Durante a BSidesSP será realizada uma competição de “Capture the Flag” (CTF) durante 24 horas initerruptas, começando as 15h do Sábado, 20/05, até o Domingo, 21/05. O CTF será organizado em conjunto pela BSidesSP, pelo projeto CTF.br e pelo professor Ricardo Tavares, com o apoio da Trend Micro Brasil.

Teremos diversos desafios de segurança, em duas modalidades, e o vencedor será quem atingir maior pontuação na soma delas:

  • Jeopardy: Desafios baseados em perguntas e respostas sobre segurança
  • Cyber Range: Será disponibilizado um ambiente virtual para ataque e defesa

No final do evento anunciaremos os ganhadores. O primeiro colocado receberá prêmios.

A competição será realizada no local da BSidesSP, nas salas de laboratório do 1 andar da PUC Consolação. Não será permitida participação remota.

O que levar

Cada competidor tem que levar o seu próprio computador e um cabo de rede. A organização da BSidesSP não fornecerá equipamentos.

Regras gerais

  • A participação do CTF será limitada apenas para competidores e equipes registradas antecipadamente no CTF e no evento,sendo obrigatório a presença fisica no dia do evento;
    • As equipes devem ter 5 participantes;
    • Não será permitida a participação remota;
    • Não será permitida a comunicação com outras pessoas remotamente ou localmente, sobre pena de ser eliminado sumariamente;
    • As inscrições de equipes podem ser feitas indicando o interesse através do formulário de inscrição na BSidesSP ou presencialmente no dia do evento, antes do início da competição;
  • A competição iniciará as 15h do Sábado dia 20/05 e terminará as 15h do domingo dia 21/05, podendo se extender conforme decisão da organização do evento, caso haja atrasos ou problemas no decorrer da competição. O teto máximo para o fim do CTF é as 18h do dia 20/05 (Domingo).
    • Os competidores podem começar a participar do CTF a qualquer momento após o início da competição.
  • Cada desafio terá uma pontuação a ser creditada quando a equipe resolver o desafio;
    • Os detalhes dos desafios só serão anunciados no dia do evento;
  • Será declarada vencedora a equipe que atingir maior pontuação ao final do evento e não tenha infrigido nenhuma regra do CTF;
    • Em caso de empate, o critério utilizado para desempate será a soma dos tempos para resolver e entregar as respostas.
  • Os competidores devem trazer seus próprios equipamentos (notebooks, ferramentas de software e cabo de rede);
    • A organização do evento não fornecerá nenhum equipamento, computador ou software para as equipes. Estes são de responsabilidade das mesmas;
    • Alguns challenges podem precisar de um IP válido, ou seja, providencie uma VPS de antemão. / Neste link há algumas opções Trial/Free. Com o cupom SUMMER10 você ganha $10 na Atlantic.net, e com o SHIPITFAST, $10 na DigitalOcean.com;
  • Não serão permitidos ataques a infra-estrutura, sistema operacional e serviços das maquinas utilizadas para os desafios. Não serão permitidos ataques a outras equipes. Não é permitido enfiar o dedo no olho nem morder os amiguinhos. A equipe que descumprir esta regra será desclassificada imediatamente, independente da pontuação e classificação;
    • Para garantir a disponibilidade da competição, a organização do evento pode monitorar a infra-estrutura de rede contra ataques;
    • A organização do evento e do CTF poderá, a qualquer momento, abordar uma equipe que seja suspeita de atitude desleal e exigir que os competidores dêem acesso as telas de seus computadores e dispositivos móveis para buscar evidências de comportamento desleal, tal como executar ferramentas que impactem na performance ou na disponibilidade da infra-estrutura ou até mesmo comunicação com terceiros. Se a equipe se recusar a colaborar, pode ser desclassificada imediatamente;
  • A organização da BSidesSP pode alterar estas regras a qualquer momento e é soberana na decisão de conflitos ou dúvidas;
  • Ao se inscrever automaticamente a equipe aceita e concorda com estas regras.

Sobre o CTF estilo Jeopardy

Durante a competição, os participantes terão que resolver 12 desafios, baseados nos challenges do CTF-BR University, em conjunto com desafios da Trend Micro, com temas

  • Reversing (Engenharia Reversa)
  • Crypto (Criptografia)
  • Forensics (Forense)
  • Miscellaneous (Diversos)
  • Trivias (Triviais)
  • Web Hacking
  • Networking (Redes)
  • Pwnables/Exploitation (Exploração de binários)

Sobre o CTF CYBER RANGE

Cenário: Uma empresa de fertilizantes, com sua sede em uma pequena cidade do Caribe, obteve um rápido crescimento nos últimos 5 anos. A empresa, inicialmente produtora de fertilizantes orgânicos ampliou o seu portfólio de produtos com a inclusão de defensivos agrícolas, expandindo os seus negócios para países da américa latina, e criando fábricas de pesticidas na Venezuela, Bolívia, Cuba e Equador. Nós últimos três anos, devido a problemas de saúde, a empresa substituiu o CEO e alguns membros do conselho.

Os executivos foram substituídos por profissionais com associações políticas e militares com países localizados na Europa Oriental. Em grande expansão, a empresa iniciou a exportação de fertilizantes para países da Oriente Médio, transformando este novo mercado no responsável por maior parte de seu faturamento. Buscando rotas alternativas para a entrega de seus pesticidas para o Oriente Médio, foi fechado um grande contrato com uma empresa de logística e um grande porto no Brasil.

Durante as primeiras semanas de operação no Brasil, durante o transporte de containers, houve um acidente. Alguns containers caíram em rio de uma pequena cidade rural, e além de muitos peixes morrerem, de acordo com relatório médico encontrado, dias depois moradores desta pequena cidade apresentaram sintomas de vômitos, dores de cabeça, insuficiência respiratória, diminuição dos batimentos cardíacos, convulsões, espasmo muscular.

Após a morte de 3 moradores devido as consequências do acidente, a empresa responsável pelo transporte tomou ações rápidas, e conteve a exposição do caso nas mídias locais. No mês seguinte ao acidente, um pequeno escritório da empresa de pesticidas foi aberto no Brasil.

Após investigação foi descoberto que alguns dos funcionários deste escritório eram parentes de políticos da pequena cidade rural afetada. Um dos moradores desta pequena cidade rural, insatisfeito com o rumo do caso, entrou em contato com um grupo de ativistas ambientais. Os ativistas visitaram a cidade e conversaram com o morador, que apresentou alguns dos escombros do acidente que havia guardado. Entre estes escombros estavam antigos barris com características da segunda guerra, e um caderno de notas rasgado, onde era possível identificar uma fórmula química rasurada, iniciada com C4 e finalizada com FO2.

Após a entrevista com o morador, o grupo de ativistas tentou buscar mais informações na cidade, mas sem colaboração logo foram expulsos e ameaçados por seguranças particulares da empresa de pesticida. Alguns dias após a conversa com os ativistas, o morador que havia colaborado sofreu um acidente e morreu. Sem poder se aproximar da cidade, e sem a colaboração dos moradores devido ao medo imposto, resta apenas usar as habilidades do mundo digital para entender o que aconteceu.

Os ativistas ambientais pediram ajuda para um grupo de ativistas com habilidades especiais no mundo cibernético, e você é um dos membros deste grupo.

O seu objetivo será coletar informações sobre o caso e descobrir o que aconteceu na cidade. Mas cuidado, nem tudo é o que parece, e o rumo das coisas podem mudar mais rápido do que você imagina.

Apoio

CTF-BR(Colorido)

Patrocínio Exclusivo