2010年6月18日,13:01
大家好,
来自Core Security的CoreTex竞赛团队正在组织一场新的DefCon竞赛。以下是第一版的竞赛描述。如果您想分享任何想法或有任何问题,请回复此帖或给我发邮件。
竞赛网站是 http://www.backdoorhiding.com
Ariel
CoreTex团队
后门隐藏竞赛 (草案0.1)
快速介绍
两合一的后门隐藏/发现竞赛(可参加其中一个或两个):第一阶段,隐藏参与者提交一个隐藏后门的源代码;第二阶段,组织者将源代码与无后门的代码(安慰剂/placebos)混合,然后要求寻找参与者找出安慰剂。隐藏参与者被认为是安慰剂可获得隐藏分数,寻找参与者发现安慰剂得分,误报扣分。
//
"安慰剂"的作用是增加后门发现的难度,以考验参赛者鉴别后门的能力。同时它也是隐藏后门参赛者的障眼法,让他们有机会混淆视听,把有后门的代码伪装成正常代码。placebos的使用给竞赛增加了一些欺骗性和对抗性。
//
竞赛描述
竞赛包括两个游戏:同时进行的后门隐藏和后门发现竞赛。比赛分两轮进行:资格赛从会议前开始到会议期间结束;第二轮(规模更小、时间更短)在会议期间进行。每一轮都是一个多人游戏,分两个阶段进行。时间表如下。
奖品将很快公布。所有进入资格赛的人都会获得奖品,每个竞赛的获胜者将获得特别奖品。
资格赛
第1阶段(隐藏):所有注册参加后门隐藏游戏的参与者都会得到一套软件程序的要求。在截止日期之前,他们必须提交一个满足这些要求并包含后门的程序源代码。他们还必须发送一份说明,解释如何利用后门。
第2阶段(寻找):有新的时间注册后门发现游戏。所有注册的玩家都会得到一个包含不同源代码的包。组织者将在每个包中添加一些安慰剂(满足要求但不应包含后门的源代码)。在截止日期之前,玩家必须回答他们是否认为每个源代码都包含后门。
每场比赛的获胜者是积分最多的人。有一个计算寻找竞赛分数(可正可负)的表格(如果被认为是后门且有后门得X分,如果被认为是后门但没有后门得Y分,等等)。
对于隐藏竞赛,更简单:每次一名玩家的源代码被认为没有后门,该玩家就得1分。后门隐藏竞赛中得分最高的前几名参与者进入第二轮。
寻找竞赛也是如此。
决赛
第1阶段:我们向所有玩家提供C/C++的源代码并描述它满足的要求。然后我们描述一个附加要求,玩家必须对这个源代码进行修补,以满足所有要求并在代码中隐藏后门。他们还必须提供关于如何使用后门的说明。
第2阶段:再次,组织者将添加一些满足要求但没有后门的补丁/源代码。由隐藏竞赛获胜者(第一阶段)、一小部分知名安全专家和第一阶段(第二轮)的玩家组成的评委团有3个小时的时间对每个源代码进行投票,判断它是否隐藏后门。积分计算策略与第一轮相同。
竞赛不限于任何特定的编程语言。但是,根据说明,"工作"是由一个需要该软件并将对其进行审核的政府委托的。因此,大多数玩家会远离非主流编程语言——因为无后门程序很可能是用C、C++等开发的。
时间表
-7月1日,我们开放注册。
-7月19日,我们开放资格赛第一阶段。参与者可以注册到7月29日截止日期前。
-7月29日星期四,0时,我们停止接收源代码。第一轮第二阶段的注册继续进行。
-7月30日星期五,0时,我们开放资格赛第二阶段:用户可以下载源代码包;网站接受投票(是/否)
-7月31日星期六,12时,注册和投票结束。不久,我们宣布后门隐藏和后门发现竞赛第一轮获胜者。
-7月31日星期六,16时,我们开始第二轮(也是最后一轮),时间不到两个小时。玩家有一些时间为给定的源代码编写补丁并包含后门。
-7月31日星期六,17:30,知名评委(3-5人,待定)、后门隐藏资格赛获胜者和后门发现资格赛获胜者可以为最后一轮获胜者投票。他们有30分钟的时间。
-8月1日星期日,14时。在DefCon颁奖典礼上宣布获奖者并颁发奖品。
更多信息将很快发布。