Hi everyone and thank you Kentaro for the translation,
(Please note there is an update for this event here: https://blogs.securiteam.com/index.php/archives/2653)
An English version is available here: https://blogs.securiteam.com/index.php/archives/2626
今年のCode Blueではスポンサーだけではなく新たな挑戦も提供したいと考えま した。(我々にとってもカンファレンス参加者にとっても新しいチャレンジだと 考えてます。)
今年の会場に僕らは11台のデバイスを用意してみんなにハッキングできるかど うか挑戦してもらうと考えています。
今回のチャレンジのために様々なデバイスを用意しようと考えてます、各デバイ スは200ドル前後のデバイスで皆さんも気軽にイベント前に購入して実験できる と思ってます。
今回チャレンジの対象デバイスは:
- ASUS (RT-N16) Wireless-N 300 Maximum Performance single band Gaming Router
- ASUS (RT-AC68U) Wireless-AC1900 Dual-Band Gigabit Router
- OM2P-HS 802.11gn 300mbps HIGH POWER Access Point Router
- NETGEAR ReadyNAS 102 2-Bay Network Attached Storage Diskless (RN10200-100NAS)
- Hikvision DS-2CD2032-I Outdoor HD 3MP IP Bullet Security Camera 4mm
- AXIS 0554-004 M1004-W Wireless HDTV Network Camera
- Cisco ASA5505-BUN-K9 ASA 5505
- TRENDnet 1-Bay Diskless Wireless USB 2.0 IDE Network Attached Storage Enclosure TS-I300W (Blue)
- ZyXEL NSA310 1-bay Network Attached Storage and Media Server
- D-Link AC3200 Ultra Tri-Band Wi-Fi Router (DIR-890L/R)
- D-Link Wireless HD Pan & Tilt Day/Night Network Surveillance Camera with mydlink-Enabled (DCS-5222L)
事前に実験したい場合に簡単に調達できるようにとの配慮から上記の製品は amazonでの商品名前を使ってます。
今回のチャレンジの目的はこれらのデバイスにおいて最大限のアクセス権の取得 を誰が取れるかという点です。
今回のイベントは2部制を考えています、初日のイベントは参加登録者に対して 1時間の制限時間が与えられ、制限時間内での挑戦です。2日目のイベントは、 フリー参加制で誰でも随時チャレンジが可能で参加者が同時にデバイスへのアク セスが与えられます。
賞金
初日チャレンジの賞金は$8000,$4000,$2000米ドルです。2日目チャレンジの賞金 は$3000,$2000,$1000米ドルです。
各チャレンジの1等、2等、3等は上記デバイスの更にすでにハッキングされて ないデバイスのいずれかに対してハッキングに成功した個人(もしくはグルー プ)に与えられます。デバイスへのハッキングが成功した段階でデバイスはチャ レンジ対象リストから外されます。
判断基準
各チャレンジの1等、2等、3等の判断は以下のルールに従って行われます。
- 攻撃の複雑さ:如何にしてアクセス権取得を成功したか
- 攻撃のユニークさ:XSS,SQLi,RCEなど定番から斬新までを低い得点から高得点と した基準
- LAN/WAN側に対しての影響:WAN側にまで影響が出るような攻撃は更に得点が追加 されます。
- 攻撃の結果:参加者にはデバイスのアクセス権は与えられませんのでアクセス権 が無い状況からアクセス権の取得が挑戦になります、よってゲストアクセス権よ りもルート権限の方が得点が高い
- 攻撃手法開示の品質:攻撃手法を開示した品質、詳細にかつ丁寧に説明している など(英語で) 。
デバイスの設定条件
すべてのデバイスは工場出荷状態にあります。全設定は取り扱い説明書やユー ザーガイドなどに記載されたデフォルト値ですが唯一、デバイスへのアクセスと wifiアクセスのためのパスワード等の認証に関する条件だけが変更されます。
デバイスへのアクセス
挑戦対象のデバイスは全参加者へWAN側有線インターフェイスもしくはWiFi経由 での接続が可能です。
”ハッキングされた”という状態の判断
デバイスに対して以下の条件のいずれかが当てはまった場合、”ハッキングが成 功した”と判断します。
認証後の管理ウェブアプリへのアクセスが成功 (挑戦にあたり認証情報は与えら れません)
WiFiのパスワード等の設定値の変更に成功(デバイスのIPアドレス変更はハッキ ング成功と見なされません)
デバイス本来の挙動と違う状態をデバイスが行った場合:コードの実行、停止も しくは閉鎖していたポート、サービスの解放など(SSH,telnetなど)、想定外の 挙動をした場合:例えばカメラをハッキングせずに画像の抽出に成功したなど。
ハッキングと見なされない攻撃・条件
デバイスの誤作動を促す攻撃、デバイスからの応答妨害、起動不能状態を発生さ せるなど。意図的にこのような状態を発生させたと判断された場合、即時にチャ レンジへの参加権を無効にします。
デバイスを物理的に分解等を行った場合など我々が与えた条件以外でのアクセス (EthernetもしくはWiFi経由)
すでに既知のハッキング手法を使った場合:Google/Bing等で検索によって知りう る手法、変更不能なデフォルトパスワード、既知の脆弱性等(Googleなどの検索 エンジンやexploit-dbで入手可能な情報)
また、Beyond Securityとして不当だと考えられる理由:Beyond Securityス タッフへのソーシャルエンジニアリング、攻撃対象外のデバイス・機器への攻撃 を行いそこを起点として攻撃対象へのアクセス等
参加 条件
今回のチャレンジへの参加は参加者の自国において賞金受賞の法定年齢であるこ と。賞金等の受け取りが認められているかどうは参加する前に確認してくださ い、また賞金受賞が可能な人とチームを組むの可能性として考慮してみてください。
本コンテストには上記のデバイスの製造メーカー社員、関係者、開発に携わった 人は参加はできません。
勝者発表
今回のチャレンジの勝者(初日、2日目)は2日目の最後に発表されます。今回の ハッキングチャレンジは勝者発表の準備のため、カンファレンス2日目の終了時 間の2〜3時間前に終了する予定です。
コンテスト運営方法
A.初日のチャレンジでは各参加者は攻撃対象のデバイスに対して1時間の制限時 間内でのアクセスが与えられます。
B.デバイスへのハッキングが成功した場合、参加者は英語で口頭かつ文章(最低 500ワードの文章)でどのように攻撃に成功したかを説明する必要がありま す。会場で通訳が見つかった場合は日本語での説明も成功した証拠として受け入 れる可能性がありますが、通訳が見つかる保証はできないので英語での情報開示 の可能性を考慮してください。
C.攻撃手法に関する情報は3人の審判に開示されます。
D.審判団がデバイスがハッキングされたと判断した場合、対象のデバイスは攻撃 対象リストから外され、他の参加者は攻撃対象として選ぶことができなくなりま す。攻撃対象リストから外された後に攻撃されたデバイスの審査を行います。審 査後にハッキング手法に誤ちがあったと判断された場合、デバイスは前回攻撃者 による設定値が削除された工場状況出荷状態に復元され攻撃対象可能デバイスの リストへ復帰します。
E.初日終了後、審判団と本チャレンジ運営メンバーで参加者から開示された情報 を精査し、1等、2等、3等の勝者を決めます(上記の『 判断基準』を参照』 )
F.初日のイベントの賞金受賞に価する対象者が少ない場合は、初日の賞金は2日 目のイベントへ持ち越されます。
G.初日のイベントでハッキングされたデバイスは2日目のイベント時には対象と して見なされず、提供されません。
参加登録
初日のイベントのみ登録制で事前メール登録もしくは会場での登録を受け付けま す。登録制をとることで希望のデバイスへのアクセスを各参加者へ時間制で提供 することが可能になります。2日目のイベントはフリー参加制で参加者は随時、 デバイスの”ネットワーク”へラップトップ等のアクセスが可能です。初日のイベ ントに登録するためには、ssd[@]beyondsecurity.com([]を外して)メールして ください。
