozzá e-mailben. Az a versenyző, aki egy adott feladathoz töltött fel „flaget”, de nem küld be hozzá writeup-ot, vagy az érvénytelennek bizonyul, pontlevonásban részesül. A levont pontszám az adott feladat pontértékének a fele. Hasonlóan: writeup beküldése érvényes flag feltöltés nélkül szintén érvénytelen feladatmegoldásnak minősül.
  11. A lebonyolító platformon a használat megkönnyítésére ajánlott referenciák is rendelkezésre állnak.
  12. A feladatok tetszőleges sorrendben oldhatók meg.
  13. A feladatok különböző informatikai biztonsági témákat érintenek, melyek az alábbiak:
    1. Offenzív security (pl. exploit, sérülékenység-kihasználás);
    2. Defenzív security (pl. logelemzés, hálózati forgalomelemzés, káros kód elemzés);
    3. Biztonságos programozás (pl. C/C++ és python).
  14. A feladatok megoldásához MS Windows és általános UNIX/Linux ismeret is szükséges.
  15. A feladatok különböző nehézségűek, így azok teljesítéséért különböző mennyiségű, előre meghatározott és kihirdetett pontszámot kapnak a résztvevők. A feladatok végrehajtására részpontszámot a rendszer nem számol.
  16. A pontok és az idő számítása minden versenyző számára azonos időpontban, a verseny kezdetekor indul. A pontok jelenlegi állását (scoreboard) a szervezők valós időben hozzáférhetővé teszik a versenyzők számára. A forensic feladatok ellenőrzéséből adódóan (writeups) az ezekre adott pontok tájékoztató jellegűek. Végleges pontszám, és sorrend, a writeupok ellenőrzése után alakul ki és kerül publikálásra. A Rendező vállalja, hogy a végleges pontszámok és sorrend publikálásra kerül legkésőbb 2022.08.03. 12:00-ig.
  17. A versenyfeladatok részét képezheti kommunikációs és egyéb nem CTF feladat is, melyet a játékosok e-mailben kapnak meg, a megoldás határidejét a levél fogja tartalmazni. Ezen feladat(ok) a végső értékelés részét képezi(k).
  18. A verseny szervezői meghatározott Discord csatornán és e-mailben kommunikálnak a játékosokkal. A Discord csatorna biztosít lehetőséget a játékosoknak a verseny ideje alatt az esetleges problémák jelzésére és segítség kérésére (jegyrendszer).
  19. A rendező fenntartja a jogot, hogy adott feladatokhoz kiegészítésekkel éljen, illetve a verseny ideje alatt változásokat eszközöljön a versenyzők világos tájékoztatása mellett.

5.1. A verseny fordulója

  1. A verseny egy fordulóban kerül lebonyolításra.
  2. A verseny lebonyolítása nyári közép európai idő (CEST) szerint 2022. július 28. 18:00 óra és 2022. július 31. 18:00 óra között zajlik (3 nap) online. A játékra kizárólag ebben az időablakban nyílik lehetőségük a résztvevőknek. Így, a versenyfeladatok végrehajtására – a jelzett időablakon belül – a résztvevőknek összesen legfeljebb 72 órájuk van.
  3. A verseny résztvevői otthoni környezetben saját eszközökön a lebonyolító platform segítségével, oda kapcsolódva, a platform technikai támogatásával és instrukciói alapján vehetnek részt a feladatok megoldásában.
  4. A verseny ideje alatt a feladatok fokozatosan válnak elérhetővé, de mindvégig megoldhatóak maradnak.
  5. A játékosok rangsorolása pontozás alapján történik, melynek alapja a megoldott feladat nehézsége. Egyenlő pontszám esetén az utolsó beküldött feladat megoldásának ideje a döntő.
  6. A verseny pillanatnyi állása a résztvevők számára mindvégig elérhető lesz (scoreboard).

5.1.3. Továbbjutás és ECSC

  1. A verseny egyik célja az ECSC-re a magyar csapat kiválogatása.
  2. Erre a két korkategóriában (junior és senior) alapvetően az első 5-5 helyezett kap lehetőséget. A szervező a rangsornak megfelelően további helyezetteket (korcsoportonkként egy főt) is megkeres tartalék céljából, ha valaki nem tud részt venni az ECSC-n.
  3. 18. életévét be nem töltött játékos esetén a felügyeleti jogokat gyakorló személy (szülő) hozzájáruló nyilatkozata szükséges a részvételhez.
  4. Az ECSC 2022. szeptember 13-17.-én kerül megrendezésre, Bécsben.
  5. A szervezők biztosítják a magyar csapat utaztatását, szállását és ellátását az ECSC ideje alatt.
  6. A továbbjutó játékosokkal a szervezők a HCSC után felveszik a kapcsolatot egyeztetés és adatok bekérése céljából.
  7. A Bécsi verseny előtt (augusztusban) a szervezők tartanak egy személyes megjelenést igénylő csapatépítő eseményt Budapesten, ahol kialakításra kerül a magyar csapat kerete.
  8. A csapat tagjai Magyarországot képviselik az európai versenyen, ennek megfelelően vállalják, hogy csapatként legjobb tudásuk szerint együttműködnek, illetve a verseny szabályzatát mindenben betartják.
  9. A szervezők fenntartják a jogot, hogy a csapat végleges összetételéről döntsenek.

6. Díjazás

  1. A verseny 3 kategóriájában külön rangsor és díjazás történik.
  2. Lehetséges több kategóriában is helyezést elérni (pl senior 1. hely és összetett 3. hely), ebben az esetben mindkét kategóriában megjelölt díj az érintett játékost illeti.
  3. A díjak átvételéhez a 4.3.5 pont alatt tárgyaltaknak megfelelően a játékosoknak további adatokat kell a szervezőknek szolgáltatniuk.
  4. A díjazás:
    1. helyezett (korcsoportonként) 300 000 forint értékű nyereményben részesül, az összetett verseny első helyezettje 500 000 forint értékű nyereményt kap.
    2. helyezett (korcsoportonként) 200 000 forint értékű nyereményben részesül, az összetett verseny második helyezettje 350 000 forint értékű nyereményt kap.
    3. helyezett (korcsoportonként) 150 000 forint értékű nyereményben részesül, az összetett verseny harmadik helyezettje 250 000 forint értékű nyereményt kap összetett verseny első helyezettje
  5. A döntő díjazásának vonatkozásában a szervező a változtatás jogát fenntartja.