Pages

2015/06/19

【Hack2Own 競賽資訊及單位徵求說明】

今年 HITCON 再次舉辦 Hack2Own 競賽,透過各單位提供的軟硬體產品與關卡,讓 Hack2Own 的參賽者進行挑戰,並提供獎勵予發現弱點或表現優異之參賽者。我們期望 Hack2Own 競賽的舉辦,除了讓世界各地的資安高手一同較勁、交流外,也經由參與單位願意公開檢測漏洞並修補的行為,協助證明該單位產品安全性的提升,同時令各界更加瞭解資訊安全的力量及重要性。

參與 Hack2Own 的各單位,不僅得以透過 HITCON 大會提升產品知名度,更能由高手駭客為該產品的安全性與穩定度進行檢測,使各單位有機會對自家產品有更深一層的瞭解,創造參賽者與參與單位雙贏的局面。歡迎所有有興趣參與之單位,將下列相關資訊寄信至 hack2own@hitcon.org。

單位參與申請

  • 各單位如有意參與活動請將活動企劃書寄到 hack2own@hitcon.org 
  • 企劃書中需提出以下資訊:
    1. 產品名稱與型號
    2. 給參賽者挑戰的網站或韌體系統
    3. 獎金或獎勵列表
    4. 獎金或獎勵的領取時間、方式(現金、匯款等),例如在 HITCON CMT 大會現場頒發現金、在 HITCON 活動主辦單位見證下於兩週內匯款
    5. 聯絡方式 (mail & 電話)
  • 企劃書收件時間:即日起至 2015 年 7 月 22 日

活動日期

活動預計在七月底公告參與的單位與該單位所提供的競賽設備型號與系統版本,並於 8 月初開始供參賽者或隊伍進行挑戰,期間成功找到漏洞之參賽者或隊伍須在 HITCON Community (8 月 28、29 日) 對參與單位展示攻擊過程。

競賽資訊

  • 進行方式:
    • 參賽者於競賽時限內找尋漏洞,並以參與單位提供之密碼,將檢測報告以截圖加文字說明或短片的形式加密壓縮,傳送至 hack2own@hitcon.org。
    • 如成功攻下主機者,須於大會當天至 Hack2Own 活動區申請並進行展示,由現場裁判進行漏洞分級的判定,並依據漏洞等級給予對應之獎金或獎品。
  • 大會裁判:
    • 大會與各參與單位各派一至兩名人員擔任裁判,裁判得判斷是否為零時差攻擊並決定漏洞等級。

大會獎金:

獎金多寡根據漏洞等級而定,由各參與單位自行制定詳細之獎勵發放條件。


競賽規範

  1. 競賽將於 HITCON CMT 大會當日佈置 Hack2Own 攤位,參與單位須至攤位前完成網路環境及帳號密碼等設定,並遵循各參與單位訂定之規則,讓參賽者依大會當日報名順序展示其發現。
  2. 參與單位須派一至兩名人員至現場擔任裁判,並與大會裁判共同判定漏洞等級。
  3. 參賽者攻擊所用之漏洞必須是未知、未公佈且未向廠商提交過的,且不得重複利用。例如,參賽者已經送 payload 進去得到遠端控制權限後,利用前述漏洞上傳網頁版遠端控制代碼,此種行為將不被接受。
  4. 參賽者執行遠端攻擊必須排除操作背後之人為干擾,必須出現在使用者正常的操作情況下,不得有重新啟動或下線、登入等情況。
  5. 若有不同參賽者使用相同漏洞之情形,我們將視先進行現場展示的參賽者為第一發現者,並以此為獎勵發放之依據。




注意事項

  1. 我們對成功提交漏洞的參賽者之個人技術能力表示認可,但不認為活動結果與參賽者所屬機構之技術能力存在對應關係,亦不認為活動結果能直接反映相關軟體或設備的安全水準。
  2. 我們保證嚴格要求參賽者配合,於活動現場共同將詳細技術資訊提供給各單位代表,如該參與單位未有代表在場,我們將於活動結束後以郵件形式提供之,必然會完整呈交相關資訊予參與單位,並承諾在各單位修補前不對任何第三方洩露資訊。
  3. 我們承諾非 Hack2Own 的評審委員,將不會參與相關軟體或設備的評定。同時,在未經參賽者同意的情況下,我們不會將參賽者個人資訊透露給第三方,也不會利用參賽者個人資訊及隱私從事任何商業活動。

聯絡方式

Hack2Own 活動小組 <hack2own@hitcon.org>

No comments:

Post a Comment