Thể lệ thi đấu vòng chung kết cuộc thi an toàn không gian mạng toàn cầu WhiteHat Grand Prix 2018

I. Giới thiệu chung

• Vòng chung kết WhiteHat Grand Prix 2018 gồm 3 phần thi: CTF Jeopardy thực tế trên các thiết bị IoT, Attack/Defense đối kháng trực tiếp và ACM ứng dụng AI.
• Cuộc thi sẽ diễn ra liên tục trong thời gian 8 tiếng: từ 8h00 đến 16h00 ngày 1/11/2018
• Điểm cuối cùng của mỗi đội sẽ được tính bằng tổng điểm 3 phần thi Jeopardy, Attack/Defense và ACM.

II. Phần thi IoT Security theo hình thức Jeopardy
Ở phần thi đầu tiên này, mỗi đội sẽ được cấp một hệ thống mô phỏng hệ thống mạng của một doanh nghiệp với các thiết bị IoT như: Router, Modem Wi-Fi, Camera giám sát, hệ thống điều khiển trung tâm, các thiết bị đầu cuối… Nhiệm vụ của các đội thi là phải vượt qua các lỗ hổng bảo mật tồn tại trên các thiết bị IoT và ghi điểm sau mỗi thử thách.
Cách tính điểm:

1. Điểm ban đầu của mỗi bài thi là như nhau và giảm dần tương ứng với số đội giải được.
   
   
2. Điểm thưởng cho đội đầu tiên giải thành công mỗi thử thách là 50 điểm.
   
   
3. Nếu không có thông báo gì khác thì Flag sẽ có dạng WhiteHat{this_is_a_flag}

Lưu ý:

Thiết bị điều khiển trung tâm IoT gateway được xây dựng trên nền tảng Arduino. Các đội nên chuẩn bị trước các công cụ, thông tin về các lỗ hổng trên các thiết bị đầu cuối như Router, Modem Wi-Fi, Camera… đặc biệt là về thiết bị Arduino.

Bên cạnh hệ thống thi, các đội chơi sẽ được cung cấp một nguyên mẫu để nghiên cứu dịch ngược thiết bị

Sau khi phần thi IoT Security diễn ra được một khoảng thời gian thì, Ban tổ chức sẽ mở tiếp phần thi Attack/Defense.

III. Phần thi Attack/Defense:

Ở phần thi thứ hai này, các đội sẽ thi đấu đối kháng trực tiếp. Mỗi đội sẽ được cấp một Server có các dịch vụ đang hoạt động, được bảo vệ bởi một Firewall và đặt trong cùng một mạng với hệ thống của các đội khác.

Mỗi đội sẽ đóng vai trò quản trị hệ thống thực hiện nhiệm vụ bảo vệ hệ thống của mình trước các cuộc tấn công, đảm bảo dịch vụ luôn sẵn sàng cũng như tấn công các đội khác để lấy cờ ghi điểm.
Ban tổ chức sẽ cung cấp thông tin quản trị Firewall cho mỗi đội đồng thời công bố thông tin các dịch vụ của tất cả đội chơi bao gồm địa chỉ truy cập, binary file (nếu có)

Các dịch vụ sẽ được mở lần lượt theo kế hoạch của BTC, và hệ thống giám sát tự động sẽ được kích hoạt ngay từ đầu

Dịch vụ và tài nguyên của các đội:

• Server dịch vụ:
  • Server chứa nhiều dịch vụ tồn tại lỗ hổng, tương ứng với các challenge.
  • Đội chơi không được cấp quyền quản trị server, không có quyền thay đổi, patch binary
  • Mỗi dịch vụ, tại một thời điểm nhất định có một Flag (Flag không có định dạng chuẩn).
  • Tất cả dịch vụ là giống hệt nhau với tất cả các đội trừ Flag.
• Firewall:
  • Đóng vai trò đứng trước bảo vệ Server dịch vụ
    
  • Đội chơi được cấp quyền quản trị (root) và sử dụng Firewall này để áp dụng các biện pháp phòng thủ cho Server dịch vụ.

Phương pháp tính điểm

• Cuộc thi được chia thành các Round có thời lượng từ 15 đến 20 phút
  
  
• Với mỗi đội chơi, có 2 loại điểm: điểm tấn công, điểm phòng thủ. Điểm chung cuộc Attack Defense của đội chơi bằng tổng 2 loại điểm trên.
  
  
• Trong mỗi Round, dịch vụ sẽ được reset, flag được thay đổi. Điểm tấn công, phòng thủ sẽ được cộng thêm theo từng khoảng thời gian đó.
  
  
• Điểm tấn công: tấn công dịch vụ của các đội khác thành công, lấy được 1 flag nào sẽ được 10 điểm.
  
  
• Điểm phòng thủ: sau mỗi Round, điểm phòng thủ được cộng cho mỗi đội là 100 điểm/dịch vụ. Mỗi lần bị một đội khác lấy cờ sẽ bị trừ 10 điểm.

Lưu ý: Nếu hệ thống của BTC kiểm tra thấy dịch vụ của các đội không sẵn sàng trong phần lớn khoảng thời gian của Round, điểm phòng thủ của đội sẽ không được cộng. Kết thúc Round, nếu không bị đội khác tấn công lấy Flag và dịch vụ vẫn sẵn sàng sẽ được điểm thưởng (10 điểm).

IV. Phần thi ACM ứng dụng AI

Ở phần thi này các đội sẽ được cung cấp một sân đấu và một code mẫu của con rắn. Các đội tham gia sẽ lập trình con rắn của mình để thi đấu với các đội khác trên sàn đấu này để ghi điểm.

Phương pháp tính điểm

• Trong 1 Round sẽ đấu theo thể thức vòng tròn tính điểm (Các đội đều sẽ được đấu với nhau 1 lần trong 1 Round).
  
  
• Đội thắng sẽ ghi được X điểm, Hòa mỗi đội sẽ được sẽ ghi được X/3 điểm (điểm chẵn), thua không ghi được điểm. Hòa là khi 2 con rắn cùng sống hoặc cùng chết và có độ dài như nhau.
  
  
• Trong 1 Round các đội không được cập nhật lại con BOT của mình.
  
  
• Giữa các Round sẽ có 1 khoảng thời gian nghỉ. Sau mỗi Round các đội sẽ được quyền cập nhật lại BOT mới việc cập nhật phải hoàn thành trước khi Round mới bắt đầu.

V. Nghiêm cấm

Tấn công mang tính phá hoại vào các server tính điểm hoặc các chủ thể khác không nằm trong yêu cầu của cuộc thi

DOS/DDOS hạ tầng, làm cản trợ việc thi đấu của các đội khác

Chia sẻ flag giữa các đội

Các hành vi gian lận khác…

Tùy thuộc vào mức độ nghiêm trọng của các hành vi phạm mà đội chơi có thể bị nhắc nhở, phạt điểm, hoặc bị truất quyền thi đấu.

VI. Quy định chung

Quyết định của BTC là quyết định cuối cùng.

Trong trường hợp cần thiết, BTC có quyền thay đổi nội dung thể lệ này và những thay đổi đó sẽ được thông báo cho các đội qua email./.