Thông báo về vòng Chung khảo cuộc thi 2023

1. Thời gian thi

Từ 7:00 – 18:30 (UTC+7) ngày 28/10/2023. Trong đó:

TT Thời gian Nội dung
1 7:00 – 7:20 Các đội vào phòng thi và làm công tác chuẩn bị
7:20 – 7:30 Đại diện Ban Giám khảo phát biểu
2 7:30 – 11:30 Các đội bắt đầu làm bài thi (pha 1 đề jeopardy)
3 11:30 – 12:00 Đóng hệ thống thi. Các đội nghỉ giải lao tại chỗ (BTC phát cơm trưa cho các thí sinh)

BTC công bố danh sách 20 đội thi xuất sắc của pha 1

4 12:00 – 17:00 20 đội xuất sắc của pha 1 vào thi attack – defense

Các đội còn lại tiếp tục thi jeopardy (pha 2)

5 17:00 – 17:30 Đóng hệ thống thi. Các đội nghỉ giải lao tại chỗ

Ban Giám khảo tổng hợp kết quả thi

6 17:30 – 18:30 Các đội di chuyển về Hội trường dự Lễ tổng kết, trao giải cuộc thi

Lưu ý:

  • Trong thời gian giải lao và sau khi đóng hệ thống thi, các đội ngồi tại vị trí và sẵn sàng trả lời các câu hỏi của Ban Giám khảo (nếu được yêu cầu).
  • Danh sách 20 đội xuất sắc của pha 1 được lấy theo thứ tự trong bảng xếp hạng (scoreboard) sau khi kết thúc pha 1 và mỗi cơ sở đào tạo có không quá 2 đội thi được chọn.
  • Ban Tổ chức có chuẩn bị cơm trưa và nước uống cho thí sinh trong thời gian thi.

2. Về địa điểm thi

– Cụm phía Bắc thi tại Học viện Công nghệ Bưu chính Viễn thông, 96A Trần Phú, P. Mộ Lao, Hà Đông, Hà Nội.

– Cụm phía Nam thi tại Trung tâm đào tạo nhân lực chất lượng cao HUTECH, Lô E1 Khu Công nghệ Cao, Xa Lộ Hà Nội, P. Hiệp Phú, TP. Thủ Đức, TP. HCM.

3. Hướng dẫn thi

Vòng thi chung khảo gồm 2 pha:

  • Pha 1: thi jeopardy trong 4 giờ (dự kiến từ 7h30 -11h30).

Kết thúc pha 1, BTC đóng submit, các đội nghỉ giải lao tại vị trí để BGK kiểm tra kết quả thi pha 1 của các đội (BTC phát cơm trưa cho các đội ăn tại chỗ).

BTC công bố danh sách 20 đội xuất sắc của pha 1 (được lấy theo thứ tự trong bảng xếp hạng và mỗi cơ sở đào tạo có không quá 2 đội thi được chọn).

  • Pha 2: thi trong 5 giờ (dự kiến từ 12h00 – 17h00)

20 đội xuất sắc pha 1 thi attack-defense, các đội còn lại tiếp tục thi jeopardy (BTC mở lại submit)

Điểm thi pha 1 của các đội được chuyển tiếp sang pha 2

  • Kết thúc pha 2, BTC đóng submit, các đội nghỉ giải lao tại vị trí

Sau khi BGK kiểm tra kết quả thi, BTC sẽ thông báo cho các đội di chuyển về hội trường dự Lễ trao giải.

3.1. Thi Jeopardy

  • Thể thức: Các đội phải giải quyết các thử thách bảo mật để tìm ra các “cờ”” (flags) ẩn trong các máy chủ, ứng dụng, hoặc các tài nguyên mạng khác. Khi tìm thấy flag, các đội gửi flag lên hệ thống của BTC để ghi điểm. Định dạng của cờ là: ASCIS{*}
  • Website thi: https://quals.ascis.vn/
  • Tài khoản thi: Dùng tài khoản đã được cấp ở vòng thi Khởi động
  • Các loại thử thách: Có 5 nhóm thử thách (tương tự vòng thi Khởi động).
    • Dịch ngược (Reverse Engineering): Thử thách liên quan đến phân tích và đảo ngược tệp nhị phân hoặc phần mềm để tìm flag.
    • Khai thác lỗ hổng phần mềm (Exploit/PWN): Thử thách liên quan đến tìm hiểu và khai thác lỗ hổng trong các tệp nhị phân.
    • Khai thác lỗ hổng ứng dụng web (WEB): Thử thách liên quan đến tìm lỗ hổng và khai thác các ứng dụng web.
    • Mật mã và mã hoá (Crypto): Thử thách liên quan đến giải mã hoặc tìm hiểu về hệ thống mật mã.
    • Các loại khác (MISC): các thử thách khác như điều tra số (Forensics), lập trình (Programming), Kỹ thuật giấu tin (Steganography)…

– Hướng dẫn và gợi ý: Trong quá trình thi, tuỳ theo tình thực tế, BTC có quyền đưa ra các gợi ý (qua telegram https://t.me/+vFsY_PYESL85OWE1) cho các thử thách để giúp các đội thi giải quyết thử thách dễ dàng hơn.

3.2. Thi Attack-defense

  • Thể thức: Các đội thi cố gắng bảo vệ các hệ thống của mình khỏi các cuộc tấn công từ các đội khác đồng thời cố gắng tấn công và kiếm điểm từ các hệ thống của đối thủ.
  • Website thi: https://final.ascis.vn

Hệ thống lab: nằm trên hạ tầng cloud của BTC và được bàn giao cho các đội khi bắt đầu vòng thi.

  • Tài khoản thi: Tài khoản thi được BTC bàn giao cho các đội khi bắt đầu vào vòng thi.
  • Bảng dịch vụ: Bảng mô tả các dịch vụ hệ thống sẽ được gửi cho các đội trước vòng thi.
  • Mô hình mạng của vòng thi:

  • Gateway: một máy tính làm vai trò trung gian, nhận request từ tất cả các đội chơi và forward dữ liệu tới máy chủ tương ứng
  • Proxy: Máy tính mà các đội chơi được quyền đặt các luật chặn, lọc dữ liệu. Các đội chơi được quản lý toàn quyền cho một máy proxy.
  • Challenge: Các đội chơi không được quản lý máy chủ này. Các đội chơi có thể cầm 1 máy chủ mẫu để tìm lỗi trên đó.
  • Cách thức tấn công: Các đội chơi gửi request tới dịch vụ tương ứng của đội bạn. Cổng dịch vụ của đội bạn tương ứng như sau:
    • Quy tắc như sau: cổng dịch vụ 4{id_của đội_chơi}{id_của_challenge}
    • Ví dụ, để tấn công vào dịch vụ số 1 của đội 01 thì gửi request tới:10.254.0.254:4011. Request sẽ đi từ gateway tới proxy của đội bị tấn công, tương ứng là cổng 4001 trên proxy. Nếu không chặn lọc gì, dữ liệu từ proxy lại đi tiếp đến cổng 4001 của ứng dụng đội 1.
    • Bảng phụ lục sẽ chứa thông tin cổng cụ thể cho từng dịch vụ của từng đội
    • Cờ sẽ được BTC thay đổi mỗi 15 phút
  • Cách thức phòng thủ:
    • Các đội cầm proxy và thực hiện filter trên cổng tương ứng để chặn lọc các dữ liệu nguy hiểm. Nếu bot của Ban tổ chức không kiểm tra được trạng thái của đội chơi, đội chơi sẽ mất điểm defend.
    • Dịch vụ sẽ được ban tổ chức kiểm tra thường xuyên và không báo trước
    • Các đội phải bảo vệ dịch vụ của đội mình