TyphoonPWN 2023 FAQ
등록 – Registration
등록*은 컨퍼런스 참석자뿐만 아니라 모든 사람이 등록 가능합니다.
TypoonPWN에 참여하려면 아래 정보를 contact@ssd-disclosure.com 으로 보내주세요:
- 이름/별명
- 담당자 이름(비공개 – 선택사항)
- 연락처(비공개)
- 카테고리
*등록은 대기행열 기반입니다. 대회 이전에 특정 카테고리에 등록한 사람은, 대회가 시작된 후에 등록한 참가자보다 우선시됩니다.
사전 등록 마감 – Pre-Registration deadline
사전 등록은 2023년 6월 15일 오전 9시(한국시간)에 마감됩니다. 마감일 이후 등록을 원하시면 주최자 (info@typhooncon.com) 앞으로 문의해주세요.
대회에서 우승한 경우, 하기와 같은 정보를 요청합니다 (미공개):
- 담당자 이름
- 주소
- 전화 번호
- 이메일
- 결제 정보(송금 정보, PayPal(페이팔), 또는 수표(check) 발송을 위한 주소)
TypoonPWN은 2023년 6월 15일 오전 8시(한국시간)에 시작하여 2023년 6월 16일 오후 5시(한국시간)에 종료됩니다
상금 – Prizes
- SSD는 해당 카테고리에 나열된 목표에 대한 취약점 및 익스플로잇 기술 경쟁에 상금을 제공합니다.
- 목표에 타협하고자 하는 참가자의 순서는 선착순이 될 것입니다.
- 실패할 경우 다음 참가자에게 공격 등을 시도할 수 있는 기회가 주어집니다. 이 과정은 참가자가 목표를 성공적으로 달성할 때까지 계속됩니다 (1차 라운드에서 실패할 경우, 당일 또는 그 다음날 다른 라운드에서 참석 요청이 될 수 있습니다).
- 선택한 목표를 성공적으로 타협한 첫 번째 참가자는 해당 카테고리에서 해당 목표에 대한 상금을 받게 됩니다.
- 목표 대상과 타협하게 되면 해당 카테고리에 대한 대회가 종료됩니다. SSD는 대회를 계속 진행하기로 결정하거나 해당 목표에 대해 추가 상금을 제공할 수 있으며, 이 경우 컨퍼런스에서 이를 발표할 것입니다.
- 모든 상금은 미국 달러(USD)입니다.
- 우승자가 이벤트 전에 등록되지 않은 경우, 첫 번째 우승자는 솔루션 이메일이 발송된 시간에 따라 결정됩니다.
무결성 수준 – Integrity Level
- RCE 취약성의 경우, 실행된 코드는 렌더러(renderer) 과정 (‘Tab’) 또는 그보다 높은 무결성 수준에서 실행되어야 합니다.
디바이스 설정 – Device Settings
- 목표 대상은 선택된 대상에서 사용할 수 있는, 완전히 패치된 가장 최신 버전의 운영 체제(O/S)에서 실행됩니다.
- 모든 목표 대상은 기본 구성으로 설치됩니다.
- 공격에 사용되는 취약성은 알려지지 않고, 게시되지 않았으며, 공급업체에 이전에 보고되지 않아야 합니다.
- 지정된 취약성은 모든 카테고리에서 오직 한 번만 사용될 수 있습니다.
샌드박스 이스케이프 (Sandbox Escape) & 없이 원격 코드 실행 Remote Code Execution without Sandbox Escape
- 이 취약성에 대한 테스트 환경을 제공하기 위해, 크롬(Chrome)은 샌드박스 기능 Chrome.exe –no – sandbox 없이 시작됩니다.
- 연구원(researcher) URL에 연결될 것입니다. 이 URL은 노트북 또는 USB 키에 웹 서버(사용자 또는 당사 제공)에서 제공하는 전송된 데이터(payload)가 포함되어 있어야 전화로 연결할 수 있습니다.
- 이 URL 연결에 의해 코드가 실행됩니다.
- 이는 크롬(URL 배치 및 열기)에서 허용되는 유일한 상호 작용이며, 어떤 추가 팝업이나 사용자에게 제공되는 질문도 RCE로 간주되지 않으며, 소셜 엔지니어링 취약성으로 간주될 것이며, RCE의 자격을 얻을 수 없습니다.
원격 코드 실행 – Remote Code Execution
- 코드 실행은 임의 셸 코드 실행 시 하나로 간주됩니다.
- 셸 코드는 어셈블리에 있어야 합니다(기본 코드 또는 어셈블리 명령으로 저장되어 컴파일된 코드).
- 셸 코드는 문자, 연산 코드(opcode), 길이 또는 기타 제한 없이 실행되어야 합니다. 이러한 제한이 있는 경우 코드 실행 시연 중 이를 유의해야 합니다.
- 선호하는 셸 코드 실행 결과는 실행 파일을 시작하du 트리거된 popping of calc 입니다.
우승자 선정 – Winner selection
익스플로잇의 성공적인 시연에 따라 참가자는 완벽하게 작동하는 익스플로잇과 취약성을 설명하는 백서, 공격에 사용된 익스플로잇 기술을 제공합니다. SSD는 이 공격이 위의 규칙을 충족하는지 여부를 확인할 것입니다. SSD는 익스플로잇 체인의 일부가 위의 규칙을 충족하지 못한다고 판단될 경우, 참가 신청은 수락하지만 해당 카테고리에서 주어진 최초 상금보다 낮은 금액의 상금으로 제공될 수 있습니다.
모든 취약성(메모리 손상, 정보 유출, 에스컬레이션 등)에 대한 세부 정보가 포함한 짧은 백서와 사용된 순서를 반드시 제공해야 상금을 받을 수 있습니다.
대회 우승자가 밝혀낸 취약성과 익스플로잇 기술은 해당 공급업체에게 공개되며, 익스플로잇 및 백서는 SSD의 자산이 됩니다.
취약성의 최초 발견자는 취약성, 백서 및 공개에 대해 크레딧 (또는 원할 경우 익명으로 유지) 을 받게 됩니다.
참고: SSD는 성공적인 공격을 구성하는 요소를 단독으로 결정할 권리가 있습니다.
신청 자격 – Who Can Apply
TypoonPWN은 등록 시점 만 18세 이상이면 누구나 등록할 수 있습니다. 대회에 장비를 사용하거나 대회에 사용된 디바이스 개발에 관련된 공급업체 중 한 곳에서 일하는 사람은 제외됩니다. 또한, SSD 직원 및 해당 계열사도 제외됩니다.
지원자들은 개별 또는 팀별로 지원할 수 있습니다. 모든 응용프로그램은 유효하고 진실하며 완전하고 정확한 정보를 포함해야 합니다.
원격 참여는 선택 사항입니다. 원격 참가자는 위의 모든 항목을 충족해야 합니다.
SSD는 허위 정보가 제출될 경우 단독 재량으로 신청자 및/또는 신청을 무효화할 수 있는 권리를 보유합니다.
SSD는 참가자에게 경기에서 필요한 작업을 수행할 수 있는 능력을 평가하기 위해 필요한 추가 정보를 요청할 권리가 있습니다 (이 요청에는 공식 신원 문서의 증거가 포함될 수 있습니다)
제출 – Submission
공개 PGP 키를 사용하여 해당 카테고리의 수상자가 발표된 후, 추가 검사를 위한 아이템을 이메일 contact@ssd-disclosure.com 앞으로 제공할 수 있습니다.