Трудно привести полный список правил, которые применяются на CTF.
Цель данных соревнований не выявить лучшего, что невозможно, так как
профессионалы несравнимы, а обменяться опытом и знаниями в сфере
компьютерной безопасности. Тем не менее, команда, которой повезет
больше, станет победителем. :)
Деструктивные атаки в стиле «rm -rf /», а также DoS атаки с
генерацией мусорного трафика не в духе соревнований.
Будьте готовы к любой операционной системе и любому языку
программирования, вы же профессионалы.
Используемые понятия
Команда
Группа людей, состоящая из 1-7 человек, среди которых есть капитан.
Сервис
Специально написанное для игры приложение, содержащее встроенные
уязвимости.
Флаг
Строка, удовлетворяющая следующему регулярному выражению:
/^=[_a-zA-Z0-9\+\-\/\\]{63}$/.
Регламент игры
11:00:00 - все команды получают одинаковый VMWare образ сервера,
зашифрованный GPG.
11:59:59 - все команды получают ключ для расшифровки образа, а также
учетные данные администратора.
12:00:00 - игра началась, но сегменты команд отключены друг от
друга, и жюри не производит проверку сервисов.
13:00:00 - включается маршрутизация между сегментами команд, и жюри
начинает проверку сервисов и прием флагов.
22:00:00 - сегменты команд отключаются, игра завершена.
Система начисления баллов
Баллы начисляются команде:
* за корректное функционирование собственных сервисов;
* за захват флагов с сервисов других команд;
* за описание найденных уязвимостей, способов их исправления и
использования;
* за выполнение дополнительных заданий;
* особым решением жюри.
Общие запреты
Во время игры командам запрещается:
* проводить атаки на серверы жюри и проверяющую систему;
* проводить фильтрацию команд-противников по IP адресам или любым
другим способом;
* генерировать неоправданно большой объем трафика;
* проводить DoS с генерацией большого объема трафика;
* осуществлять деструктивные атаки на серверы команд
(например, "# rm –rf /").
Общие разрешения
Командам разрешается использовать любое количество компьютеров и
сетевого оборудования не выше второго уровня.
Командам разрешается исправлять уязвимости в сервисах либо блокировать
использование уязвимостей в них.
Командам разрешается менять топологию своего сегмента сети.
Организаторы могут предоставить на время соревнований по одному
компьютеру на каждого участника.
Каждой команде будет предоставлен заранее настроенный маршрутизатор
с учетными данными от него.
* может уточнить правила в любой момент до начала игры;
* может оштрафовать/дисквалифицировать команду за нарушение правил;
* определяет победителя соревнований, основываясь на баллах.
Исключительные ситуации
К возможности возникновения исключительных непредвиденных ситуаций
команды должны отнестись с пониманием. Организаторы приложат все
возможные усилия для устранения таких ситуаций.