Nos dias 08 e 09 de Maio/2010 a empresa Offensive Security anunciou o torneio Hacker "How Strong Is Your Fu" (pentest). O torneio foi dividido em 2 fases e somente os 100 primeiros candidatos a completar a fase 1 continuariam no desafio.
Fase 1 - Neste fase tínhamos que hackear o alvo chamado "noob filter" e extrair um arquivo chamado
n00bSecret.txt localizado no sistema local.
Fase 2 - Como apenas os 100 primeiro a passarem do desafio um poderiam proceder, arquivos para acesso a uma VPN foram oferecidos pela
Offensive Security. Esta fase foi divida em 2 sub-fases (maquinas) uma chamada
killthen00b e outra chamada
ghost.
Regras do Jogo
- Proibido atacar (DoS) a interface web para envio da key e acesso ao placar do jogo.
- Proibida a utilizacao de ataques do tipo DoS (Denial of Service), ARP spoofing, defacing e similares aos ip's listados nas fases do jogo.
- Proibido dar dicas sobre as fases a outras
- Divirta-se :)
Os alvos
Ironicamente na fase 1 as máquinas tinham os seguintes endereços:
- www1.noob-filter.com
- www2.noob-filter.com (máquina criada para redundância devido a grande quantidade de acessos simultâneos)
Na fase 2 eles mantiveram o humor. O acesso as máquinas foi garantido através de VPN com os seguintes endereços:
VPN IP's: 192.168.6.66/67/68 (todas iguais denominadas "ghost") e 192.168.6.70/71/72 (todas iguais denominadas "killthen00b").
Proteções
Alem da grande quantidade de pessoas tentando acessar os servidores ao mesmo tempo, gerando um lag enorme, os servidores da
Offensive Security tinham diversas proteções (IPS) para evitar ataques
brute forte, excesso de threads vindas de um ip e diversas ambiguidades para confundir scanners de vulnerabilidades, impossibilitando inicialmente a definição da metodologia de ataque. Alem das proteções listadas acima, a cada 30 minutos era executado um
revert para que as máquinas voltassem ao seu estado original.
Infraestrutura para aplicações web seguras
Versão para impressora
Indicar para um amigo
Enviar artigo