🔥🔥🔥Write-up CTFZone Quals 2019: Chicken

Несмотря на перенос конференции OFFZONE 2020, финалу соревнований CTFZone быть! В этом году он впервые пройдет в онлайн-режиме и будет активно транслироваться в социальных сетях.
О подробностях объявим позже, а пока предлагаем изучить райтап веб-таска с отборочного этапа. Разбор решения нам прислал Devand MacLean из Канады. Специально для «Хабра» мы сделали перевод и приглашаем узнать, с какой цепочкой уязвимостей столкнулись участники и при чем здесь курица.

https://habr.com/ru/company/bizone/blog/492222/

Бейдж OFFZONE 2020 — результат нашей бурной, иногда даже слишком, фантазии. 🙃 И в этом году он должен был стать главным рупором CTFZone. Но нет.

Рассказываем полную безумия и боли историю, как в процессе создания бейджа мы

📌боролись за эргономику,
📌добывали компоненты при закрытых границах,
📌использовали магию DIY против дефицита.

И, конечно, о том, какие обстоятельства оказались сильнее нас.⬇️
https://habr.com/ru/company/bizone/blog/493644/

Онлайн-финал соревнований CTFZone 2020 пройдёт уже на следующих выходных!

Соревнования начнутся 25 апреля в 15:00 мск (12:00 UTC) и продлятся ровно 24 часа.

Десять команд из разных уголков мира сразятся в битве Attack/Defense не только за звание победителя CTFZone 2020, но и за право показать себя в финале DEF CON CTF!

Держать вас в курсе происходящих событий будем в твиттере: twitter.com/ctfzone

Save the date!

💫Финал CTFZone 2020 done!

Поздравляем победителей!
🥇 mslc (Россия) — 10 000 $
🥈 Bushwhackers (Россия) — 5 000 $
🥉 A*O*E (Китай) — 3 000 $

Пожелаем удачи mslc! Именно им предстоит сразиться с сильнейшими в мире командами в финале DEF CON CTF.

🔥Мы знаем, что вы будете делать 22–23 апреля 2021 года

На сроки постапокалипсиса IRL мы повлиять не можем. Но дату постапокалипсиса в стенах отдельно взятой конференции по кибербезопасности мы уже назначили.

Ждем всех 22 и 23 апреля следующего года на OFFZONE 2021 в Москве (можете не проверять, это четверг и пятница;)

Все обещания в силе:
— если вы сохранили билет на OFFZONE 2020, вы сможете по нему посетить OFFZONE 2021;
— если сохраненный билет был куплен до 12 марта 2020 года, при встрече мы подарим вам эксклюзивную футболку;
— если новые даты не подходят, вы можете сдать билет и вернуть 100% от его стоимости до 21 марта 2021 года включительно.

Даты — в календарь, ожидание — на максимум, отсчет пошел 🧟‍♂️

Если бы в апреле этого года был OFFZONE, вы смогли бы вживую следить за борьбой топовых команд мира на финале CTFZone. Правда, от переноса турнира в онлайн зрители мало что потеряли: самое интересное на CTF все равно видно только участникам. Так что у нас отличная новость: все, что было в апреле в онлайне, теперь можно посмотреть самим без смс и регистрации.

Мы выложили райтапы к таскам финала CTFZone 2020. По ссылкам вас ждут исходники, разборы, а еще истории с кровавыми техническими подробностями о том, как авторы заданий:

➡️Нашли баланс между «хм, нечто новенькое» и «это какая-то жесть», разрабатывая таск по крипте Little Knowledge («Хабр», RUS).

• Самописная криптуха: vulnerable by design, или история одного CTF-таска

➡️Сделали первое полноценное Android-задание для attack-defense CTF, потратив кучу времени на продумывание архитектуры и уворачивание от грабель и костылей. Райтап к Trust Area получился в трех томах (Medium, ENG).

• CTFZone Paper: Trust Area — Backend Part
• CTFZone Paper: Trust Area — Client Part
• CTFZone Paper: Trust Area — Infra

➡️…. (....) ← тут должно было быть описание таска Armworms, но мы решили просто выложить исходники на GitHub. Если что, это таск с визуализацией, где компьютеры сражаются друг с другом в памяти.

В каждом райтапе указаны авторы: если будут вопросы, как что развернуть — смело пишите. И вообще пишите, будем рады обратной связи и предложениям. Keep in touch!

​💥Хотите увидеться через неделю? Приходите на «Похек за 10 (15) минут», который мы проводим в гостях у наших друзей VolgaCTF в Самаре.

VolgaCTF, международные межвузовские соревнования по кибербезопасности, в этом году пройдут в десятый раз. В программе не только CTF-финал, как можно решить по названию, но и два дня конференции, где практическим опытом кибербеза поделятся ведущие эксперты из России и из-за рубежа. (Мы тоже в деле: Иннокентий Сенновский aka Rumata888 представит доклад о фаззинге «Эволюция метода научного тыка».)

Участвовать в конференции можно онлайн. А кто лично приедет в Самару, получит шанс проверить свои хакерские суперспособности на нашем «Похеке за 10 (15) минут».

Напомним правила. Участники шарят свои мониторы через Chromecast и на случайном таске демонстрируют все, чем привыкли пользоваться: инструменты, техники, скилы. Изначально дается 10 минут на решение задания. Нужно дополнительное время? Тогда не обойтись без шота! Максимум, сколько можно выторговать, — 5 минут (ценой пяти шотов). В остальном надежда только на свои силы!

👉Запоминайте даты:
14–18 сентября — VolgaCTF
15–16 сентября — конференция в рамках VolgaCTF
15 сентября — «Похек за 10 (15) минут» и доклад Иннокентия Сенновского

👉За подробностями и регистрацией: @volgactf
До встречи!

Call for Papers для OFFZONE 2021

Постапокалипсис — это круто, а быть голосом постапокалипсиса — еще круче.

Да, мы ищем спикеров!
Нетерпеливым — сюда: offzone.moscow/ru/2021-call-for-papers 

Для терпеливых расскажем, о чем речь.
🧟‍♂️Кто мы: международная конференция по практической кибербезопасности.

📖Кого мы ищем: реальных практиков, экспертов и ресерчеров. У нас не рекламируют вендоров — у нас делятся результатами исследования, рассказывают о лайфхаках и представляют собственный подход к offensive- и defensive-задачам.

📆Дедлайн подачи заявки: 1 февраля.

✅Что делать прямо сейчас:
— подать заявку 
— переслать новость коллегам, друзьям и знакомым из профессионального комьюнити
— сесть за исследование, раз дедлайн через четыре месяца ;)

​Мир уже не будет прежним. И OFFZONE, каким вы его знали, тоже.
Раньше — была только конференция по практической кибербезопасности. 
Теперь — еще и митапы.
Но конференция будет НЕ в апреле.

Это что, второй перенос OFFZONE?
Увы, это он. Простите. Многие ждали этой конференции, докладов и знакомств, и нам жаль вас расстраивать.
Но мы следим за тем, как развивается ситуация с COVID-19, и понимаем: собираться большим комьюнити в апреле пока будет небезопасно.
А в онлайн нельзя перенести половину того, за что любят OFFZONE: прокачивающие конкурсы, квесты с бейджами, неформальное общение и встречи с единомышленниками.
Поэтому конференция OFFZONE снова переносится. Новые даты будут известны в 2021-м.

Что будет вместо конференции?
Не вместо, а вместе. Не дожидаясь большого OFFZONE, вы сможете побывать на его тематических треках в формате митапов.
Бесплатные встречи на 50–100 человек будут посвящены темам Finance.Zone, AppSec.Zone и Hardware.Zone. Внутри — 3–4 доклада, вечер с пиццей и общение. Для тех, кто не в Москве, выложим видео. 
Митапы тоже зависят от ситуации с COVID-19 — позовем сразу, как будет можно.

Что делать с билетом?
Как и раньше, можно сохранить билет для прохода на конференцию, а можно сдать с возвратом 100% стоимости. Для возврата напишите на info@offzone.moscow, мы все сделаем.
Два напоминания:
1) по сохраненному билету вы получите на конференции редкую футболку в подарок;
2) для митапов билеты не нужны — там будет только регистрация.

А что с CTFZone?
CTFZone пройдет как самостоятельное событие. Анонс будет в Twitter и тут.
Сразу откроем, что в этот раз формат соревнований изменится: два этапа (отборочные + финал attack-defence) сократятся до одного турнира.

Это не все планы OFFZONE — задуманы еще пара секретных онлайн-активностей. Расскажем о них уже в следующем году.
А пока берегите себя и по любым вопросам пишите на info@offzone.moscow.

Регистрация команд на CTFZone 2021 открыта!

Она завершится 23 июня в 13:00 (10:00 UTC) за 3 дня до начала соревнований — поэтому аккуратно, не пропустите.

🚩
Начало CTFZone: 26 июня в 13:00 (10:00 UTC)
Длительность: 13 часов 37 минут
Формат: гибридный — Jeopardy + A/D + Game Task
Призовые: $10 000, $5 000, $3 000
🚩

Пару слов о новинках. В этом году мы решили провести CTFZone в совершенно новом формате — Jeopardy + A/D + Game Task!

Задания в Jeopardy и A/D останутся в своем классическом исполнении, а вот об игровом таске участники узнают уже на самом CTF. Коротко его механику можно описать так: «машины сражаются с машинами в памяти компьютера».

Будет весело! Всех ждем!

Подробности и регистрация: https://ctf.bi.zone/rules

Регистрация на CTFZone 2021 закрывается уже завтра — 23 июня в 13:00!

Напоминаем, что призовой фонд соревнований составляет $18 000, а квалсы и финалы в этом году объединены!

https://ctf.bi.zone/rules

Мы слегка напортачили с кешами в прошлом году, так что если вы видите старый сайт без регистрации — обновите страницу по Ctrl+F5! 😬

https://ctf.bi.zone/rules

💫 CTFZone 2021 — все!

Благодарим всех за участие и поздравляем победителей!

1 место — Bushwhackers, Россия ($10 000)
2 место — More Smoked Leat Chicken, Россия ($5 000)
3 место — httpizza, Италия ($3 000)

P. S.
Мы, конечно, предполагали, что так может случиться, но никак не ожидали, что на самой верхушке скорборда!

Так получилось, что команды MSLC и Bushwhakers набрали равное количество очков и оказались на одинаковом месте.

Однако по правилам этого года в случае равенства очков выигрывает команда c большим преимуществом в attack-defence. Такие дела!