Capture The Flag 2007

<!--#include virtual="/inc/BypassWebDefenderIfYouCan.inc" -->

Bypass WebDefender If You Can...

Introdução:
A Security (http://www.security.org.br/) em conjunto com sua equipe de testes de intrusão intitulada Intruders Tiger Team Security (http://www.intruders.com.br/) é patrocinadora oficial do H2HC fourth edition (http://www.h2hc.org.br/) e tem o prazer de apresentar o primeiro desafio estilo “Capture The Flag” da conferência.

O desafio intitulado “Bypass WebDefender If You Can” tem como objetivo principal a diversão dos participantes através da experiência por possibilitar a experiência de realizar um ataque real a um ambiente devidamente preparado para tanto.

Desafio:
Escolhemos o cenário de aplicações web por considerar que cerca de 75% dos ataques atuais são realizados através do mesmo, segundo o Gartner Group (http://www.gartner.com/).

Como é sabido, a maioria dos programadores não têm tempo e conhecimento para desenvolver produtos de forma segura ampliando de forma significativa os riscos.

Este desafio é um pouco diferente dos demais, pois o servidor web terá falhas propositadamente deixadas pela equipe de segurança que implementou o ambiente que será atacado. O servidor foi implementado simulando um ambiente real, com aplicações vastamente conhecidas e dinâmicas, aonde existem falhas tanto de domínio público quanto privado.

As aplicações web têm uma série de falhas que permitem a um atacante ter acesso ao servidor web e ao banco de dados.

O “bypass webdefender if you can” será realizado em um ambiente aberto para que todos aqueles que desejam participar possam, seja individualmente ou em equipe. Porém todos os participantes devem se registrar previamente para o desafio.

Até aqui parece fácil...

A grande diferença do desafio “Bypass WebDefender If You Can” é que na frente do servidor de aplicações vulnerável foi instalado um firewall de aplicação web intitulado WebDefender (http://www.security.org.br/webdefender.php), onde a equipe de desenvolvimento é o Intruders Tiger Team Security (http://www.intruders.com.br/), líder em testes de intrusão no Brasil.

Objetivo dos Atacantes:
Obter acesso não autorizado ao servidor de aplicações web, deixando evidências claras de sua intrusão com data, hora e comunicação através do e-mail ctf[at]h2hc.org.br, será considerado vencedor o primeiro e-mail a chegar que se encaixe nas regras.
Todos os e-mails enviados para ctf[at]h2hc.org.br devem estar assinados digitalmente utilizando a chave pública do(s) participante(s). Os e-mails sem assinatura digital não serão analisados.
Serão aceitas como intrusões válidas apenas os atacantes que forem capazes de ler o conteúdo do arquivo “H2HCdesafioWebDefender.txt” que está armazenado no servidor web e tem permissão de leitura para todos
usuários do sistema. O email enviado para ctf[at]h2hc.org.br deve conter o método utilizado para realizar a intrusão e o conteúdo do arquivo “H2HCdesafioWebDefender.txt”.

Objetivo da equipe de segurança:
Impedir o comprometimento do ambiente através da implementação do firewall de aplicação web intitulado WebDefender. Para que o desafio tenha maior competitividade, a equipe de resposta a incidentes 24 x 7 da Security não analisará os logs de evidências de possíveis ataques e conseqüentemente não tomará nenhuma atitude para bloqueá-los.

Regras:
– Os membros da equipe de segurança da Security não podem participar do desafio.
– Os membros da organização do H2HC não podem participar do desafio.
– Os membros da organização e da equipe de segurança não podem auxiliar nenhuma equipe ou participante.
– Ataques de negação de serviço (DOS/DDOS/DRDOS) não são permitidos.
– Ataques físicos ao servidor web e firewall de aplicação web não são permitidos.
– É permitido atacar o servidor web e o firewall de aplicação web.
– É permitido utilizar falhas públicas, privadas e 0day.
– É permitido realizar ataques nas aplicações web, no protocolo HTTP e nos daemons (incluindo técnicas de overflows).

Para participar:
Os participantes devem se inscrever até o dia 26 de Outubro as 14:00:00 através do e-mail ctf[at]h2hc.org.br, no mesmo deve conter as seguintes informações:

– Chave pública do(s) participante(s).

Todas as informações cadastrais serão mantidas em sigilo e não serão repassadas para terceiros.
Será publicado no site do H2HC fourth edition (http://www.h2hc.org.br/) na área
intitulada “Capture The Flag 2007” o regulamento do desafio, estatísticas, dicas e informações sobre o vencedor.

O servidor ficará exposto na internet do dia 01 de Novembro de 2007 a partir da 00:00:00 até o dia 07 de Novembro de 2007 a 23:59:59.

Durante esse período o servidor terá na sua página principal um logo contendo “Protegido por WebDefender”, no dia 08 de Novembro a partir das 14:00:00 até o dia 10 de Novembro a 23:59:59 o ambiente será ligado novamente porém sem o firewall de aplicação intitulado WebDefender e o site principal não terá mais o logo contendo “Protegido por WebDefender”, o objetivo é que os atacantes possam analisar o ambiente durante esses 3 dias sem o firewall de aplicação web e descobrir que falhas existiam e como explora-las.

Durante os intervalos da conferência H2HC fourth edition (http://www.h2hc.org.br/) serão apresentadas algumas falhas existentes no servidor de aplicações web e como elas poderiam ter sido utilizadas para vencer o desafio “Bypass
WebDefender If You Can”.

O fuso horário utilizado é o de Brasília (GMT-03:00).

Vencedor:
No caso do vencedor ser uma equipe, a coordenação mandará apenas a passagem aérea de um integrante da equipe, caso o mesmo não tenha tempo hábil ou não queira aparecer em público, a coordenação providenciará um acesso telefônico gratuito para explanação da falha.

Homologação do vencedor:
A homologação se dará na exposição de como foi exploitado o sistema e de como se conseguiu acesso ao servidor web de acordo com as regras estipuladas, ou seja, o vencedor terá que mostrar ao público do congresso de forma clara e técnica como o ataque foi realizado.

Prêmio:
O vencedor receberá em dinheiro R$ 1.000,00 (um mil reais), 01 (uma) passagem aérea de ida e volta para o H2HC com o valor de até R$ 1.500,00 (um mil e quinhentos reais), hospedagem para 01 (uma) pessoa por 02 (duas) noites , 01 (um) ingresso para o evento, 01 (uma) camiseta do H2HC com o diferencial “Winner - Bypass WebDefender If You Can, H2HC fourth edition” e 01 (um) certificado de vencedor do desafio.

Dúvidas:As dúvidas sobre o desafio “Bypass WebDefender If You Can” deverão ser encaminhadas para o e-mail: ctf[at]h2hc.org.br.


Atenciosamente,
Coordenação H2HC 2007

    
Apoio

O uso da palavra “HACKER” para se referir ao “violador de segurança” é uma confusão que vem por parte dos meios de comunicação de massa.
Nós, Hackers, nos recusamos a reconhecer este significado, e continuamos usando a palavra para indicar “alguém que ama programar e que gosta de ser hábil e engenhoso”.
Richard Stallman

 
H2HC @copyleft Brazilian Hacking Community