Le Challenge " Capture The Flag " (CTF) de la Nuit Du Hack 2010 permet aux passionnés de sécurité informatique de tester leurs connaissances au niveau offensif et défensif sur un LAN dédié à cet effet.
Le principe de ce CTF est classique : il s'agit pour chaque équipe de protéger son propre serveur et d'attaquer le serveur des autres équipes. Ce challenge est avant tout un jeu, dont l'issue dépendra des compétences informatiques de chaque équipe.
Chaque équipe se verra remettre un serveur identique à ceux des équipes adverses. Il est important d'ajouter qu'une plate-forme communes contiendra des vulnérabilités exploitables par tous les participants et que cette plate-forme proposera des vulnérabilités plus simples pour les participants n'étant pas familiers avec les challenges de la Nuit du Hack et le principe du CTF.
Les articles ci-dessous listent les règles appliquées à ce challenge. Cette liste n'est pas exhaustive, et peut changer en fonction du comportement des participants. Les organisateurs se donnent le droit de modifier ces règles jusqu'au jour de l'évènement.
Règlement
-Art 1
Chaque équipe est composée de 5 personnes maximum. Il est interdit de changer, ajouter ou retirer un membre de l'équipe au cours du challenge. De ce fait, toute communication autre qu'entre membres d'une même équipe est interdite.
-Art 2
Chaque participant doit amener son propre poste client (ordinateur portable ou fixe) afin de participer au challenge. Le poste doit être équipé d'une carte réseau de type Ethernet et pré-installé avec tous les outils que le participant juge adapté à la bonne réussite du challenge.
-Art 3
Il est interdit d'attaquer toute machine autre que les serveurs et ordinateurs des équipes adverses. Il est donc formellement interdit d'attaquer le serveur du staff, le sites ne faisant pas partie du réseau local (sites Internet), etc...1
-Art 4
Il est interdit d'interagir physiquement sur l'équipement informatique autre que les ordinateurs des participants pendant toute la durée du challenge.
-Art 5
Si un service (épreuve) est stoppé/inaccessible sur un serveur, l'équipe responsable du serveur se verra attribuer un décomptage de points par minute. Voir " Décomptage des points " pour plus de précisions.
-Art 6
Les attaques sur les ordinateurs des équipes adverses sont autorisées. De ce fait, nous ne sommes pas responsables de la confidentialité, l'intégrité et la disponibilité des données stockés sur les ordinateurs des participants.
-Art 7
Les participants s'engagent à ne pas mettre en place des techniques empêchant une équipe adverse d'accéder à un service (épreuve) en dehors des patchs validés par les arbitres du challenge. Il est possible en dehors des patchs d'installer des systèmes de détection d'intrusion ou autres ne bloquant que les attaques et non pas des connections légitimes. Seuls les patchs permettent d'obtenir des points de défense.
-Art 8
Les DoS (dénis de service) sont autorisés afin de rendre un service / épreuve adverse inaccessible. Il est par contre formellement interdit de cibler le système de monitoring du staff.
-Art 9
Il est formellement interdit d'effectuer des attaques réseau (ARP spoofing, ARP Flooding, etc...) sur le sous réseau hébergeant le serveur du staff et les serveurs des équipes.
-Art 10
Chaque équipe aura un accès à Internet, où elle pourra rechercher des informations et télécharger ce qu'elle souhaite. Conformément à l'Art. 1, toute communication avec des personnes extérieures (forum, chat, etc...) à son équipe est formellement interdit.
-Art 11
Le challenge débutera à 0h (minuit) et se terminera à 7h du matin. Le classement final sera déterminé grâce au nombre de points obtenus avec les épreuves communes et celles du CTF.
-Art 12
Seuls les capitaines d'équipe sont autorisés à communiquer avec les arbitres du challenge. Les arbitres sont là pour résoudre les problèmes de fonctionnement du CTF ainsi que la validation des épreuves et des patchs.
-Art 13
Les insultes et la violence sont proscrites. Cela reste un jeu avant tout.
-Art 14
Les 3 meilleurs équipes, se verront remettre divers prix à la fin du challenge: hardware, certifications etc. Chaque joueur de l'équipe pourra passer sa certification dans le centre Sysdream pendant un délai d'un an.
-Art 15
Le non-respect de ce règlement entrainera des pertes de points conséquentes (déterminées par les arbitres du challenge), voire la disqualification totale de l'équipe fautive.
Visitez le site la nuit du hack pour plus d'informations