# // // # Regole «

Regole

Regolamento

1 – Iscrizione

L’iscrizione avviene in due fasi, una pre-iscrizione mediante compilazione di un form sul sito ufficiale di CAT – Cracca Al Tesoro – Crack A Treasure http://www.craccaaltesoro.it ed una conferma da effettuare prima dell’avvio del gioco. I dati inseriti nel form sul sito verranno verificati.

L’iscrizione è consentita solo a squadre composte da minimo 2, max 4 persone ed è gratuita.

2 -Conferma iscrizione

Prima del via del gioco tutte le squadre dovranno confermare la propria iscrizione comunicando all’organizzazione il nome scelto per identificarsi ed il nome del rappresentante che dovrà garantire un comportamento etico dei membri della squadra sottoscrivendo il regolamento e la presa di responsabilità.

Dovranno inoltre essere comunicati nome, cognome e documento di identità dei componenti della squadra. Non vi sono limiti di età dei partecipanti ma il rappresentante deve obbligatoriamente essere maggiorenne.

Al momento dell’iscrizione le squadre dovranno comunicare almeno un numero di cellulare, che sarà utilizzato dall’organizzazione per eventuali comunicazioni ufficiali.

3- Bersagli

Il numero esatto dei bersagli sarà comunicato dall’organizzazione prima del via del gioco.

Gli unici punti di accesso devono essere gli access point individuati grazie alle indicazioni trovate dentro i sistemi violati o tramite tecniche di wardriving. Gli access point bersaglio conterranno nel SSID una  stringa indentificativa che verrà comunicata prima dell’inizio del gioco. Solo gli access point con questa caratteristica potranno essere attaccati. Attaccare sistemi ed access point non predisposti dall’organizzazione è una azione illegale la cui responsabilità ricade su chi la pone in atto.

4- Tipologia di bersagli

Ogni postazione è composta da un access point e da due sistemi host, che potranno essere MS WindowsXX e/o *NIX oltre che da un sistema di gestione che verrà utilizzato dall’organizzazione per seguire l’andamento del gioco. Potranno essere installati dall’organizzazione falsi bersagli, sia access point che sistemi host. Il sistema di comunicazione non deve essere attaccato, pena l’esclusione dal gioco.

5- Punteggio

Ogni sistema violato fa guadagnare alla squadra dei punti: 5 punti per ogni access point e 10 punti per ogni sistema host. La vittoria sarà assegnata alla squadra che per prima conquista tutti i bersagli. Nel caso in cui nessuna squadra termini il gioco entro il tempo massimo, sarà dichiarata vincitrice la squadra con il punteggio maggiore. In caso di parità di punteggio, la vittoria sarà assegnata alla squadra che ha totalizzato il maggior punteggio calcolando solo il numero di sistemi host conquistati senza considerare gli access point od ulteriori bonus point. In caso di ulteriore parità sarà dichiarato l’ex equo.

6 – Indizi,  parole chiave, bonus point

In ogni sistema bersaglio connesso allo stesso access point è stato nascosto un file di testo che potrà contenere indicazioni sul prossimo bersaglio,  una azione da fare o materiale da recuperare per completare la caccia ed una parola chiave. Per ogni azione completata o materiale recuperato si guadagneranno punti aggiuntivi (bonus point) oltre a quelli acquisiti violando i sistemi collegati all’access point, in ragione di 3 punti per ogni azione completata o materiale recuperato.

Le squadre sono libere di scegliere se violare tutti i sistemi, acquisendo così maggiore punteggio, o proseguire verso il bersaglio successivo.

7- Conferma acquisizione bersaglio

L’acquisizione di ogni bersaglio, sia sistema host che access point, deve essere comunicata all’organizzazione mediante SMS ad un numero comunicato prima del via del gioco. L’organizzazione potrà essere contattata su canale un sistema di comunicazione via internet (IRC, od altro sistema) comunicato dagli organizzatori prima del via.

Nel caso di access point deve essere comunicata la chiave WEP o WPA, nel caso di sistema deve essere comunicata la parola chiave contenuta nei file di indizi.

Ad ogni squadra sarà consegnato prima del via un modulo da compilare con le parole chiave e le chiavi degli AP. Questo modulo dovrà essere riconsegnato al termine del gioco e sarà utilizzato per le verifiche dei punteggi.

8- Comunicazioni

La situation room potrà essere contattata tramite il sistema di comunicazione via Internet previsto dagli organizzatori o tramite un numero di telefono cellulare messo a disposizione dei giocatori.

I punti saranno assegnati solo se verrà effettuata la comunicazione dell’acquisizione del bersaglio mediante SMS all’organizzazione.

9 – Svolgimento del gioco

  • Ogni squadra dovrà essere autonoma in tutto e per tutto, prevedendo quanto possa necessitare per portare a termine il gioco.
  • E’ consentito l’uso di internet per reperire informazioni e tool.
  • Non è consentito attaccate sistemi che non siano bersagli designati, accedere a cassette di distribuzione ENEL, effettuare azioni di phreaking, ed in generale è vietata ogni attività ritenuta illegale sul territorio Italiano.
  • Non sono consentiti attacchi DOS e DDOS.
  • E’ consentito l’utilizzo di tecniche di ingegneria sociale.
  • Sono consentite alleanze e patti fra squadre.
  • E’ consentito chiudere i buchi dei sistemi per ostacolare le squadre avversarie .
  • Il gioco si svolgerà esclusivamente all’interno dell’area individuata dall’organizzazione come comunicata prima dell’avvio del gioco.
  • I partecipanti potranno utilizzare ogni mezzo per spostarsi o trasportare materiale, purché sia a trazione umana.
  • Tutti i sistemi bersaglio saranno controllati a distanza dalla Situation Room allestita dall’organizzazione .
  • La Situation Room non interferirà in nessun caso con lo svolgimento del gioco, a meno di situazioni particolari che possano inficiarne lo svolgimento.
  • Lo scopo del gioco è rintracciare gli indizi conquistando tutti i bersagli ed arrivare al “tesoro”, ovvero l’ultimo bersaglio, per primi, entro il tempo limite comunicato prima dell’inizion del gioco.
  • Per trovare gli indizi dovranno essere individuati gli access point installati dall’organizzazione. Questi access point dovranno essere violati per accedere al sistema ad essi collegati. Le squadre dovranno prendere possesso del sistema ed individuare gli indizi con le indicazioni delle azioni o dei materiali richiesti e la parola chiave che dà diritto all’assegnazione dei punti.
  • Al via del gioco sarà comunicata la prima indicazione che condurrà alla locazione del primo access point.

10- Penalizzazioni

Gli organizzatori si riservano il diritto di escludere dalla classifica finale le squadre che violeranno il presente regolamento o terranno comportamenti non etici. L’organizzazione potrà anche decidere di non squalificare una squadra ma infliggere punti di penalizzazione. La decisione degli organizzatori è inappellabile.

11- Premi

Saranno premiati tutti i partecipanti con gadget od altri premi forniti dagli sponsor.
Alla squadra prima classificata sarà consegnato il trofeo ed il premio messo in palio dagli sponsor. Saranno inoltre premiate le squadre classificatesi al secondo e terzo posto.

12- Modifiche al regolamento

Il presente regolamento è soggetto a modifiche che potranno essere comunicate prima dell’inizio del gioco.

Regolamento CAT – Cracca Al Tesoro – Crack A Treasure v.5.0 del 27/06/2011 – Paolo “Aspy” Giardini

    I commenti sono moderati, onde evitare perdite di tempo, pubbliche offese, thread inutili, sconcerie e tutto cio' che non e' costruttivo. Benvenute le critiche, non i perditempo. I post 'inutili' non verranno pubblicati.


  1. #1 by Danilo on 20 Giugno 2009

    Ke figata peccato solo ke io abito molto lontano da Orvieto e c e anche il lavoro ke non mi permette di spostarmi peccato…ma toglietemi una curiosita: il gioco consiste nel bucare solo il WEP on anche il WPA?

  2. #2 by Lezan on 21 Giugno 2009

    Quindi se spingiamo l’auto a mano ed usiamo una dinamo per alimentare un pc, va bene?

  3. #3 by aspy on 22 Giugno 2009

    >ma toglietemi una curiosita: il gioco consiste nel bucare solo il WEP on anche il WPA?
    Beh, se ti dicessimo tutto prima, dove sarebbe il gusto? 🙂

  4. #4 by Danilo on 22 Giugno 2009

    haha haha concordo….

  5. #5 by aspy on 22 Giugno 2009

    >Quindi se spingiamo l’auto a mano ed usiamo una dinamo per alimentare un pc, va bene?

    Beh, restando all’interno delle regole, perchè no? Ma sei sicuro che ti convenga ? 🙂

  6. #6 by Six110 on 11 Luglio 2009

    Purtroppo orvieto era troppo lontana per me… però vi prego, una volta conclusa la caccia, dovete dirci come l’avete organizzata, le misure di sicurezza impiegate… sono davvero curioso.
    Complimenti per l’iniziativa… e in xxxxx xx xxxx!

  7. #7 by Null on 19 Luglio 2009

    mi piacerebbe un bordello partecipare!

  8. #8 by Sysxash on 8 Novembre 2009

    e’ un vero peccato che non possa arrivare fino ad orvieto e’ il mio sogno partecipare ad un evento del genere, perché non si svolge in altre parti di Italia? come con il Linux day?

    in bocca al lupo e che la chiave sia con voi…

  9. #9 by aspy on 8 Novembre 2009

    Beh, in realtà ci sono alcune novità in questo senso, pertanto…. Restate con le antenne alzate!
    😉

  10. #10 by robot on 9 Marzo 2010

    Essendo già 4 persone in squadra, si può portare 1/2 persone dietro a patto che non porti oggetti/non aiuti ecc?(come spettatori, ma seguendoci)

  11. #11 by aspy on 9 Marzo 2010

    Beh, nulla vieta che qualcuno passeggi per il corso .. 🙂

  12. #12 by hacktooth on 31 Marzo 2010

    salve ma la prossima caccia al tesoro dove avverrà? e xk la fate sempre al nord?? nn potete spostarvi una volta anke nel sud?
    in sicilia l aria e + pulita di quella di roma e di milano dai venite in sicilia perfavore =(

  13. #13 by fox on 26 Febbraio 2011

    domanda, ma dalle reti CAT2011 è possibile accedere a internet o bisogna attrezzarsi con chiavette umts?

  14. #14 by aspy on 27 Febbraio 2011

    Ciao.
    No, dalle reti bersaglio non sarà possibile accedere ad internet. Vi consiglio di attrezzarvi diversamente 🙂

  15. #15 by furion on 13 Luglio 2011

    salve

    volevo chiedere ma negli A. P. specialmente quelli in wpa ci sarà un client collegato per simulare traffico o saranno privi di traffico.
    perché altrimenti per le wpa prenderà un po di tempo la fase di hacking

  16. #16 by aspy on 13 Luglio 2011

    ciao. ad ogni ap sono connessi 2 server che dovete bucare e verra’ generato traffico

  17. #17 by Fabio on 3 Maggio 2012

    Ciao, volevo sapere:
    * in che misura è possibile “bucare” il server? E’ possibile chiudere “buchi” di sicurezza, ho visto. Ma è possibile ad esmpio spegnere brutalmente un sevizio vulnerabile? E’ possibile installare backdoor o software di qualsiasi tipo? E’ possibile cambiare password?

    * In che misura è possibile “ostacolare” altri concorrenti? A parte la chiusura di bug di sicurezza, si possono ad esempio effettuare “deautenticazioni” sugli access point, o simili azioni di disturbo?
    Mi piacerebbe avere qualche ragguaglio preciso su quel che si può e non si può fare

    Grazie mille

    P.S. STUPENDA iniziativa 🙂

  18. #18 by aspy on 3 Maggio 2012

    “bucare” significa proprio “bucare”! Devi in qualche modo trovare l’indizio nascosto nel server. Puo’ essere ovunque… File di testo, immagini, file compressi, log, configurazioni… Quindi devi poter esplorare il file system. Il come, dipende anche dalla vulnerabilità che inseriamo e che dovrete scoprire.
    Spegnere il servizio non è ammesso. In generale tutto quello che puo’ essere considerato “denial of service” non è ammesso. Ad esempio abbiamo penalizzato una squadra che aveva cambiato le coordinate del prossimo bersaglio. Cambiare pwd, patchare, deautenticare, è permesso. Dovrete però pensare alla strategia, ovvero decidere se perdere tempo a patchare o andare a cercare altri bersagli. Nelle precedenti edizioni vi sono stati numerosi (troppi) fake access point approntati dalle squadre che hanno causato qualche problema, in questa edizione stiamo pensando di vietare questa pratica.
    Basta parlare, giochiamo! Vieni?

  19. #19 by Fabio on 3 Maggio 2012

    Certamente, la mia squadra si iscriverà a momenti!

    Grazie per le delucidazioni.
    Ne deduco che installare software sul server (purché non neghi il servizio e/o non “blocchi” intenzionalmente altri concorrenti) sia quindi permesso.

    Si certo, ovvio uno pensa alla strategia migliore. Era solo per sapere se “precludere” delle opportunità o no.

  20. #20 by aspy on 3 Maggio 2012

    Tieni presente che lo Staff vigila… 🙂

  21. #21 by fabio on 8 Maggio 2012

    Buondì.

    Ultima domanda, poi vi lascio stare… la gara sembra durare parecchio… esiste la possibilità di attaccarsi a qualche presa di corrente, o mi devo portare un gruppo di continuità in spalla? 🙂

  22. #22 by aspy on 8 Maggio 2012

    Ciao
    Assolutamente si, zaino con batteria da camion e inverter sono d’obbligo.
    Oppure utilizzare una delle prese con ciabatte che saranno allestite in sala stampa e sala conferenze.
    😛

  23. #23 by RogerRabbit on 15 Giugno 2012

    E contro le regole sabotare gli indizi? Nel senso, leggendo i racconti c’è chi per esempio ha sabotato le phpshell altrui dopo averle trovate. MA se per esempio rootassi il server o trovassi un espediente per eliminare il file con l’indizio (si ok, niente fair play lol) sarebbe irregolare?

  24. #24 by aspy on 15 Giugno 2012

    Ciao
    Le azioni di tipo DOS sono vietate dal regolamento, una azione del genere sarebbe considerata tale.
    Ricordo che nella prima edizione di CAT una squadra ha cambiato le coordinate dei bersagli nei file indizi ed è stata penalizzata.

  25. #25 by RogerRabbit on 15 Giugno 2012

    Io non ho parlato di DOS (anche se si potrebbe jammerare il segnale), ma di modificare i target ‘tecnicamente’ che è un po’ diverso, comunque ho recepito. Come potete individuare però la squadra che ha agito in tal senso?

  26. #26 by aspy on 15 Giugno 2012

    Come dicevo, abbiamo assunto che una azione del genere sia assimilabile ad un DOS dato che impedisce di fruire di un servizio 🙂
    Individuare la squadra responsabile è possibile, monitorando i bersagli e con altre tecniche ma non sveliamo tutti i trucchi! 😉

I commenti sono chiusi.