DESCRIPTION DU CHALLENGE

Le thème de cette édition du Challenge est « Exfiltration des données via prises connectées ».

Les participants sont invités à développer des attaques secrètes qui utilisent les appareils IoT – notamment les prises connectes  afin d’exfiltrer des données sensibles par des canaux auxiliaires, provenant du réseau physiquement isolé.

LES ÉQUIPES PARTICIPANTES

  • Mimicats
  • TnS0ciety
  • The Emperors
  • Toggo Spaßtag
  • Kaizoku

ADMISSIBILITÉ ET INSCRIPTION

l’inscription au challenge est fermée !

Les conditions pour participer au IoT challenge:

  • La compétition est ouverte à toute personne.
  • Une équipe de 3 membres au maximum.
  • Les frais d’inscription s’élèvent à 30 DT / équipe
  • L’inscription se fait par équipe et non pas individuellement.
  • Être disponible le 04 Avril 2020 pour la finale.

L’ouverture des inscriptions aura lieu en 25 Décembre et prendra fin le 10 Janvier 2020 à 23h59, heure locale ou lorsque toutes les places disponibles sont réservées.

Nombre de place disponibles: 0

Pour s’inscrire, les frais payés par virement bancaire doivent être adressés à:


Bénéficiaire:ASS DES DIPLOMES DE SUPCOM TUNIS

Identifiant national de compte bancaire:Banque Agence Compte Clé00004 00120 1200020852018 8

IBAN:TN5904034120002085201890

Domiciliation:ATTIJARI BANK TUNISANGLE DE L’AVENUE FETHI2083 CITE EL GHAZALATUNISIE


à mentionner dans l’objet de virement “Hackfest IoT Challenge”

Les participants sont également invités à remplir le formulaire d’inscription.

DÉROULÉ DU CHALLENGE

La compétition se déroulera en 2 phases

  • Une phase préliminaire de qualification, au cours de laquelle les équipes doivent rédiger et soumettre un rapport écrit décrivant les attaques possibles par les canaux auxiliaires utilisant les prises connectées, pour exfiltrer furtivement des informations secrètes.
  • Une phase finale, où les équipes qualifiées seront invitées à Hackfest pour présenter une démonstration en direct de leurs implémentations sur les prises connectées fournies par les organisateurs.

DÉTERMINATION DES GAGNANTS

Lors du phase qualification, les rapports soumis par les participants, seront évalués par une équipe d’experts.

Les critères d’évaluations sont :

  • Efficacite (20%)
  • Coherence/exactitude (20%)
  • Créativité (20%)
  • Qualité du rapport/presentation (20%)
  • Discrétion de l’attaque / caractère furtif de l’attaque (20%)

ÉNONCÉ DU CHALLENGE

IOTIX est une boîte de consultation en Cybersécurité qui obtient la plupart des contrats militaires et de défense du pays Iotland.

Compte tenu de la nature sensible de son activité, IOTIX utilise une séparation air-gap complète de ses réseaux internes, garantissant qu’aucune donnée n’est divulguée via les connexions publiques.

Une récente politique du CEO exige que l’entreprise remplace les équipements électroniques par d’autres connectés; cafetières, réfrigérateurs, ampoules et prises. Pour respecter cet ordre, IOTIX a installé des prises connectées dans les bureaux qui sont connectés à leur réseau interne.

Dans le cadre de la compétition Hackfest IoT Hacking, vous êtes chargés d’exploiter ces prises connectées récemment installées pour exfiltrer les secrets d’Iotland, en créant un pont entre les réseaux air gap de IOTIX.

HYPOTHÈSES ET EXIGENCES

Les hypothèses et exigences de haut niveau pour les attaques que les candidats sont invités à proposer et à mettre en œuvre sont:

  • Le concours se concentre sur les mécanismes et les techniques d’exfiltration des données, et non pas sur l’identification des données à exfiltrer. À cette fin, considérez que vous devez exfiltrer la séquence de caractères (sans les crochets): [ The S in IoT stands for Security]. La façon dont vous choisissez de coder / moduler / transmettre cette séquence dépend entièrement de vous.
  • Vous pouvez exploiter tous les canaux auxiliaires ou toute autre combinaison que vous jugez appropriés pour l’exfiltration de données.
  • Vous devez également envisager et, le cas échéant, développer des mécanismes de réception et de décodage des données transmises, compte tenu de toute complexité et de tout compromis de coût.
  • Les attaques ne sont pas limitées à niveau spécifique de (matériel, firmware, os, réseau, application). Vous pouvez concevoir et implémenter des attaques sur n’importe quelle couche, y compris les attaques inter-couches.
  • Les attaques doivent secrètement exfiltrer les données, ce qui signifie qu’elles doivent être furtives.
  • Pour la phase finale, vous êtes invites à concevoir et de mettre en œuvre au moins une attaque sur la prise connectée fournie par les organisateurs.
  • Les prises connectées que nous fournirons sont les prises WiFi intelligentes de Maxcio. Nous vérifierons le modèle de la prise à la fin de la phase de qualification.

SPÉCIFICATION ET USAGE DE LA PRISE CONNECTÉE

Veuillez trouver ici le manuel d’utilisation de la prise connectée. 

S’il est impossible de se connecter avec votre réseau wifi:

  • Assurez-vous que votre téléphone connecté à 2.4Ghz wifi si vous avez un routeur double bande et pas de VPN activé.
  • Assurez-vous qu’il n’y a que des lettres et des chiffres dans votre nom WiFi et mot de passe, pas de caractères spéciaux, comme un tiret.
  •  Si vous avez entré le mauvais mot de passe, vous devez réinitialiser la prise et reconnecter.
  • Essayez le mode de compatibilité (Mode AP) que vous pouvez trouver sur la 5ème page du manuel d’instruction.
  • S’il y a un autre problème que vous ne pouvez pas résoudre, s’il vous plaît contactez-nous sans hésitation su contact@hackfest.tn.

Veuillez noter les informations de sécurité pour ce produit:

  • Alimentation: AC 100V-240V, 50 / 60Hz
  • Puissance de charge: 2200W Max.
  • Courant de charge: 10A Charge résistive Max.
  • Norme WiFi: 2.4GHz IEEE802.11 b/g/n
  • Sortie USB: DC 5V 2.1A Max.
  • Température de fonctionnement: -20 ℃~ +50℃
  • Couleur de LED: RVB + Blanc (2700-6000K)

LES PRINCIPALES ÉCHÉANCES DU CHALLENGE

  1. Inscription: Du 25 Décembre au 10 Janvier 2020 à 23h59
  2. Phase préliminaire: Du 13 Janvier 2020 au 06 Mars 2020 à 23h59
  3. Phase finale: 04 et 05 Avril 2020

DELIVERABLES

Pour la phase de qualification, chaque équipe participante doit soumettre un rapport écrit au format de fichier PDF suivant le format de conférence IEEE standard (10pt font, double column, letter size paper, not compsoc mode); les modèles sont disponibles ici (le modèle LaTeX est préféré). Le rapport PDF de la phase de qualification peut comprendre jusqu’à 10 pages, références et annexes comprises.
Pour la phase finale, chaque équipe qualifiée doit soumettre un rapport PDF final, ainsi qu’un fichier ZIP qui comprend tous les fichiers associés et la documentation et implémentation des attaques .
En plus des rapports finaux, chaque équipe est invitée à préparer une présentation PowerPoint (jusqu’à 10 diapositives) et une courte vidéo (2 à 4 minutes) illustrant leur travail, qui seront présentées le jour de la finale en direct lors des événements de la Hackfest 2020.

INFORMATIONS DE CONTACT

Les équipes peuvent contacter leurs organisateurs régionaux à l’adresse e-mail suivante: contact@hackfest.tn. Pour éviter des retards dans la réponse, chaque message doit avoir le tag [IOT], dans la ligne d’objet.

JURY

Sera composé des spécialistes, enseignants et chercheurs.

PRIX

Sera annoncé ultérieurement