Challenge SecuriTech : les lots & les premières impressions !

Par Benjamin Caillat, challenge-securitech
Le 07/05/2006

---

Résumé : Le Challenge SecuriTech édition 2006 a débuté samedi dernier à 0h00. Petit bilan sur cette première semaine de concours. Un nouveau lot pour le gagnant : - une place pour la conférence SSTIC 2006. - Lire l'article



Le lancement du challenge s’est globalement très bien déroulé. On a noté une très forte participation, qui s'est poursuivie toute la nuit, montrant que le challenge était cette année encore très attendu.

Le challenge a débuté avec quelques minutes de retard. Pour l’anecdote, un petit bogue dans le script d’alimentation de la base a été trouvé totalement par hasard à 23h55. Il a donc fallu régénérer celle-ci, tout en basculant la partie Web en production, le tout rythmé par l’apparition de multiples messages « Vous êtes en retard ! » ;)

Basé sur la recherche de validateurs, le concept de cette édition a surpris certains participants. Le choix de cette méthode de présentation correspond à un désir d’accroître le réalisme et l’intérêt du challenge. Pour mémoire, les énoncés des épreuves dans les éditions précédentes étaient très directifs : « Un service sur telle machine attend des requêtes sur tel port, vous devez trouver une faille et parvenir à exécuter le programme /bin/validnivo »

L’idée de cette année est de donner le minimum d’informations et d’approcher ainsi les conditions de réalisation des tests d’intrusion en « boîte noire » lors desquels en général seule l’adresse IP du serveur à auditer est connue. L’objectif est de pousser les participants à aborder les challenges avec méthode : analyse de la machine et des services, récupération des éventuels outils concernés sur la page « ressources », étude des algorithmes ou mécanismes utilisés, des données renvoyées par le serveur, etc.

Cette liberté accrue a déstabilisé certains participants qui nous ont informés par mail qu’ils jugeaient le niveau général « trop difficile ». Il est vrai que cette édition ne comporte pas vraiment de challenges faciles. Chaque épreuve demande une approche rigoureuse et une analyse précise des différents éléments.

Il serait très hasardeux de vouloir se lancer immédiatement sur une piste potentielle sans avoir au préalable pris le temps de bien étudier le serveur. Il est donc normal que peu de validations aient été faites dans les tout premiers jours. Il faut de plus se souvenir qu’il reste encore presque deux semaines de concours !

Quelques heures seulement après l’ouverture, le niveau 1 n’était plus opérationnel. Il s’est vite révélé que le problème était lié au trop grand nombre de tentatives effectuées en parallèle. Malheureusement, à partir de samedi 14h, la machine était de plus inaccessible à distance. Il a donc fallu attendre une intervention physique mercredi matin pour en reprendre les investigations.

Au final, la solution choisie aura été le remplacement d’inetd par xinetd et la limitation du nombre de processus en parallèle à 20. A ce propos, il arrive parfois que le serveur ferme la connexion juste après le handshake TCP, cette limite de 20 processus ayant été atteinte. Dans ce cas, il vous faut réitérer votre requête.

Le niveau 2 est devenu indisponible dimanche à midi suite à une requête qui a modifié le mot de passe de l’utilisateur de connexion. Après de multiples recherches, il semble en effet qu’il ne soit pas possible d’empêcher cela au niveau des droits de la base.

Il a donc été nécessaire de patcher les sources pour annihiler la partie de code effectuant cette opération. Les droits de l’utilisateur de connexion ont également été restreints, ce qui explique les messages « transaction read only » que vous pouvez obtenir maintenant. Il reste encore plusieurs validateurs qui n’ont été trouvés par personne. De nouveaux challenges devraient également être disponibles sous peu.

Un nouveau lot a également été ajouté par l'équipe de Secuobs pour le vainqueur : - une place pour assister au SSTIC, le Symposium sur la Sécurité des Technologies de l'Information et de la Communication qui se tiendra à Rennes du 31 mai au 2 juin 2006 (pour plus d’informations : lien ). La liste des autres lots :

Au premier : Un Soekris : net4801-60 (CPU : 266 Mhz, 256 Mo SDRAM), carte flash 256 Mo, carte miniPCI 802.11b/g
Au deuxième : Un iPod nano 2 Go
Au troisième : Un disque dur externe 2.5 pouces 80 Go USB2.0 5400t 2 Mo
Au quatrième : Un Linksys WAG54GS (modem routeur wifi 54 Mbps ADSL 2+)
Au cinquième : Un iPod Shuffle 512 Mo
Au sixième : Un graveur DVD NEC ND-4551
Du septième au dixième : Une D-LINK DWL-G122 (clé USB WiFi 802.11g)

Egalement pour les trois premiers : - Une inscription d'un an à l'association OSSIR et une inscription à la JSSI se déroulant le 22 mai 2006 à Paris. Les vingt premiers gagnerons un abonnement d'un an au magazine de sécurité MISC.