1はじめに
情報セキュリティは、国の政治、経済、文化、社会、生態文明の構築を伴いました。情報システムが高度な段階に発展するほど、依存する人々が増え、ある程度の攻撃を受けやすくなります。攻撃された場合の結果が深刻になります。「ネットワークのセキュリティと情報化は、1つの体の2つの翼と2つのドライブのホイールです。ネットワークのセキュリティなしには、国家の安全はありません。」情報は、社会開発のための重要な戦略的リソースです。情報の取得、使用、管理に関する国際的な闘争は激化しています。情報のセキュリティ保証能力は、包括的な国家的強さ、経済的競争力、および存続可能性の重要な部分であり、世界のすべての国が世紀の変わり目に登ろうと努力する最高点です。
情報セキュリティと対策コンテスト(ISCC:情報セキュリティと対策コンテスト)は、2004年(中国で最初)に開催され、2020年には17回開催されました。2019年の登録者数は約7,000人で、コンテストには1,000を超える機関が参加しており、ISCCコンテストの影響は広範囲に及びます。競争は「より高く、より速く、より強い」を継続的に追求し、高品質の情報セキュリティ対立の専門家を継続的に育成しています。
2コンテストの目的
国の重要な精神をネットワークセキュリティと情報化の仕事に完全に実装し、情報セキュリティの意識を高め、情報セキュリティの知識を広め、情報セキュリティ技術を実践し、情報セキュリティ環境を構築し、情報セキュリティの才能を発見してください!
3競技形式
コンテストには3つのアイテムが含まれます:個人チャレンジ、グループマッチ、無限リングゲーム。
パーソナルチャレンジはオンラインモードで行われ、質問の種類にはCHOICE、BASIC、WEB、REVERSE、PWN、MISC、およびMOBILEなどが含まれます。同時に、質問の組み合わせが追加されます。
- 選択肢:情報セキュリティに複数のタイプの知識ポイントを巻き込むことで、情報セキュリティに不慣れな人の学習に適しています。
- BASIC:情報セキュリティの基本的な知識、情報セキュリティの知識の普及、情報セキュリティ愛好家向けのガイド。
- WEB:SQLインジェクション、クロスサイトスクリプティング攻撃、アップロードの脆弱性攻撃、PHPコード監査の知識を調べてください。質問が他の質問と組み合わされることもあります。
- REVERSE:リバースクラックの能力を調査するには、アセンブリ言語を習熟する必要があります。
- PWN:ソフトウェアの脆弱性のマイニングと利用の機能を調査するには、オペレーティングシステムの原則を十分に理解する必要があります。
- MISC:ステガノグラフィ、トラフィック分析、カーネルセキュリティなどのテクノロジーを調査します。
- モバイル:モバイル端末のセキュリティ攻撃と防御機能を調査します。
- 組み合わせ質問:同じタイプまたは異なるタイプの2つまたは3つの質問が直列に接続されて構成されます。前のトピックのプロンプト情報を取得できない場合、次のトピックのフラグを解決することは困難です。組み合わせ質問の形式は、「xxx-1」、「xxx-2」、「xxx-3」です。
グループマッチはオフラインでシミュレートされた環境での真の対決です。これは主に、位置のフラグをキャプチャし、高地を占領して攻撃と防御の競争を行うモードを採用しています。ゲーム中、各チームはフラグを取得するという目標を達成するために指定されたサーバーに侵入してスコアを付け、高地を攻撃した後、他のチームからの攻撃を防御します。
インフィニットチャレンジは、主に確かな基礎知識、豊富な経験、革新的な思考を持つプレーヤーを対象としています。参加者は、リング上の質問に答えることにより、チャレンジの資格を取得します。元の質問を送信し、主催者によるレビューに合格した後、リング上の質問を置き換えてチャレンジを達成します。チャレンジは、チャレンジの未解決の期間に基づいて授与されます。期間が長いほど、より多くのポイントを獲得できます。
4エントリー方法
インディビジュアルチャレンジとインフィニットチャレンジは、学校の生徒だけでなく、あらゆる階層の人が対象です。人数に制限はありません。プレイヤーは、コンテストの入り口(https://www.isclab.org.cn)からコンテストに登録できます。チームはこのコンテストに参加できません。ユーザー名、チーム、およびその他の登録情報に注意してください。暴力、ポルノ、政治、およびその他の関連表現が表示されないようにしてください。見つかった場合、アカウントは削除されます。
グループコンテストでは、個々のチャレンジで最高の選手と各部門で推奨される一部の選手が選択され、各グループに3人が参加します。
5競技スケジュール
パーソナルチャレンジとワイヤレスチャレンジは、2020年5月1日の午前8時から始まり、通常は約25日間続きます。
グループ競技は、個人チャレンジ終了後の夏と無限リング競技が行われ、通常2日間開催され、通常7月中旬に開催されます。
6コンテスト評価
6.1個別の課題
パーソナルチャレンジコンペティションアワードはポイントシステムに基づいており、出場者はポイント数に基づいて並べ替えられています。コンペティションスコアは、プレーヤーのキーブレークスルーの数とシステムによって記録された通関手続きの時間に基づいています。プレーヤーの最終スコアは、各レベルで獲得したポイントの累積です。プレーヤーはスコアに従って並べ替えられます。2人のプレーヤーが同じスコアを獲得した場合、最後のレベルを通過した時間をチェックします。最初のパスは2番目のパスよりも優れています。最後に、アワードが順番に評価されます。
- オンラインの予備的な質問は、スケジュールとプレイヤーの問題解決の進捗状況に従って、組織委員会によって徐々に開かれます。
- オンラインゲームで質問に答える方法は、システムが自動的に確認するフラグを送信することです。
- オンラインゲームの各質問のスコアは50〜500ポイントで異なり、スコア情報は特定の質問で提供されます。
- 点数が同じ場合は、最後の採点問題の提出時間に応じて、最初に提出した人が最も高い順位になります。
- 特定の問題を解決できるプレイヤーがいない場合、組織委員会はやがて迅速なメッセージを発行します。
- プレーヤーが競技プラットフォームまたはゲームのタイトルに予期しない抜け穴を見つけ、組織委員会に通知した場合、組織委員会は必要に応じてポイントを追加します。
- コンテストの質問以外のプラットフォームで攻撃を開始することは禁止されており、違反者はすべて失格となります。
6.2グループマッチ
グループコンテストは、その年の被験者の評価スコアの性質に基づいて、加算と減算のポイントが付けられます。
- 参加チーム間で解決策のアイデアやフラグを共有することは禁止されており、違反者は失格となります。
- 競技用プラットフォームの暴力的なクラッキングは禁止されており、すべての違反者は失格となります。
- 質問以外のゲームプラットフォームへの攻撃は禁止されており、違反者のホームページは失格となります。
6.3無限の挑戦
賞は採点システムを使用します。出場者はスコアの数に従って並べ替えられます。コンテストの評価は、プレーヤーのスコアの順序とコンテストの成功に基づいています。競技者の最終スコアは、問題と元の問題を解くことによって得られたポイントの累積です。プレーヤーはスコアに従って並べ替えられます。2人のプレーヤーが同じスコアを獲得した場合、彼らは最初に成功した戦いの時間をチェックします。勝者は後者よりも優れています。
- リングコンテストでは、主催者が最初のリングトピックのトピックを最初にリリースし、次にプレーヤーが再生してアップロードします。トピックは、WEB、REVERSE、MISC、MOBILE、PWNの5つのタイプに分かれており、各タイプにはリングがあります。
- リングで特定のタイプの問題を正しく解決した後、出場者は質問に答えるために150ポイントを獲得し、自分のデザインの同じタイプの問題を組織委員会のメールボックスに送信できます。組織委員会による検討の後、課題を置き換えることができ、これは成功したと見なされます。
- リング上の各質問のスコアは時間とともに増加し、3時間で300ポイントを獲得することはできず、6時間で450ポイントを獲得することもできません。タイミングは、プレーヤーがフラグを正しく送信するまでタイトルが開く最初の時間です。3日以上たっても問題が解決しない場合は、問題解決のプロンプトが表示されます。
- チャレンジメールの件名は「トピックタイプ+参加者の登録ID」であり、レビューの順序は、チャレンジのチャレンジフラグを送信する順序ではなく、メールを受信する順序です。チャレンジが要件を満たした場合、監査に合格し、チャレンジのチャレンジが置き換えられます(つまり、チャレンジは成功します)。 )、このラウンドの残りの参加者が提出した質問は確認されなくなり、プレイヤーはフラグを解決して再度提出するための次の戦いラウンドまでとどまることができます。毎日確認される質問は、前日の0時から24時までに送信された質問です。
- チャレンジアンサーの方法は、フラグを送信することです。フラグはシステムによって自動的に確認されます。フラグが正しい場合は、元の質問を送信できます。質問を送信する時間は、プレーヤーが同じタイプの質問のフラグを送信するためにシステムによって記録された時間より早くてはなりません。組織委員会は、毎日15時にチャレンジトピックを置き換えます。
- 出場者が提出する資料には、すべてのソースコードファイルとフラグ情報、問題を解決するために使用される詳細な記述とスクリプト、および質問の展開方法のドキュメントが含まれている必要があります。詳細については、「ISCC チャレンジテンプレート」を参照してください。不足している関連情報は承認されません。
- 同じプレーヤーが同時に複数のリングでプレーできます。最終的なリングゲームの結果は、すべてのトピックのスコアの累積合計です。
- リング上のトピックに抜け穴やその他のエラーがあるとプレーヤーが見つけた場合、それはメールまたはqqグループで反映できます。組織委員会は、必要に応じてトピックの品質のスコアを差し引きます。
- ブルートフォースクラッキングを含むプレイヤーの質問や、競争内容に合わないその他の質問は承認されません。
- すべての質問はプレーヤーが独自に作成する必要があり、それらが類似している、またはその他の方法で不正行為をしていることが判明した場合は真剣に扱われます。
- コンテストの質問以外のプラットフォームで攻撃を開始すること、および提出されたコンテストの質問にバックドアを隠すことは禁止されています。違反者は失格となります。
- 本大会は初開催となりますが、大会期間中に具体的なルールが変更となる場合がございますので、大会ホームページのお知らせにご注意ください。
7連絡先情報
コンテストの入り口:http://www.isclab.org.cn
コンテストメール:[email protected]
コンペティショングループのQQグループ:484992578(参加者が技術交換を行う場合、ネタバレは固く禁じられています)
8組織単位
主催者:
中国兵器協会
中国兵器協会情報セキュリティおよび対立専門委員会
アンダーテイカー:
北京工科大学情報システムとセキュリティ対策実験センター
共催:
広西チワン自治区科学技術協会、
広西情報セキュリティ協会、
河南ケリアン電子テクノロジー株式会社
北京大学ソフトウェア学院情報セキュリティチーム、
公安省第三研究所、情報ネットワークセキュリティ
9その他の事項
- このコンテストの目的は、情報セキュリティの知識を広め、初心者が学習できるように導き、テクノロジー愛好家にコミュニケーションプラットフォームを提供することです。競技サーバーを悪意を持って攻撃した参加者は失格となります。
- コンテストの最終的な解釈は、「情報セキュリティと対立技術コンペティション組織委員会」に属します。
10よくある質問
- ISCCとは何ですか?
ISCCは、情報セキュリティとその対策コンテスト(Information Security and Countermeasures Contest)の略で、年に1回、2004年に最初のコンテスト、2020年に17回目のコンテストが開催されます。ISCCは北京工科大学の羅林林教授によって提案され、北京工科大学の学務局が後援し、その後、学務局、ネットワークセンター、ユースリーグ委員会が共同で主催しました。これまでに、一般市民をターゲットとするスポンサー、共催者、サポートユニットが数多く存在します。情報セキュリティへの意識を高め、情報セキュリティの知識を広め、情報セキュリティ技術を実践し、情報セキュリティ環境を構築し、情報セキュリティの才能を発見することです。
ISCCは、「個人チャレンジと無限チャレンジ」と「グループコンテスト」の2つのステージに分かれています。
- CTF(Capture The Flag)とは何ですか?
CTFフラグキャプチャは、情報セキュリティ競争の一種です。フラグは、文字情報の文字列を指します。リモートサーバーに配置することも、暗号化して簡単にアクセスできないさまざまなメディアに隠すこともできます。プレイヤーは、フラグを取得するために、リバース、復号化、フォレンジック分析、ペネトレーション、およびその他のテクノロジーを使用します。
CTF Capture the Flagゲームには通常、JeopardyとAttack-Defenseの2つの形式があります。(1)問題解決モードでは、脆弱なサービスを提供する、ネットワークトラフィックの期間を提供する、暗号化されたデータを提供するなど、一連の異なるタイプの競争の質問を通じて、フラグがこれらの質問に隠されます。問題を解決してポイントを獲得します。
(2)攻撃モードと防御モードでは、実際に近い一連の脆弱性を持つサービス環境を提供することにより、各チームは同じ環境を持ちます。一方で、チームは自身のサービスの脆弱性を修復する必要があり、他のサービスも攻撃する必要があります。参加チームのサービスは、他の人の環境から得点を示すフラグを取得し、競争プロセスはより激しくなります。
- どんな種類の競争トピックがありますか?どれくらい難しいですか?
ISCCトピックは、Web侵入、脆弱性のマイニングと利用、暗号化と復号化などを含むがこれらに限定されない幅広いトピックをカバーしています。
ISCCの質問の難易度は大きく異なりますが、一方で、できるだけ多くの参加者にとって、参加には一定の機会と効果があります。一方、対面のエースプレイヤーは、自分の能力を最大限に発揮できるトピックを提供します。
- ISCCに参加できますか?登録するには?
ISCCには誰でも参加できます。個人チャレンジと無限チャレンジは、ウェブサイトにアカウントを登録するだけで参加できます。グループコンテストでは、選択モードと招待モードが使用されます。