TRỰC TIẾP: Chung khảo cuộc thi Sinh viên với An toàn thông tin 2018

14:55 | 17/11/2018

TRỰC TIẾP: Chung khảo cuộc thi Sinh viên với An toàn thông tin 2018

Trao giải cho các đội đạt thành tích tại cuộc thi

Đại diện Ban tổ chức trao giải Nhất cho Đội z3r0_n1ght của Trường Đại học FPT

Đại diện Ban tổ chức trao giải cho các đội đạt giải Nhì

Đại diện Ban tổ chức trao giải cho các đội đạt giải Ba

Đại diện Ban tổ chức trao giải cho các đội đạt giải Tư

18:00 - Kết thúc cuộc thi

Sau 8 giờ thi đấu căng thẳng, vòng Chung khảo Cuộc thi Sinh viên với ATTT 2018 đã kết thúc với ngôi vị cao nhất thuộc về đội z3r0_n1ght của Trường Đại học FPT. Giải nhất có trị giá 15 triệu đồng.

Giải Nhì trị giá 10 triệu thuộc về 02 đội: ACT.Warriors (Học viện Kỹ thuật mật mã) và UIT.TKOX_r3b0rn (Đại học CNTT - Đại học Quốc gia TP HCM).

Giải Ba trị giá 5 triệu thuộc về 03 đội: ISITDTU (Đại học Duy Tân), l3K_CLST (Đại học Bách khoa Hà Nội) và PTIT_ONION (Học viện Công nghệ Bưu chính viễn thông Hà Nội).

Giải Tư trị giá 3 triệu thuộc về 04 đội: B-St4rl1ght (Đại học Bách khoa Hà Nội), ISITDTU 2 (Đại học Duy Tân), Just ∫du It! (Đại học Công Nghệ - Đại học Quốc Gia Hà Nội) và PTIT.Mars (Học viện Công nghệ Bưu chính viễn thông TP HCM).

17:30 - Sự cố đóng băng bảng điểm

Trong những phút vừa qua, bảng điểm bị đóng băng do sự cố về mạng khiến các đội dự thi không thể submit thành công flag. BTC vừa đưa ra thông báo kéo dài cuộc thi thêm 20 phút vì sự cố này. Như vậy, cuộc thi Chung khảo sinh viên với ATTT sẽ kết thúc lúc 18:00.

17:15 - 5 rounds cuối cùng

Đội z3r0_n1ght gần như đã chạm một tay vào chiếc CÚP vô địch. Các vị trí từ thứ 2 đến thứ 4 đang theo sát nhau và có thể thay đổi vị trí trong một vài phút tới.

16:50 - 62/72

Chỉ còn 10 rounds nữa là Cuộc thi sẽ kết thúc. Đội z3r0_n1ght với 544.788 điểm đang độc chiếm ngôi đầu. Tuy nhiên, khoảng cách điểm số với đội phía sau là ACT.Warriors là 70.000 điểm. Đội ACT.Warriors vẫn tiếp tục tấn công các đội PTIT.Mars, UIT.TKOX_r3b0rn.... Đồng thời, họ cũng tắt 2 services để thực hiện chiến thuật phòng thủ. Rất có thể, đội ACT.Warriors sẽ gia tăng điểm số, tạo đột phá trong các round tới. Trong khi đó, đội PTIT.Mars đã bị tuột lại phía sau với -371.520 điểm.

16:20 - Đội UIT.TKOX_r3b0rn từng bước nâng cao điểm số

Trong ba giờ đồng hồ vừa qua, thứ hạng các đội Top 3 không có sự biến đổi đáng kể, lần lượt là các đội: z3r0_n1ght, ACT.Warriors và UIT.TKOX_r3b0rn. Đội UIT.TKOX_r3b0rn từng bước nâng số điểm tạo cách biệt 100.000 điểm so với đội xếp thứ tư ISITDT. Theo quan sát, có lẽ UIT.TKOX_r3b0rn đang sử dụng chiến thuật tấn công các đội xếp hạng thấp hơn để nâng cao số điểm của mình.

Để giải quyết các challenge còn lại, các đội cần lưu ý, mặc dù không được cấp tài khoản có quyền root, nhưng các đội dự thi đều có quyển sửa, ghi đè và thực thi tệp tin binary. Các tệp tin được phép tạo trong thư mực /home/user_của_đội_mình và /tmp.

15:50 - Thông báo từ BTC

BTC vừa đưa ra thông báo, trong quá trình vận hành server, các đội thi cần lưu ý việc tối ưu hoá dung lượng ổ cứng. Nếu ổ cứng bị đầy thì việc ghi flag sẽ không được thực hiện, dẫn tới khả năng trừ điểm của các đội.

Phỏng vấn Ông Phạm Minh Thuấn, Trưởng đoàn Học viện Kỹ thuật mật mã về sự chuẩn bị của Học viện cho vòng Chung khảo.

Ông cho biết: Mỗi năm tại vòng Chung khảo, BTC đều có sự thay đổi về cách thức thi cũng như cách tính điểm để đổi mới và tạo sự hấp dẫn. Vì vậy, mỗi đội cần có cách tính toán và chuẩn bị kỹ về kiến thức và cả chiến thuật. Mặc dù, đây là một vấn đề khá khó khăn. Riêng với Học viện Kỹ thuật mật mã, chúng tôi đã định hướng và khuyến khích các thành viên nên thành thạo ít nhất hai nội dung kiến thức để có thể bổ trợ lẫn nhau. Cho đến thời điểm hiện tại, việc định hướng như vậy cũng mang lại những hiệu quả khá tích cực cho từng thành viên và cho kết quả của toàn đội.

Đội ACT.Warriors - Học viện Kỹ thuật mật mã

15:30 - Chiến thuật không đúng đắn của PTIT.Mars

Hiện tại, cuộc thi đã trải qua 49/72 rouds, PTIT.Mars hiện đang xếp cuối bảng với - 250.280 điểm. PTIT.Mars và Just ∫du It! là hai đội thi chưa submit thành công bất kỳ flag nào. Theo quan sát, hai đội này vẫn tập trung giải challenge và hứng chịu rất nhiều đòn tấn công của các đội dự thi khác. 

15:00 - 41/72

Để củng cố thêm vị trí đứng đầu, đội z3r0_n1ght đã nâng tổng số điểm lên 431.268 điểm. Nguyên nhân, đội này đã tấn công thành công đội ISITDTU 2 với challenge Custom Mail. Tại thời điểm này, BTC cũng đưa ra ra các gợi ý cho 2 challenges thuộc nội dung Crypto (ECC - Return và WhatTheHack?).

Giao diện challenge WhatTheHack?

Theo chia sẻ từ phía BTC, trong thời gian 5 phút/round các đội cần tập trung xây dựng các công cụ (tool) tự động hóa các hoạt động (như tấn công, submit flag) nhằm dành thời gian cho việc giải các challenge còn lại. Bởi trong khoảng thời gian 5-10 phút, các flag sẽ được thay đổi và việc thực hiện tấn công thủ công sẽ tốn nhiều thời gian.

14:30 - Đội z3r0_n1ght và ACT.Warriors đang bỏ xa các đội còn lại

Hiện tại, điểm số của 2 đội này lần lượt là 375.170 và 359.154 cách biệt 200.000 điểm so với đội xếp thứ 3 ISITDTU (146.830). Tiếp sau đó là các đội UIT.TKOX_r3b0rn, B-St4rl1ght. 

Được biết, trong suốt quá trình thi, BTC sẽ luôn đảm bảo ổn định kết nối giữa các đội. Nếu phát hiện với các hình thức tấn công làm ngưng trệ hoạt động vào hệ thống của đối phương, thì đội tấn công sẽ bị tính là phạm luật và xử lý theo quy định của BTC. 

Tuy nhiên, đội dự thi sẽ không phạm luật trong trường hợp thực hiện xóa tệp tin/mã nguồn. Vì nhiệm vụ phòng thủ bao gồm cả việc đảm bảo cho hệ thống không bị xóa tệp tin hay thay đổi cấu hình nên các đội dự thi cần lưu ý để có phương án đề phòng các tình huống tấn công này.

14:10 - 31/72 

Sau khi thời gian của mỗi round được rút ngắn, số lần tấn công của các đội giảm đáng kể. Bất ngờ đã xảy ra tại vòng Chung khảo Cuộc thi, đương kim vô địch vòng Sơ khảo - Just ∫du It! xếp vị trí 9/10 bảng xếp hạng (-24.040 điểm). Tính đến thời điểm hiện tại, 3 đội bị âm điểm do không thực hiện được các biện pháp phòng thủ kịp thời gồm các đội: ISITDTU 2, Just ∫du It! và PTIT.Mars.

13:40 - 26/72

Đã hết một nửa thời gian của cuộc thi, thứ hạng của các đội vẫn không có sự thay đổi đáng kể. Đáng lưu ý, các challenge như Web01 vẫn được các đội sử dụng tấn công thành công để ghi điểm. Điều này cho thấy, các đội vẫn chưa lưu ý biện pháp phòng thủ cho service trên server của mình. Khi thực hiện thay đổi tệp tin binary, các đội cần khởi động lại dịch vụ để đảm bảo việc thay đổi được áp dụng. BTC không hạn chế số byte thay đổi tệp tin binary, tuy nhiên, các đội cần cân nhắc về khả năng binary có thể không chạy được sau khi patch. Việc patch thành công tuỳ thuộc vào độ khéo của các đội.

13:20 - Round cuối trước khi thay đổi thời gian

Trong bốn giờ còn lại của cuộc thi, thời gian của một round sẽ được rút ngắn còn 5 phút với tổng 48 rounds. Theo luật chơi, những bài đã có đội giải thành công thì BTC sẽ không đưa thêm gợi ý. Các đội thi cần lưu ý để có chiến thuật tấn công và phòng thủ hiệu quả.

Ông Hà Bách Nam, Trưởng đoàn Đại Học FPT cho biết: sau 3 năm tham dự, đây là lần đầu tiên Đại học FPT vượt qua được vòng Sơ khảo cuộc thi Sinh viên với ATTT. Để chuẩn bị cho cuộc thi này, Đại học FPT đã tổ chức cuộc thi FPT Uni SecAthon 2018. Đội đại diện cho Đại học FPT tại vòng Chung khảo cũng là đội đạt giải nhất cuộc thi FPT Uni SecAthon 2018. Mặc dù, các thành viên của đội zer0_night là các sinh viên suất sắc được lựa chọn. Tuy nhiên, đây là lần đầu tiên các em được thử sức với hình thức thi tấn công và phòng thủ nên công tác chuẩn bị còn gặp nhiều khó khăn, việc tìm kiếm thông tin, các bài thi thử chưa sát với hình thức thi vòng Chung khảo. Ngay khi nhận được hướng dẫn, nhà trường đã tổ chức họp đội dự thi để phân công các nội dung chuẩn bị. Tuy nhiên, việc phân công, tìm hiểu ở giai đoạn này chỉ mang tính chất bổ sung, rà soát lại kiến thức đã có.

Đội z3r0_n1ght - Đại học FPT

13:00 - 20/72

Kết thúc vòng 20, BTC ghi nhận có 61 lần tấn công thành công và 4 service bị ngưng hoạt động. Sau gần một nửa thời gian của cuộc thi, các đội đã gia tăng số lượt tấn công để ghi điểm, dẫn đến điểm số được thay đổi liên tục. Tuy nhiên, duy trì vị trí dẫn đầu vẫn là đội z3r0_n1ght của Đại học FPT với 224.292 điểm. Challenge Math Exam thuộc nội dung Reverse được đội z3r0_n1ght sử dụng để tấn công các đội ACT.Warriors, ISITDTU 2 và UIT.TKOX_r3b0rn. Challenge Math Exam được mở với cổng 408 theo đường dẫn proxy.svattt.com trên server của các đội.

12:25 - ACT.Warriors vượt lên xếp thứ 2 toàn đoàn

Bằng việc giải được 2 challenges Custom Mail và ECC - Return, đội ACT.Warriors đã tấn công các đội khác nâng mức điểm lên 156.784 điểm. 

Trả lời câu hỏi của phóng viên: BTC có thể mô tả rõ hơn cách kiểm tra service?

Ông Trần Minh Quảng, đại diện BTC giải đáp: BTC sẽ sử dụng bot check để kiểm tra hoạt động của service. Các bot check có hành vi giống như người dùng thông thường sử dụng dịch vụ. Ví dụ, đối với một challenge web bán hàng, bot check sẽ thực hiện đầy đủ các tính năng như: đăng ký khách hàng, đăng nhập, mua hàng, đổi hàng, trả tiền, trao đổi với tư vấn viên… Tại thời điểm ngẫu nhiên do BTC quy định, bot check sẽ hoạt động với các nội dung truy cập khác nhau, được biến đổi liên tục. Điều này cũng đặt thêm thử thách cho các đội, bởi khó có thể phân biệt khi nào bot hoạt động và khi nào service đang bị tấn công. Hoạt động này mô phỏng giống với hoạt động thông thường của các dịch vụ trong thực tế: khi hệ thống bị tấn công thì các truy cập của khách hàng vẫn được diễn ra. Các đội dự thi phải đảm bảo không làm gián đoạn truy cập khách hàng. Đây cũng là tiêu chuẩn của BTC: các service phải trực tuyến trên 50% thời gian của mỗi round.

12:00 - BTC ghi nhận service đầu tiên ngưng hoạt động

Cụ thể, đội l3K_CLST đã chủ động tắt service thuộc challenge ECC - Return để vá lỗi. Vòng thi Chung khảo bao gồm 8 challenges: ECC - Return, WhatTheHack (Cryto); The trip, ROFL (Exploit); Lotus, Math Exam (Reverse); Custom Mall, Web01 (Web). Các đội cần lưu ý, thời gian cho mỗi round là khá ngắn nên mỗi thành viên cần tập trung để giải quyết challenge và duy trì service đáp ứng yêu cầu của BTC.

11:30 - Đội z3r0_n1ght dẫn đầu sau 12 rounds

Trao đổi với phóng viên, ông Bùi Quang Huy, Phó Giám đốc Trung tâm Digital Viettel phía Nam, nhà tài trợ chính của cuộc thi cho biết: Viettel vui mừng nhận thấy, cuộc thi Sinh viên với ATTT năm nay thu hút đông đảo các đội dự thi, với sự góp mặt của 70 đội đến từ 31 cơ sở đào tạo Đại học, Học viện. Viettel luôn ý thức việc đồng hành cùng giáo dục để tạo ra các sân chơi bổ ích và lành mạnh cho các em sinh viên. Đặc biệt là sinh viên thuộc chuyên ngành CNTT, ATTT là việc làm vô cùng cần thiết. Điều này góp phần thúc đẩy việc đào tạo nguồn nhân lực về ATTT có trình độ cao, đáp ứng yêu cầu pháp triển bền vững và hội nhập quốc tế của đất nước. Viettel tự hào vì những tài năng trong lĩnh vực ATTT từ cuộc thi này đã bước ra sân chơi quốc tế và đạt được nhiều thành tích đáng ghi nhận. Ông cũng bảy tỏ hi vọng, các thí sinh sẽ trở thành các ứng viên triển vọng cho Viettel sau này.

Ông Bùi Quang Huy, Phó Giám đốc Trung tâm Digital Viettel phía Nam, đại diện cho nhà tài trợ chính thức của Cuộc thi

Là một đơn vị luôn coi đóng góp cho xã hội là mục tiêu cao nhất, năm năm qua Viettel đã trao hơn 126.000 suất học bổng cho các trẻ em nghèo trên cả nước với tổng giá trị hơn 125 tỷ đồng, triển khai lắp đặt Internet tốc độ cao miễn phí cho 32.000 trường học,.... tiến tới xây dựng Hệ sinh thái giáo dục tổng thể cho ngành giáo dục dựa trên nền tảng công nghệ điện toán đám mây và công nghệ tích hợp có tính liên thông kết nối, đồng bộ dữ liệu từ các cấp quản lý giáo dục tới giáo viên, học sinh.

11:10 - Đội ISITDTU xếp vị trí thứ 2 với 104.410 điểm

ISITDTU là đội tiếp theo giải thành công challenge Web01 và tấn công ACT.Warriors. Như vậy theo quy định điểm số của service này được chia đều cho 2 đội là ISITDTU và z3r0_n1ght. Đây là điểm khác biệt so với vòng Chung khảo của các năm trước. Bởi các challenge không lưu trữ tập trung trên một máy chủ dịch vụ. Điều này làm tăng thêm nhiệm vụ cho các đội dự thi. Bên cạnh việc giải thành công challenge để ghi điểm, các đội chơi phải thực hiện các biện pháp phòng thủ cho service hoạt động trên máy chủ của mình.

10:55 - 8/72

Đội z3r0_n1ght vươn lên dẫn đầu với 122.680 điểm, bằng việc tiếp tục sử dụng challenge Web01 tấn công 4 đội còn lại: ACT.Warriors, UIT.TKOX_r3b0rn, PTIT.Mars và B-St4rl1ght. Theo các chuyên gia, đây là một chiến thuật hợp lý. Bởi các đội dự thi đều sử dụng một máy chủ cài đặt đầy đủ các service tương ứng với các thử thách challenge là như nhau. Nếu các đội còn lại không khẩn trương đưa ra biện pháp phòng thủ cho service của mình, thì điểm số sẽ sớm gia tăng cho z3r0_n1ght.

10:40 - Đội z3r0_n1ght ghi điểm số đầu tiên

Tại vòng 6/72, đội z3r0_n1ght đã có điểm số đầu tiên bằng việc tấn công thành công đội Just ∫du It! và l3K_CLST. Đây là service thuộc nội dung challenge Web01. Ban tổ chức cũng đưa ra lưu ý, challenge này có nhiều hơn 3 lỗi.

10:20 - 5/72: Chưa có sự thay đổi về điểm số

Theo thông tin từ BTC, các đội dự thi đạt thành tích cao sẽ được trao thưởng ngay sau khi cuộc thi kết thúc. Ngoài phần thưởng này, các đội đạt giải Nhất, Nhì sẽ được nhận Bằng khen của Bộ GD&ĐT; tham dự các cuộc thi quốc tế về ATTT và hỗ trợ tham dự các Hội thảo quốc tế uy tín trong lĩnh vực ATTT (như Hội thảo BlackHat Asia). Bên cạnh đó, Hiệp hội sẽ giới thiệu các thành viên xuất sắc vào làm việc tại các cơ quan, tổ chức, doanh nghiệp có nhu cầu nguồn nhân lực ATTT chất lượng cao.

10:00 - 3/72

Hiện tại đã qua 2 rounds của cuộc thi, tuy nhiên vẫn chưa có đội thi nào ghi điểm số. Được biết, vòng Chung khảo cuộc thi Sinh viên với ATTT 2018 diễn ra với tổng số 72 round trong 8 giờ liên tục. Trong bốn giờ đầu tiên, 24 rounds sẽ được thực hiện với thời lượng 10 phút/round. Bốn giờ còn lại, thời gian được rút ngắn 5 phút/round với tổng 48 rounds. Các đội dự thi sẽ được BTC cung cấp thông tin về sơ đồ mạng, tài khoản và thông tin các cổng dịch vụ.

Sơ đồ máy chủ của đội PTIT_ONION

9:35 - Cuộc thi bắt đầu diễn ra

Sau Lễ khai mạc, các đội dự thi tiến hành làm thủ tục và bốc thăm vị trí chỗ ngồi để kiểm tra, lắp đặt máy tính cá nhân. Ngay khi có tín hiệu từ BTC, các đội khẩn trương vào vị trí và bắt tay làm bài thi. 

8:15 - Lễ khai mạc diễn ra

Tham dự Lễ khai mạc cuộc thi có ông Ngô Vi Đồng, Phó Chủ tịch VNISA, Chủ tịch Chi hội VNISA phía Nam, thành viên BTC; ông Nguyễn Chí Thành, Viện trưởng Viện Công nghệ ATTT, VNISA, Trưởng Ban Giám khảo; ông Trần Minh Triết, Phó Hiệu Trưởng Trường Đại học KHTN, Đại học Quốc gia TP HCM đại diện đơn vị đăng cai.

Ông Ngô Vi Đồng, Phó Chủ tịch VNISA phát biểu tại Lễ khai mạc

Phát biểu tại Lễ khai mạc, ông Ngô Vi Đồng cho biết, cuộc thi Sinh viên với ATTT là một hoạt động quan trọng thuộc khuôn khổ sự kiện thường niên “Ngày An toàn thông tin Việt Nam”. Cuộc thi nhằm phát hiện, bồi dưỡng tài năng và nâng cao nhận thức về ATTT cho sinh viên các Học viện, trường Đại học, qua đó khuyến khích, đẩy mạnh hoạt động nghiên cứu, giảng dạy, học tập và nâng cao nhận thức về ATTT trong các nhà trường. Từ đó, góp phần vào việc đào tạo nguồn nhân lực chất lượng cao đáp ứng nhu cầu của xã hội. Ông cũng bày tỏ kỳ vọng và chúc các đội thi bình tĩnh, sáng suốt để có được kết quả cao trong cuộc thi.

Ban tổ chức trao Giấy khen cho 10 đội dự thi

Trước đó, vòng Sơ khảo của Cuộc thi Sinh viên với ATTT 2018 đã được tổ chức đồng thời tại Hà Nội, Đà Nẵng và TP. Hồ Chí Minh vào ngày 3/11/2018, với 70 đội thi đến từ 31 cơ sở đào tạo Đại học, Học viện trên cả nước. Sau nhiều giờ tranh tài quyết liệt, vòng Sơ khảo đã lựa chọn 10 đội xuất sắc nhất tham dự vòng Chung khảo.

Danh sách 10 đội tham dự Chung khảo cuộc thi Sinh viên với ATTT 2018

Luật tính điểm vòng Chung khảo

Vòng thi Chung khảo Cuộc thi Sinh viên với An toàn thông tin (ATTT) được diễn ra với hình thức tấn công và phòng thủ (Attack and Defence) để tăng tính đối kháng và tương tác giữa các đội, đem lại sự mới lạ, hấp dẫn cho cuộc thi. Theo đó, mỗi đội thi sẽ được cấp một máy chủ cài đặt đầy đủ các dịch vụ (service) cần thiết, tương ứng với các thử thách (challenge). Các challenge tập trung vào bốn nội dung: khai thác lỗ hổng (web, phần mềm hệ thống), dịch ngược, điều tra số và mã hóa. 

Cụ thể, mỗi đội dự thi có số điểm ban đầu là 100.000 điểm. Tổng số điểm của các đội là không đổi và được chuyển từ đội này sang đội khác bằng việc ghi điểm challenge và service trong 72 rounds.

1. Điểm challenge: 2520 điểm/round
- Khi đội A tấn công thành công vào đội B, đội B sẽ bị trừ điểm challenge và điểm số này được cộng cho đội A. Nếu có nhiều hơn một đội tấn công thành công, thì điểm số sẽ được chia đều cho các đội.
- Điểm challenge được cập nhật theo thời gian thực.

2. Điểm service: 2520 điểm/round
- Nếu service của đội dự thi không hoạt động đúng theo yêu cầu của Ban tổ chức (BTC) và quá 50% thời gian của một round, thì đội đó sẽ bị trừ điểm. Điểm số này được chia đều cho các đội còn lại. Ngược lại, nếu service hoạt động theo đúng theo yêu cầu, thì đội sở hữu service sẽ không bị trừ điểm.
- Các đội dự thi có quyền ngừng hoạt động service để vá lỗi nhưng không được quá 50% thời gian của một round.
- Điểm service được cập nhật theo từng round.