Cluburile Rotaract din Lugoj şi Timişoara au lansat o provocare comunităţii informaticienilor din România. Proiectul „Security Challenge” oferă pasionaţilor de informatică şi celor care doresc să îşi exerseze cunoştinţele de securitate în cadrul sistemelor informatice cadrul necesar desfăşurării activităţii. Prin proiect se urmăreşte exploatarea termenului de Hacker în sensul lui propriu, acela de pasionat de programare, care, găsind o vulnerabilitate într-un sistem informatic, program sau server o documentează şi îi dezvoltă un remediu. Un alt scop este acela de a identifica tinerii şi foarte tinerii talentaţi în informatică (securizare, hacking şi webdesign) şi de a-i pune în contact direct cu diverse companii în domeniu în vederea angajării timpurii a acestora într-o direcţie corespunzătoare cu aptitudinile lor.
Securizarea serverelor este dependentă de tentativele de „spargere”
Organizatorii au pornit de la premisa că există numeroşi tineri pasionaţi de securizarea serverelor, pasiune care este în strânsă legătură cu „spargerea" lor, una neputând exista fără cealaltă. „Ideea acestui proiect este necesară pentru a dezvolta un cadru în care pasionaţii să-şi arate măiestria fără a face ceva ilegal, de a-şi compara „kung-fu"-ul lor cu al celorlalţi şi de a aduce rezultatele în atenţia companiilor care sunt în căutare de astfel de talente, dar, poate au dificultăţi în găsirea lor, tocmai datorită sensibilităţii abordării”, spun iniţiatorii proiectului.
Înscrierea la concurs se face online, pe baza unui e-mail trimis la adresa securitychallenge@rotaract.ro, care trebuie să conţină informaţii de identificare ale echipei: numele echipei, un număr de telefon de contact, numărul membrilor, numele/alias-urile membrilor echipei, precum şi specializările fiecăruia. Fiecare e-mail de înscriere va avea ataşată o arhiva zip de maxim 10MB cu o pagina web CV/portofoliu al echipei. Se admit referinţe externe în cadrul paginii. Organizatorii îşi rezervă dreptul de a nu accepta un conţinut licenţios, sau cu tentă politică ori religioasă.
Echipele se duelează pe server
După stabilirea echipelor participante la proiect, se va trage la sorţi echipa care va începe. Membrii echipei îşi vor alege un sistem de operare pe care îl doresc instalat pe server, staff-ul va realiza instalarea respectivă şi va face cunoscut IP-ul serverului doar echipei câştigătoare la tragerea la sorţi. Din acel moment echipa va avea la dispoziţie o perioadă determinată (2-3 săptămâni) în care să aducă serverul la standardele de siguranţă impuse prin regulament (aplicarea de patch-uri de securitate, definirea de politici de securitate, în funcţie de cunoştinţele şi viziunea pe care echipa o are), urmând ca apoi să realizeze un site care să ofere serviciile necesare (de exemplu server de baza de date) care să aducă elemente care pot fi exploatate de către celelalte echipe. La finalul perioadei stabilite, daca sunt îndeplinite criteriile, serverul va fi declarat funcţional, urmând ca şi celelalte echipe să primească adresa IP a respectivului server pentru a-l putea „lua cu asalt”.
Dacă o echipa poate dovedi că timp de 2 zile a avut acces pe serverul respectiv, cu drepturi depline de administrare asupra acestuia, retrăgând accesul la server echipei care l-a securizat, respectiva echipa este declarată câştigătoare, etapa concursului fiind încheiata şi urmând decernarea de premii, în care se vor prezenta câştigătorii echipelor partenere. Jocul se va relua apoi, urmând aceeaşi paşi, singura diferenţă fiind modul de alegere a echipei care intră în concurs – dacă la prima fază a avut loc o tragere la sorţi, în fazele următoare participanta va fi de fiecare dată echipa care-şi dovedeşte abilităţile de identificare a problemelor de securitate şi de remediere a acestora. Dacă într-o perioadă de o săptămână nici o echipă nu reuşeşte să „cucerească” serverul, ele pot cere echipei care a configurat serverul să adauge (cu aprobarea organizatorilor) elemente de risc. Pe toată perioada concursului echipa desemnată cu administrarea sistemului trebuie să trimită zilnic organizatorilor rapoarte cu privire la starea serverului, alături de un istoric al atacurilor şi al activităţilor realizate pentru a le combate. Dacă după o perioadă de 1 lună nici o echipa nu reuşeşte să cucerească serverul, atunci echipa care a configurat sistemul este declarată câştigătoare.
Pentru ca o echipa să poată fi recunoscută ca fiind câştigătoare a unei runde ea trebuie fie ca timp de 1 lună să deţină controlul absolut al serverului, fie să dobândească controlul acestuia şi sa priveze de control echipa care este desemnata în acea lună cu administrarea.
Pagina web trimisă la înseriere de către echipa câştigătoare a unei runde de concurs va fi publicată în secţiunea „Hall of fame” de pe http://securitychallenge.rotaract.ro.
