Конкурсы
Конкурс "Месяц поиска уязвимостей Яндекса".

Описание:
С целью популяризации информационной безопасности в интернете, Яндекс объявляет месяц поиска уязвимостей и предлагает всем желающим попытаться найти уязвимости в своих сервисах. Победитель получит $5000. В течение месяца мы будем принимать сообщения об обнаруженных уязвимостях и на конференции ZeroNights подведём итоги конкурса.

Правила:
Подробные правила и условия конкурса можно прочитать здесь. Группа экспертов из службы информационной безопасности Яндекса проанализирует все присланные уязвимости. Участник, нашедший и первым сообщивший о самой критической, с нашей точки зрения, уязвимости получит приз — $5000.


Организатор: Яндекс


Конкурс "Взломай меня, если сможешь".

Описание:
Конкурс позволяет участниками проверить свои навыки реверсинжениринга. Участникам предлагается исполняемый файл для операционной системы MS Windows, при его запуске возникает диалог с предложением ввести имя и кодовую фразу. Целью является разобраться в алгоритме проверки и предоставить генератор кодовых фраз для произвольного имени.

Дополнительно:
Первое место: Полностью восстановленный алгоритм генерации и генератор кодовых последовательностей для любых имен
Второе место: Описать в общих чертах алгоритм и предоставить кодовую последовательность для своего имени (под которым зарегистрирован участник конкурса)
Третье место: Предоставить описание алгоритма генерации кодовых фраз


Правила:
Победителем, является первый участник, который сможет предоставить программу генератор кодовых фраз для произвольных имен и краткое описание принципов работы алгоритма проверки.


Организатор: ESET


Конкурс "Взломай SCADA".

Описание:
На конференции будет представлен настоящий стенд промышленного контроллера с терминалом, в котором необходимо будет обнаружить уязвимость.

Дополнительно:
Уникальный приз за этот конкурс - практически SCADA-управляемый вездеход с камерой, управляемый по wifi c IPhone.


Правила:
Необходимо обнаружить и продемонстрировать локальную или удаленную уязвимость в нашей SCADA.


Организатор: Digital Security


Конкурс "Взломай SAP".

Описание:
Конкурсантом будет предложено обнаружить уязвимость в SAP NetWeaver Java engine 7.02 и продемонстрировать ее.

Дополнительно:
За лучшую уязвимость - приз Amazon Kindle 3G.


Правила:
Необходимо обнаружить и продемонстрировать 0-day уязвимость в SAP NetWeaver Java engine 7.02. ИЛИ Получить shell в системе через уже известные уязвимости в SAP NetWeaver Java engine 7.02.


Организатор: Digital Security


Конкурс "Свободные мгновения в стиле ZeroNights - 2011"

Описание:
Фотоконкурс проводится для физических лиц, являющихся участниками конференции ZeroNights и по совместительству пользователями Facebook.

Фотографии должны, прежде всего, соответствовать тематике конференции, а также быть прикольными, неформальными, оригинальными и обязательно с кратким, но ёмким описанием (названием).

Правила:
Для участия в Фотоконкурсе добавляйте страницу компании «Газинформсервис» в сферу своих интересов (нажав «Мне нравится» в правом верхнем углу страницы). После этого размещайте фотографии на странице компании в открытом альбоме и не забудьте следить за ходом конкурса. Обращаем внимание! Организатор, в случае Вашей победы, будет связываться через Facebook.
Максимальное количество фотографий, которые участник конференции может разместить на сайте – 3 фотоработы.
Проголосовать за понравившуюся фотографию может любой пользователь Facebook.
Победителем конкурса станет пользователь Facebook, фоторабота которого получит наибольшее количество «лайков». Рейтинг участника, как вы уже догадались, будет складываться из суммы голосов, отданных за его фото. Все наглядно и честно, ведь жюри - это Вы, ваши коллеги, знакомые и друзья.
Конкурс будет проводиться с 25 ноября по 04 декабря 2011г. Итоги будут подведены 05.12.2011 в 11:00 МСК. Автор лучшей работы, по итогам открытого голосования на Facebook, будет награжден ценным призом – коммуникатором Sony Ericsson Xperia mini pro SK17i. Участники, чьи фототруды займут второе и третье места - сувенирной продукцией с символикой «Газинформсервис». Для вручения призов победитель и призеры будут приглашены офис компании. «Газинформсервис» обещает запечатлеть торжественный момент и рассказать об авторах и их фотохудожествах на странице в Facebook и на сайте компании.

Дополнительно:
Организатор фотоконкурса, оставляет за собой право удалять фотографии, не имеющие отношения к конференции ZeroNights, неприличного и нецензурного характера, содержащие элементы насилия над людьми/детьми/животными, призывающие к противозаконным действиям, содержащие изображение процесса курения табачных изделий, потребления алкогольных напитков или наркотических средств.

Организатор: Гаинформсервис


Конкурс "Царь Горы".

Описание:
Турнирный конкурс для специалистов по информационной безопасности.

Получить доступ к уязвимому серверу любыми способами и сохранить его как можно дольше, отражать атаки других участников после взлома. Сервер доступен по беспроводной сети на конференции. Сервер содержит несколько типичных уязвимых системных и веб-приложений, ОС linux с возможностью LPE.

Дополнительно:
Задача участников как можно быстрее взломать сервер.
После взлома участник записывает свое имя в специальную таблицу базы данных.
Каждый последующий участник, взломавший сервер, переписывает имя на свое.
Задача тех, кто уже добрался до вершины - защищаться.
Задача тех, кто еще не добрался до вершины - скорее туда попасть.


Правила:
Получать доступ к серверу можно всеми доступными Вам средствами.
Каждую минуту имя царя горы считывается сервером приема баллов.
Пока таблица недоступна (например, сервер перезагружается), все участники, получают штрафные минуты.
Штрафные баллы начисляются всем участникам.


Организатор: компания ONsec


Конкурс "Охотник Одеев".

Описание:
Соревнование для специалистов по безопасности программного обеспечения. Участникам будет предложено исследовать Windows-приложение, содержащее в себе заранее неизвестное количество типовых уязвимостей RCE и LPE, а также типовые защиты от эксплуатации. Задача участников - найти как можно больше уязвимостей в предоставленном приложении и, по желанию, проэксплуатировать их.

Дополнительно:
Типы мишеней:
- уязвимость при обработке пользовательских данных
- уязвимость в коде уровня ядра
- эксплойт.
Критерии: падение приложения, BSOD, запуск калькулятора из шелл-кода.

Правила:
1. Можно искать уязвимости или разрабатывать эксплойты - на выбор участников
2. Для подсчета баллов по уязвимостям и эксплойтам используются раздельные таблицы
3. Можно использовать любые инструменты и технологии на выбор участников.


Организатор: EsageLab


Конкурс "Wallpaper ZeroNights".

Описание:
Нарисуйте wallpaper с хакерской тематикой.

Дополнительно:
Данный конкурс не обязывает вас присутствовать на мероприятии.
Варианты работ присылайте на адрес contest@zeronights.org


Правила:
Обязательно наличие надписи ZeroNights в любом исполнении: 0nights, Z3r0N1g4ts и т.д.

Организатор: DefconGroup #7812


Конкурс "Lockpicking Village".

Описание:
Хотели узнать, как работают замки и как они могут быть взломаны. А может быть вы уже опытный медвежатник, и хотите продемонстрировать свои навыки. Тогда загляните на Lockpicking Village. Lockpicking – это искусство открывания замков без использования ключа и повреждения замков, а кроме того увлекательное действо, без которого не обходится ни одна хакерская конференция. В рамках конференции будет проводиться конкурс, где вы можете попытать счастья в борьбе с замками и получить ценные призы.

Правила:
Участникам необходимо взломать замки с использованием отмычек за ограниченное время. Разрешено использовать свои отмычки или отмычки, предоставляемые организаторами.

Организатор: DefconGroup #7812


Конкурс "Лучшая hacking t-shirt".

Описание:
Во время конференции будем оценивать стиль наших посетителей, а именно уникальность и оригинальность футболок) Так человек с самой крутой футболкой с хакерской тематикой будет искаться нашими агентами во время конференции.

Дополнительно:
Данный конкурс обязывает вас присутствовать на мероприятии.

Правила:
Никаких рамок для вашего самовыражения хакерского духа.

Организатор: DefconGroup #7812


Конкурс "Умный в гору не пойдет, умный гору обойдет"

Описание:
Конкурс для любителей найти уязвимость в средствах информационной безопасности. Участникам предлагается имитировать атаку на клиентское место системы интернет-банкинга, с использованием технологии подмены документа, либо удаленного управления рабочей станции клиента.
Используемые средства безопасности: Ключ электронной подписи на смарт-карте, для работы со смарт- картой используется считыватель SafeTouch.

Дополнительно:
  • полученная электронная подпись должна соответствовать сообщению, построенному в соответствии с принципами, описанными в SafeTouch SDK (имитируется проверка подписи на стороне сервера)
  • физический доступ к карте/SafeTouch ограничен только возможностью использования кнопок "+" и "х" с целью откладки атаки (запрещено вынимать карту, вставлять другую, вскрывать/подменять/заменять SafeTouch физически). Имитируется удаленная атака.


Правила:
1. Исходные данные:
  • смарт-карта
  • SafeTouch
  • библиотеки для работы со смарт-картой
  • пример исходного кода из SafeTouch SDK, реализующий подпись.

2. Задача:
    Получить электронную подпись документа при выполнении одного из следующих условий:
  • на экране SafeTouch отображены ключевые реквизиты, которые отличаются от фактически подписанных
  • на экране SafeTouch в ходе генерации подписи не отображалось никакой информации.


Организатор: SafeTech

Yandex’s Month of Security Bugs

Yandex, as a large internet company, treats the information security of its users very seriously. To raise the awareness of the importance of information security among our users, we invite everyone interested to participate in an open contest to find vulnerabilities in Yandex’s web services.

All participants have one month to find and report any security-related bugs in Yandex web services. On ZeroNights conference we will announce contest winner who will be rewarded with $5000.

Read more


Competition "Hack me if you can"

Description:
Contest allows participants to check their skills in reverse engineering. Participants are offered an executive file for MS Windows. As it starts there is a dialog with a proposal to enter a username and a code phrase. The aim is to understand the verification algorithm and to provide a generator of code phrases for a random name.

Extras:
First place: Fully reconstructed algorithm of generation and generator of code sequences for any names.
Second place: To describe algorithm in outline and to provide a code sequence for your name (under which a participant is registered).
Third place: To provide a description of code phrases' generation algorithm.

Rules:
The winner is the first participant who will be able to provide a keygen for random names and a brief description of verification algorithm work principles.

Organizer: ESET

Competition "Hack the SCADA".

Description:
At the conference there will be presented a real stand of industrial controller with terminals, where it will be necessary to detect vulnerability.

Extras:
Unique prize for this contest - practically SCADA-controlled vehicle, controlled via wifi from IPhone.


Rules:
It is needed to find and demonstrate local or remote vulnerability in our SCADA.


Organizer: ERPScan


Competition "Hack SAP".

Description:
The contestants will be offered to detect vulnerability in SAP NetWeaver Java engine 7.02 and to demonstrate it.

Extras:
The prize for the best vulnerability is Amazon Kindle 3G.


Rules:
It is needed to find and demonstrate 0-day vulnerability in SAP NetWeaver Java engine 7.02. OR To obtain shell in the system via already known vulnerabilities in SAP NetWeaver Java engine 7.02.


Organizer: ERPScan



Competition "King of the Hill"

Tournament competition for IT security experts.

Gain access to a vulnerable server by any means, and keep it as long as possible; repel attacks of other participants after breaking in. The server is available on the wireless network and contains a number of typical vulnerable system-level and Web applications running Linux with the possibility of LPE.

Extras:
Goal of the participants is to hack the server as soon as possible.
After breaking in, a contestant writes his name into a special database table.
Every subsequent participant with successful hack attempt rewrites his name.
The task of those who have already reached the top - to defend themselves.
The task of those who have not yet reached the top - to get there ASAP.


The task of those who have not yet reached the top - probably to get there.

Rules:
You can use any available tools to get access.
Name of the king is read by the counter server every minute.
While the table is unavailable (for example, when the server is in
reboot), all participants receive penalty minutes.
Penalty points are charged to all participants.


Organizer: ONsec Company


Competition "Oday Hunter"

Description:
Group tournament for application security researchers. Participants will be invited to examine a Windows application, which contains undisclosed number of typical RCE/LPE vulnerabilities, along with typical anti-exploitation protections. Competitor's goal is to locate as many vulnerabilities as possible, and optionally, to develop exploits for those vulnerabilities.

Extras:
Types of targets:
- userland input processing vulnerability
- kernel code vulnerability
- exploit code.
Flags: application crash, BSOD, execution of calc.exe via attacker's shellcode.

Rules:
1. Competitors are free to choose whether to invest their time into
hunting vulnerabilities or developing exploits.
2. Ratings for vulnerability and exploit points will be held separate.
3. Competitors are free to use tools and techniques of their choice.

Organizer: EsageLab


Competition "Wallpaper ZeroNights".

Description:
Draw wallpaper with a hacker theme.

Extras:
The given contest does not oblige you to take part in the event.
Activity variants are to be sent to contest@zeronights.org


Rules:
The presence of ZeroNights inscription in any performance (0nights, Z3r0N1g4ts and others) is obligatory

Organizer: DefconGroup #7812


Competition "Lockpicking Village".

Description:
Would you like to know how locks work and how they can be broken? And maybe you are an expert safecracker and wish to demonstrate your skills? Then check out lockpicking village. Lockpicking is an art of lock opening without using a key and damaging the locks, and besides it is a fascinating action without which any hacker conference doesn’t manage. Within the conference there will be a contest where you can try your luck in struggle against the locks and get valuable prizes.

Rules:
The contestants are to crack the locks using picklocks within a time limit. It is allowed to use your own picklocks or picklocks, provided by the organizers.

Organizer: DefconGroup #7812


Competition "The best hacking t-shirt".

Description:
During the conference we will assess our visitors’ style, namely the uniqueness and originality of t-shirts. So, a person with the coolest t-shirt with hack theme will be looked for by our agents during the conference.

Rules:
There are no boundaries in hacker spirit expression.

Organizer: DefconGroup #7812


“Clever won’t go uphill, clever will bypass mountain” competition

Description:
This contest if for those who like to find the vulnerability in information security means. Contestants are offered to imitate attack on the client place of internet banking system, using the technology of document substitution, or remote control of the client work station.
Used security means: key of electronic signature on smart card, SafeTouch reader is used for the work with smart card.

Additionally:
  • obtained electronic signature must correspond with the message, made in accordance with the rules, described in SafeTouch SDK (signature check is imitated on the client side)
  • physical access to the SafeTouch card is limited only by the possibility of using “+” and “x” buttons to debug the attack (it is prohibited to take out, insert another card, open/replace SafeTouch physically) A remote attack is imitated.


Rules:
1. Initial data:
  • smart card
  • SafeTouch
  • libraries for the work with smart card
  • example of initial code from SafeTouch SDL, which realize the signature

2. Aim:
    To obtain document electronic signature during the fulfillment of one of the following conditions:
  • on the SafeTouch screen the key requisites are shown, which differ from actually described
  • on the SafeTouch screen during the signature generation no information was displayed.


Organizer: SafeTech