Cuôc thi tai hacker công khai đâu tiên tai Viêt Nạm

Chia sẻ: Ai Dieu | Ngày: | Loại File: DOC | Số trang:3

Thêm vào BST

Báo xấu

56
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Lâǹ đâù tiên taị Việt Nam, môṭ cuộc thi ''hợp pháp'' thử tài cać hacker đa ̃ đươc̣ nhoḿ ''BugSearch'' thuôc̣ Đaị hoc̣ Quôć gia TP.HCM (ĐHQGHCM) công bô.́ Nội dung của cuộc thi là thách đố các hacker xâm nhập một máy chủ Web đặt tại mạng tin học của ĐHQGHCM.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Cuôc thi tai hacker công khai đâu tiên tai Viêt Nạm

Cuôc thi tai hacker công khai đâu tiên tai Viêt Nam ̣ ̀ ̀ ̣ ̣ trang này đã được đọc lần Lân đâu tiên tai Viêt Nam, môt cuôc thi ''hơp phap'' thư tai cac hacker đa đươc nhom ''BugSearch'' ̀ ̀ ̣ ̣ ̣ ̣ ̣ ́ ̉̀ ́ ̃ ̣ ́ thuôc Đai hoc Quôc gia TP.HCM (ĐHQGHCM) công bô. Nội dung của cuộc thi là thách đố các ̣ ̣ ̣ ́ ́ hacker xâm nhập một máy chủ Web đặt tại mạng tin học của ĐHQGHCM. Theo nhom BugSearch, muc đich cua cuôc thi la tạo ra một sân chơi lành mạnh cho phép các ́ ̣ ́ ̉ ̣ ̀ bạn yêu thich tin hoc tự đánh giá được khả năng hiểu biết của mình về xâm nhập một hệ thống ́ ̣ Unix; kiểm tra khả năng phòng thủ một máy chủ Web. Trong ''lơi dân'' cua minh, nhom ̀ ̃ ̉ ̀ ́ BugSearch viêt: ''Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên ́ đó đang bị xâm nhập, ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào để loai bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết ̣ nối mạng vì phải đảm bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở nào? Từ lúc nào? Đã chiếm quyền điều khiển máy chủ nào? Máy chủ nào còn an toan? Liệu các giải pháp ̀ sắp áp dụng đã đủ để loai trừ kẻ xâm nhập? Với một hệ thống bắt buộc phải hoat động liên tục, ̣ ̣ người quản trị không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker. Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật. Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn “sạch sẽ”, hệ thống phát hiện xâm nhập … và bên cạnh đó, ta phải là người ''trên cơ'' đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập...'' Quy chê cua cuôc thi ́̉ ̣ Theo quy đinh cua nhom BugSearch, nhưng ngươi tham dư cuôc thi phai tuân thu cac điêu kiên ̣ ̉ ́ ̃ ̀ ̣ ̣ ̉ ̉́ ̀ ̣ sau: 1/ Đối tượng tham gia cuộc thi là tất cả các công dân Việt nam. 2/ Không sử dụng các phương thức tấn công kiểu Tư chối Dich vu (DoS) và các biến tấu của nó vì ̀ ̣ ̣ các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQGHCM. 3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm ''treo'' máy chủ, xóa đĩa cứng... 4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng, trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một hacker thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về anh ta; tuy nhiên nếu anh ta thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho anh ta và giải thưởng mức thấp hơn mà anh ta đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành ''mở'' để chờ đón nhưng người khác. ̃
5/ Trong qua trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng ́ thủ của mình cho phù hợp như trong điều kiện làm việc thực tế. 6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các hacker phải : Ghi lại toan bộ các màn hình ghi các lệnh đã thực hiện ̀ Gửi ngay các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn. Thời gian nhận được email ghi bởi máy chủ email của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi. Nhom BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các ́ hacker đã làm, kiểm tra các dấu vết các hacker đã để lại trên hệ thống…) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của hacker đo. ́ 7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khoang giữa tháng 9/2003. Đây ̉ cũng là thời điểm trao giải thưởng của cuộc thi. 8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ. 9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng. Cơ câu giai thương ́ ̉ ̉ 1 giải trị giá 500.000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ. 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi. 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra toan hệ thống. Vào ngày trao giải, nhóm quản trị ̀ sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang họat động.
Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được.