komentar umum: buat peserta-nya sih kayanya OK, cuma sedikit masalah adminitrative yang gue concern adalah buat penilaiannya / tim juri-nya apakah sudah ada check list, pembobotan dll utk menilai bagaimana mekanisme yang cepet supaya panitia tahu siapa yang ngecrack apa? kalau ada cracker yang mengubah fungsi server terus mau di apain? instink gue mengatakan, skenario II bakalan repot urusannya ... Hacking Competition sebuah draft mengenai project kompetisi hacking. author: echo status: public domain revisi: 0.1 - August 31, 2001 Changelog: 1. Typografi 2. Penambahan bagian 2.6 3. Penambahan bagian 1.11., 2.10 Table Of Contents Skenario I HACK CAMP Death Match Tournament 1.1. Penjelasan Skenario 1.2. Persyaratan Peserta 1.3. Pendaftaran 1.4. Jaringan 1.5. Server Panitia 1.6. Server Peserta 1.7. Peraturan Permainan 1.8. Babak Permainan 1.9. Penilaian 1.10. Penjurian 1.11. Peralatan yang dibutuhkan Skenario II INTERNET WAR GAMES Capture the Flag 2.1. Penjelasan Skenario 2.2. Persyaratan Peserta 2.3. Pendaftaran 2.4. Target Server 2.5. Deskripsi Permainan 2.6. Pemenang Permainan 2.7. Peraturan Permainan 2.8. Penilaian 2.9. Penjurian 2.10. Peralatan yang dibutuhkan Skenario I HACK CAMP - Death Match Tournament 1.1. Penjelasan Skenario Yang dimaksud dengan Death Match Tournament adalah kompetisi cracking dalam sebuah jaringan lokal (local area network) dimana setiap tim berusaha melakukan cracking terhadap server lawan ataupun server panitia, sekaligus juga mempertahankan servernya sendiri agar jangan sampai ter-crack lawan. 1.2. Persyaratan Peserta Peserta untuk umum. Mempunyai latar belakang atau minat terhadap Linux, programming, administrasi server, dan computer security. Peserta dapat mendaftar secara tim atau perorangan. Setiap tim dibatasi maksimal 3 orang. Diperbolehkan membawa Notebook/PC sendiri (maksimal 2 buah, tergantung kondisi lokasi) ke arena permainan, tidak dibatasi jenis sistem operasinya. 1.3. Pendaftaran Pendaftaran peserta harus diterima selambat lambatnya 1 bulan sebelum diadakannya turnamen. Pendaftaran dilakukan dengan mengisi formulir yang disediakan dan mengirimkannya kembali via email ke alamat panitia. 1.4. Jaringan Yang dimaksud jaringan adalah adalah jaringan lokal (LAN) berkecepatan 10/100 Mbps non-switch. Jaringan dapat terhubung ke internet, untuk memudahkan peserta mencari resource yang diperlukan untuk melakukan cracking. 1.5. Server Panitia Dalam jaringan lokal, terdapat satu server yang berfungsi sebagai tournament server. Server ini bertugas menjadi lokal Domain Name Server, lokal FTP server, lokal Web Server dan lokal IRC Server. Dalam server tersedia berbagai tools/program yang dapat diinstall dan digunakan oleh para peserta pada komputernya masing masing untuk memenangkan team mereka. Juga pada server terdapat situs web yang memberikan informasi informasi yang diperlukan oleh peserta. IRC Server dapat digunakan sebagai media komunikasi antar peserta atau peserta dengan panitia. 1.6. Server Peserta Setiap team akan disediakan sebuah server yang telah terinstall sistem operasi Linux dengan konfigurasi default dan terlebih dahulu disetup oleh panitia dengan konfigurasi yang sama untuk setiap peserta. Disetiap web server, panitia telah memasang web pages yang terdapat script script cgi/perl/php yang telah diketahui mempunyai lubang lubang sekuriti. 1.7. Peraturan Permainan Peserta yang telah terdaftar dan berhak mengikuti hacking competition terikat pada peraturan peraturan dibawah ini. 1. Tidak diperbolehkan menggunakan program/serangan bertipe DoS - denial of service attack (flood, nuke, dsb) yang pada intinya berfungsi untuk mematikan akses terhadap service yang diberikan. Baik terhadap komputer pada jaringan lokal maupun jaringan internet. ======= owp, kalau membuat buffer overflow engga boleh ya? tapi apache udah kuat lah :) .. 2. Dilarang menghapus/merubah (tampering) log file, mengedit konfigurasi syslog daemon, atau berbuat sesuatu untuk merubah fungsi logging dalam server manapun dan dalam kondisi apapun. ========= owp, kalau ada yang ngehapus log file - panitia tahu-nya darimana hayoo :) .. 3. Dilarang menghapus/merubah username/password dalam server manapun dan dalam kondisi apapun 4. Tidak membuat/menyimpan/menggunakan/memperlihatkan material apapun yang berhubungan dengan pornography, illegal, atau pengejekan/penghujatan terhadap lembaga/pribadi manapun. 5. Pelanggaran terhadap peraturan akan mendapatkan sanksi seperti diatur pada tata tertib. 6. Peraturan permainan dapat berubah sewaktu waktu. 7. Semua peserta diharuskan mematuhi semua peraturan permainan. 1.8. Babak Permainan Babak I Pada babak pertama ini, setiap tim diberikan waktu untuk menkonfigurasi servernya masing masing, melakukan patch terhadap vulnerability yang diketahui namun tidak boleh mematikan daemon/service apapun, termasuk mengganggu fungsi fungsi cgi script pada web server. Setelah babak I ini, sistem harus tetap fungsional menjalankan service service yang disediakan. Apabila konfigurasi/patch telah selesai, akan tetapi masih tersedia waktu, team yang bersangkutan dapat langsung melanjutkan ke babak berikutnya. Waktu: 4 jam ===== owp jadi hanya web servis aja yang di aktifkan? port lain boleh di matikan semua? jadi yang penting harus tahu semua vurnerability dari apache, php & berbagai cgi lainnya ya... bagaimana kalau ada yang masuk ke servis lain? Babak II Dalam babak II ini peserta sudah tidak boleh mengutak atik servernya sendiri dan harus langsung berkonsentrasi untuk melakukan cracking terhadap server lawan, maupun server panitia yang tersedia. ===== owp buat panitia, bagaimana kita tahu bahwa peserta engga ngutak-ngatik server-nya heheheh .. Yang disebut cracking, adalah mengganti tampilan awal (index.html/php) pada server yang dimaksud. Apabila sebelum waktu yang disediakan habis, team telah berhasil melakukan cracking terhadap server lawan atau server panitia. Team tersebut mempunyai 2 pilihan, melakukan cracking terhadap server lain, atau berhenti dan langsung melanjutkan pada babak ke III. Untuk peserta yang server nya dicrack, selama waktu yang disediakan pada babak ini belum habis, dapat terus melanjutkan usaha cracking nya pada server lawan untuk menambah nilai. Waktu: 6 jam Babak III Pada Babak III ini, setiap team, baik yang berhasil maupun yang tidak berhasil diharuskan membuat paper mengenai langkah langkah yang telah dilakukan sekaligus menjabarkan cara cara yang ditempuh untuk melakukan cracking server lawan. Semakin detail paper tersebut, akan semakin baik. Paper dikirimkan melalui email ke panitia. Paling lambat 3 hari setelah Babak II usai. Paper yang dikirim setelah waktu yang ditentukan dianggap tidak valid dan menjadi milik panitia. Waktu: 3 hari 1.9. Penilaian Penilaian dilakukan oleh juri dengan memperhatikan aspek aspek berikut: 1. Teknik Defend Penilaian dilakukan pada konfigurasi server dan perubahan perubahan yang dilakukan pada server. 2. Teknik Hacking Penilaian dilakukan pada aspek aspek teknik yang digunakan untuk melakukan penetrasi terhadap server target. 3. Paper Penilaian dilakukan pada cara penulisan paper, analisis, langkah langkah yang dilakukan. ==== owp panjang paper berapa karakter? berapa halaman? harus satu paper? atau boleh banyak paper? supaya kemungkinan menangnya lebih banyak:) .. paper yang sudah jadi tadi sifatnya bagaimana? public domain? atau hak cipta di pegang penulis. bagaimana status paper tersebut kalau di terbitkan di @ha ... royalti akan dibayar? atau apa? 1.10. Penjurian 1. Keputusan juri tidak bisa di ganggu gugat. 2. Juri terdiri dari para programmer,web master/developer, server builder, pratisi dan pemerhati sekuriti. 1.11. Peralatan yang dibutuhkan o Server Server Panitia. Jumlah: 1 buah Konfigurasi: Akan ditentukan kemudian Server Peserta. Jumlah: Ditentukan sesuai jumlah peserta Konfigurasi: Akan ditentukan kemudian o Peripheral Hub sesuai kebutuhan Kabel/Konektor UTP sesuai kebutuhan UTP Clamper Skenario II INTERNET WAR GAMES Capture The Flag 2.1. Penjelasan Skenario Yang dimaksud dengan Capture The Flag adalah kompetisi cracking yang dilakukan melalui media internet dimana setiap peserta berusaha melakukan cracking terhadap server yang telah disediakan oleh panitia. 2.2. Persyaratan Peserta Peserta untuk umum tidak dibatasi umur. Mempunyai latar belakang atau minat terhadap Linux, programming, administrasi server, dan computer security. Peserta dapat mendaftar secara team atau perorangan. Hal yang perlu dilakukan oleh peserta sebelum mengikuti hacking competition ini adalah: Menginformasikan secara tertulis kepada ISP yang digunakan bahwa peserta mengikuti hacking competition yang diselenggarakan oleh panitia. Disamping itu, panitia berkewajiban memberitahu kepada setiap ISP yang digunakan oleh peserta, secara lisan ataupun tertulis, secara langsung ataupun melalui media massa bahwa pada tanggal yang telah ditentukan akan diadakan acara kompetisi hacking di Internet. 2.3. Pendaftaran Pendaftaran harus diterima selambat lambatnya 1 minggu sebelum acara diadakan. Pendaftaran dilakukan dengan mengisi formulir yang disediakan dan mengirimkannya kembali via email ke alamat panitia. ===== owp - alamat e-mail panitia apa?, formulirnya dapat dimana? Setelah mendaftar, peserta akan menerima username dan password level 1 yang dapat digunakan untuk mengakses target server. 2.4. Target Server Panitia akan mempersiapkan satu buah server yang berfungsi sebagai target server. Server berjalan diatas sistem operasi Linux dan menjalankan service service standard seperti Web, SMTP, POP3 dan IMAP. Keterangan lebih detail akan disajikan melalui web site panitia. 2.5. Deskripsi Permainan Permainan Capture The Flag ini terdiri dari 10 level. Untuk mengakses setiap level, diperlukan sebuah kombinasi username dan password yang berbeda. Akses terhadap level 1 akan diberikan pada saat pengembalian formulir pendaftaran. Dengan menggunakan akses ini, peserta dapat melakukan akses lokal login terhadap server yang telah disediakan panitia dan kemudian harus berusaha untuk meningkatkan privilasi account ke level level selanjutnya. Sebagai bantuan, panitia akan menyediakan hints/petunjuk yang berguna untuk menyelesaikan setiap level. Petunjuk dapat dilihat di situs web panitia. Semua peserta diharuskan membuat sebuah paper yang berisi analisis/forensik terhadap server, dan langkah langkah yang ditempuh ketika melakukan permainan. 2.6. Pemenang Permainan 2.6.1. Alternatif 1 Pemenang dari permainan kompetisi hacking ini adalah peserta yang pertama kali berhasil mendapat akses level 10 (root). 2.6.2. Alternatif 2 Pemenang dari permainan kompetisi hacking ini adalah peserta yang berhasil mendapat akses level 10 (root) dan mempertahankan server tersebut agar tidak di crack oleh peserta lain dengan cara melakukan patching terhadap vulnerability yang ada. Proses patching dilakukan tanpa mengurangi/merubah fungsi dari server/daemon maupun cgi script. 2.6.3. Alternatif 3 Pemenang ditentukan berdasarkan nilai yang didapat (lihat bagian penilaian) === owp, gimana panitia bisa tahu siapa yang melakukan patching apa? siapa yang defend server? siapa yang mengubah fungsi server? apakah sudah ada semacam check list buat panitia-nya? bagaimana menilai pemenangnya? 2.7. Peraturan Permainan Peserta yang telah terdaftar dan berhak mengikuti hacking competition ini terikat pada peraturan peraturan dibawah ini. 1. Tidak diperbolehkan menggunakan program/serangan bertipe denial of service attack (flood, nuke, dsb) yang pada intinya berfungsi untuk mematikan akses terhadap service yang diberikan. Baik terhadap komputer pada jaringan yang digunakan server maupun jaringan internet. 2. Dilarang menghapus/merubah log file, mengedit konfigurasi syslog daemon, atau berbuat sesuatu untuk merubah fungsi log dalam server manapun dan dalam kondisi apapun. 3. Dilarang menggunakan akses yang didapat untuk melakukan abuse, penghapusan file ataupun launching pad untuk melakukan penyerangan terhadap jaringan maupun server lain yang tidak termasuk dalam target server. 4. Dilarang menghapus account/username dalam server manapun dan dalam kondisi apapun 5. Tidak membuat/menyimpan/menggunakan/memperlihatkan material apapun yang berhubungan dengan pornography, illegal, atau pengejekan/penghujatan terhadap lembaga/pribadi manapun. 6. Pelanggaran terhadap peraturan akan mendapatkan sanksi seperti diatur pada tata tertib. 7. Peraturan permainan dapat berubah sewaktu waktu. 8. Semua perserta diharuskan mematuhi peraturan permainan ini. 2.8. Penilaian Penilaian dilakukan oleh juri berdasarkan paper yang ditulis dengan memperhatikan aspek aspek berikut: 1. Teknik Defend Penilaian dilakukan pada perubahan perubahan yang bertujuan untuk melakukan defend pada server. 2. Teknik Hacking Penilaian dilakukan pada aspek aspek teknik yang digunakan untuk melakukan penetrasi terhadap server target. 3. Teknik Forensik Penilaian dilakukan pada analisis terhadap setiap vulnerability yang ditemukan. 4. Paper Penilaian dilakukan pada cara penulisan paper, analisis, langkah langkah yang dilakukan. Semakin detail paper akan semakin baik. ==== owp panjang paper berapa karakter? berapa halaman? harus satu paper? atau boleh banyak paper? supaya kemungkinan menangnya lebih banyak:) .. paper yang sudah jadi tadi sifatnya bagaimana? public domain? atau hak cipta di pegang penulis. bagaimana status paper tersebut kalau di terbitkan di @ha ... royalti akan dibayar? atau apa? 2.9. Penjurian 1. Keputusan juri tidak bisa di ganggu gugat. 2. Juri terdiri dari para programmer,web master/developer, server builder, praktisi dan pemerhati sekuriti. 2.10. Peralatan yang dibutuhkan Server. Jumlah 1 buah Konfigurasi: Akan ditentukan kemudian Co-Location ISP Akses Internet 24/7 bagi panitia #EOF