Sau 8 giờ thi đấu căng thẳng, vòng Chung khảo Cuộc thi Sinh viên với An toàn thông tin ASEAN 2019 đã khép lại với ngôi vị quán quân thuộc về đội Just ∫du It! của Đại học Công nghệ, Đại học Quốc gia Hà Nội.

Trao giải cho các đội đạt thành tích tại cuộc thi

Đại diện Ban tổ chức trao giải Nhất cho Just ∫du It!

Đại diện Ban tổ chức trao giải cho các đội đạt giải Nhì

Đại diện Ban tổ chức trao giải cho các đội đạt giải Ba

18:30 - Cuộc thi kết thúc

Sau 8 giờ thi đấu căng thẳng, vòng Chung khảo Cuộc thi Sinh viên với An toàn thông tin ASEAN 2019 đã khép lại với ngôi vị quán quân thuộc về đội Just ∫du It! của Đại học Công nghệ, Đại học Quốc gia Hà Nội.

Giải Nhì thuộc về 2 đội: đội z3r0_night (Đại học FPT Hà Nội) và UIT-BEAN (Đại học Công nghệ thông tin - ĐHQG Tp. HCM).

Giải Ba thuộc về 4 đội: Nupakachi (Đại học Bách Khoa Hà Nội), KMA PeBois (Học viện Kỹ thuật mật mã), ISITDTU (Đại học Duy Tân) và Thái Lan. 

18:25 - Nhà vô địch gọi tên Just ∫du It!

 Đội Just ∫du It! dường như đã bảo vệ thành công ngôi vô địch với vị trí đầu toàn với hơn 390.0000 điểm. Theo sau đó là z3r0_night, UIT-BEAN....

18:15 - 15 phút trước khi kết thúc cuộc thi: thay đổi luật lệ

Ban Tổ chức vừa thông báo, trong thời gian cuối của cuộc thi mỗi vòng sẽ kéo dài từ 1 - 5 phút. Các đội cần lưu ý để đưa ra chiến lược đúng đắn cho mình. Một trong những lưu ý của các chuyên gia để các đội bảo vệ thứ hạng là: điểm của một dịch vụ sẽ được chia đều cho các đội tấn công thành công. Tuy nhiên, nếu phòng thủ thành công, đội thi sẽ được toàn bộ điể của dịch vụ đó. 

Bảng xếp hạng đang chứng kiến cuộc rượt đuổi của các đội ISITDTU, UIT-BEAN, Nupakachi và Myanmar. Có vẻ, khả năng phòng thủ của Y45uno chưa tốt, nên đội này trở thành mục tiêu của rất nhiều đội thi. Trong lúc đó, KMA PeBois đã kịp lấy phong độ trở lại, giữ vững vị trị thứ 7 trong suốt vòng 38. Hai đội duy nhất quốc tế lọt vào Top 10 là Myanmar (184.691 điểm) và Singapore (155.045 điểm).

17:30 - Cú lội ngược dòng của z3r0_night

Vòng 30 của cuộc thi, đội z3r0_night, Đại học FPT Hà Nội đã tấn công đội Nupakachi để vươn lên vị trí cao hơn. Tuy nhiên, vì zer0_night chưa khai thác thành công jeopardy nào nên tổng điểm vẫn kém Nupakachi 10.000 điểm. Theo đánh giá của các chuyên gia, khoảng cách này không quá dài để z3r0_night vượt qua, giành vị trí xếp hạng số 2. Trong khi đó, Just ∫du It! vẫn giữ vững vị trí dẫn đầu với điểm số cách biệt tới 110.000 điểm (285.108 điểm).

17:00 - 2/5 dịch vụ chưa được khai thác thành công

Trong vòng 25, các đội thi đã khai thác được 3 dịch vụ là [vuln_vm], [HelloVietNam] và [ratio]. Hai dịch vụ còn lại là [three_o_three] và [db] chưa được bất kỳ đội nào khai thác và tấn công. Trước tình hình này, Ban giám khảo đã tiến hành đổi port của dịch vụ HelloVietNam tại vòng 26.

Cùng lúc, Nupakachi đã giải thành công jeopardy "hackmaill" thuộc kỹ năng web. Như vậy, sẽ không có bất kỳ gợi ý nào cho các jeopardy. Hiện tại, tổng số điểm của Nupakachi đã lên tới 189.000 điểm. Con số này gây lo gại cho đội Just ∫du It!, bởi khoảng cách giữa đội 2 đội nhất, nhì bảng chỉ còn 40.000 điểm. Trong khi đó, Just ∫du It! chưa giải được jeopardy nào. Việc tích lũy điểm số của Just ∫du It! hiện chỉ dựa vào cách tấn công và phòng thủ các dịch vụ. Tuy nhiên, trong suốt 30 phút qua, 2/5 dịch vụ của Just ∫du It! trở thành mục tiêu của các đội khác.

Các đội nửa cuối của bảng xếp hạng liên tục hứng chịu các đòn tấn công

Sau nhiều giờ lỗ lực, Ban giám khảo đã khắc phục được sự cố quá tải bảng điểm. Quý độc giả có thể theo dõi trực tiếp điểm số jeopadry; tấn công và phòng thủ.

16:30 - KMA PeBois đã bất ngờ thay đổi vị trí xếp hạng

Bằng việc giải thành công jeopardy "Simplemessage", KMA PeBois đã nâng tổng số điểm của mình lên 102.000 điểm. Như vậy, đã có 2/3 jeopardy được giải thành công. Theo quy định của Ban tổ chức, 1 giờ trước khi kết thúc cuộc thi, nếu không có đội thi nào giải được bài jeopardy "hackemail"  thì Ban tổ chức sẽ đưa ra gợi ý.

Ngay sau sự kiện này, KMA PeBois đã leo lên vị trí Top 5 bảng xếp hạng. Các vị trí từ 6 - 10 liên tục có sự thay đổi của các đội H2DP, ADSL, Y45uno và noobiens. 

16:00 - Nupakachi ghi thêm 20.000 điểm

Sau 3 giờ đồng hồ, Nupakachi đã giải thành công jeopardy đầu tiên với chủ đề "Tangent". Đây là jeopardy liên quan đến kỹ năng mã hóa. Các đội thi cần lưu ý, điểm số jeopardy sẽ không được cộng trực tiếp trên bảng xếp hạng mà sẽ được tính tổng khi kết thúc chương trình. Vì vậy, các đội cần theo dõi cả 2 bảng điểm jeopardy và final (điểm tấn công và phòng thủ). Với 20.000 điểm, Nupakachi đang rút ngắn khoảng cách so với đội Just ∫du It! chỉ còn 40.000 điểm. Các thứ hạng còn lại không có sự thay đổi vị trí. 

15:30 - Đội Myanmar lọt Top 5 bảng xếp hạng

Quý độc giả lưu ý, Ban tổ chức đã cấu hình hệ thống chỉ cho phép các IP nội bộ truy cập bảng điểm sau sự cố đóng băng. Tuy nhiên, Tạp chí An toàn thông tin sẽ đồng hành cùng sự kiện để thông tin tới quý độc giả diễn biến nhanh, chính xác nhất. 

Cuộc thi đã trải qua vòng 15, Myanmar là đội nước ngoài đầu tiên lọt Top 5 bảng xếp hạng. Bằng việc sử dụng [ratio] tấn công các đội ADSL, ISITDTU2 và JWT trong vòng 14. Các đội Lào, Thái Lan, Malaysia và Singapore vẫn liên tục hứng chịu các cuộc tấn công. Bốn đội thi đều chưa khai thác thành công dịch vụ nào.

14:50 - Sự cố đóng băng bảng điểm

Theo thông báo từ Ban tổ chức, việc theo dõi xếp hạng của các đội tạm thời bị gián đoạn. Đồng nghĩa với việc, các đội thi không thể theo dõi việc các dịch vụ trên máy chủ của mình bị tấn công. Trong thời gian này, các đội cần rà soát lại rule của proxy và giải các jeopardy để tích luỹ thêm điểm số. 
 

Đội thi KMA PeBois tham dự vòng Chung khảo

Với vai trò là Trưởng đoàn của đội Học viện Kỹ thuật mật mã, ông Phạm Minh Thuấn cho biết, Học viện Kỹ thuật mật mã đã tham gia cuộc thi Sinh viên với ATTT từ những năm đầu tiên. Điều này giúp thầy, trò học viện có thêm các kinh nghiệm. Năm nay, cuộc thi có sự góp mặt của một số đội nước ngoài, nên công tác chuẩn bị của học viện được công phu hơn. Ngoài các nội dung tấn công, jeorapady, đội thi còn được luyện tập thêm về các kỹ năng phòng thủ hệ thống. 

Đánh giá về cuộc thi, ông Thuấn cho rằng cuộc thi không chỉ mang tính chất động viên tinh thần mà còn là một sân chơi bổ ích, giúp các bạn sinh viên vừa giao lưu vừa học hỏi được các kỹ năng về ATTT một cách hiệu quả. Tuy nhiên, ông cũng đề xuất, Ban tổ chức cần nâng cao hơn nữa chất lượng cuộc thi, thông qua việc: củng cố hạ tầng mạng, công tác ra đề thi, phổ biến đề thi... để các đội thi có thể chủ động hơn nữa. Bên cạnh đó, cuộc thi cần nâng cao giá trị giải thưởng để khích lệ động viên tinh thần các đội tham gia. 

14:30 - ISITDTU từng bước rút ngắn khoảng cách

Theo đánh giá của các chuyên gia trước cuộc thi, Top 3 sẽ là cuộc tranh tài của các đội đến từ Đại học Công nghệ (Just ∫du It!), Đại học Bách khoa Hà Nội (Nupakachi) và Học viện kỹ thuật mật mã (KMA PeBois). 

Rất bất ngờ, đội thi ISITDTU đến từ Đại học Duy Tân đã bám trụ vị trí thứ 3 suốt 4 tiếng đầu của cuộc thi. Chỉ với dịch vụ {vuln_vm}, ISITDTU đã đi tấn công 5 đội Thailan, Singapore, JWT, ADSL và KMA PeBois. Đây quả thật là chiến lược đúng đắn để các đội khác học tập.

Toàn cảnh vòng Chung khảo

14:15 - Just ∫du It! gia tăng cách biệt

Trải qua 9 vòng thi, Just ∫du It! đã nâng điểm số lên 94.840 điểm, gia tăng cách biệt với đội thứ hai gần 40.000 điểm. Hiện chỉ có 2/5 dịch vụ được các đội khai thác thành công để tấn công các đội khác, đó là [vuln_vm] và [ratio].

13:45 - Vòng 7: Chưa có đội thi quốc tế nào tấn công thành công

Đội thi đến từ Singapore tham dự vòng thi Chung khảo

Phỏng vấn trưởng đoàn đội thi đến từ Singapore, ông chia sẻ: Mặc dù, đội tuyển Singapore đã từng tham dự rất nhiều cuộc thi về ATTT, nhưng đây là lần đầu tiên đội tham gia cuộc thi tại Việt Nam. Chúng tôi cảm thấy rất vui và vinh dự khi được mời tham dự cuộc thi này. Vì thế, đội chúng tôi cũng đã có sự chuẩn bị khá kỹ càng. Chúng tôi đánh giá công tác chuẩn bị của nước chủ nhà là khá tốt. Cuộc thi là cơ hội để chúng tôi tham gia và học hỏi thêm nhiều kỹ năng về ATTT.

13:30 - Cuộc rượt đuổi thứ hạng trở nên náo nhiệt

Có vẻ như sau 6 vòng của cuộc thi, các đội đã quen với cách thi vừa tấn công vừa phòng thủ. Khi khai thác thành công dịch vụ, song song với việc xây dựng công cụ để tấn công dịch vụ máy chủ đội bạn thì cần phải cập nhật proxy để cập nhật hệ thống phòng thủ. Các thao tác lọc lưu lượng truy cập, tạo lưu lượng lớn gây ra hình thức tấn công từ chối dịch vụ... nếu phát hiện sẽ bị Ban tổ chức tước quyền thi đấu. 

Top  8 đội thi tại vòng 7

Phỏng vấn trước cuộc thi, Đào Tuấn Linh, đội trưởng đội Just ∫du It!, Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội (Quán quân vòng thi Sơ khảo Sinh viên với An toàn thông tin 2 năm liên tiếp) chia sẻ: Đây thực sự là một sân chơi bổ ích cho sinh viên. Thông qua cuộc thi, bọn em có cơ hội trao đổi, học hỏi kỹ năng lẫn nhau, không chỉ với các bạn sinh viên trong nước mà cả các bạn sinh viên nước ngoài. Cuộc thi cũng giúp em có thêm nhiều kinh nghiệm thực tiễn quý báu, củng cố hành trang để sẵn sàng thực tập và làm việc ở các công ty/ doanh nghiệp.

Đội Just ∫du It! tham dự vòng Chung khảo

Bước vào vòng Chung khảo khi có cơ hội được thi đấu với các đội quốc tế trong khu vực ASEAN, đội chúng em đã chuẩn bị tâm lý thi đấu thật tốt, với tinh thần vừa thi đấu vừa học hỏi. 3/4 thành viên trong đội đều đã từng tham gia các giải thi quốc tế tại Nga, Thụy Sĩ, Đài Loan, Trung Quốc, Thái Lan... Điều này cũng giúp đội tự tin hơn. Vòng Chung khảo được diễn ra theo hình thức tấn công và phòng thủ nên sẽ hơi khác cuộc thi dạng jeopardy tại vòng Sơ khảo. Just ∫du It! cũng đã thiết lập sẵn một số kịch bản ứng biến trong các trường hợp bị tấn công và các công cụ phòng thủ cần thiết. 

13:15 - Just ∫du It! ghi những điểm số đầu tiên

Tại vòng 6, Just ∫du It! đã vươn lên dẫn đầu bảng với 49.620 điểm, cách biệt 10.000 điểm với đội xếp thứ 2 là Nupakachi. Điểm số của các đội được thay đổi liên tục ở mỗi vòng thi. Trong thời gian rất ngắn, Just ∫du It! đã khai thác thành công dịch vụ [vuln_vm] và sử dụng để tấn công đội ISITDTU2, Nupakachi.  

12:30 - Thêm 3 jeopardy cho đề thi

Khá bất ngờ, theo thông báo từ Ban tổ chức, bên cạnh cách tính điểm theo hình thức tấn công và phòng thủ như đã thông báo. Ban tổ chức mở thêm 3 jeopardy với hình thức cướp cờ. Điểm thi của jeopardy sẽ được tính bằng việc giải thành công flag và trọng số thời gian. Cuối cuộc thi, thứ hạng của các đội sẽ được căn cứ trên tổng điểm của hình thức tấn công và phòng phủ và jeopardy. Chi tiết bảng điểm tham khảo tại đây.

12:15 - Kết thúc vòng thứ 3, không có sự thay đổi về thứ hạng

PV: Sau 12 năm tổ chức, Cuộc thi Sinh viên với An toàn thông tin đã được mở rộng ra khu vực ASEAN. Ông có thể cho biết công tác tổ chức có đặc biệt gì so với các năm trước đây?

Ông Vũ Quốc Khánh, Phó Chủ tịch VNISA nhận định, công tác chuẩn bị cho cuộc thi năm nay đặc biệt khó khăn, phức tạp hơn. Thông thường, vòng chung khảo thường quy tụ từ 7 - 10 đội thi xuất sắc trong nước. Năm 2019, tổng số đội thi được nâng lên 17 đội. Điều này đặt gánh nặng lên vấn đề hạ tầng mạng, đề thi, công tác hậu cần... Riêng về hệ thống mạng, đề thi được triển khai theo hình thức tương tác trực tiếp. Vì vậy, số lượng kết nối sẽ gia tăng theo cấp số nhân. Ví dụ, 2 đội thi sẽ có 01 đường kết nối, 4 đội thi là 12 đường... Các luồng truy cập, trang thiết bị máy móc và sự kiểm soát cuộc thi rất phức tạp. Về công tác hậu cần, Ban tổ chức đã chuẩn bị chu đáo nơi nghỉ và hỗ trợ kinh phí di chuyển. 

Hiện tại, các quốc gia thường tổ chức thi theo hình thức cướp cờ (CTF) và xếp hạng theo thời gian giải thành công flag. Tuy nhiên với việc đổi mới này, Ban tổ chức hi vọng, cuộc thi sẽ được nâng cao chất lượng và ngày càng lan tỏa rộng rãi trong khu vực ASEAN và quốc tế.

11:45 - Chưa có dịch vụ nào bị khai thác 

Điều này đồng nghĩa với việc, các đội thi chưa tấn công thành công dịch vụ của đối phương. Tuy nhiên, hệ thống kiểm tra vẫn hoạt động để đánh giá trạng thái của dịch vụ. Vì vậy, sau mỗi vòng, số điểm của các đội vẫn được tăng lên do cộng điểm dịch vụ. 

11:15 - Thông báo chi tiết về thể lệ cuộc thi

Vòng thi Chung khảo Cuộc thi Sinh viên với An toàn thông tin (ATTT) được diễn ra với hình thức tấn công và phòng thủ (Attack and Defence) để tăng tính đối kháng và tương tác giữa các đội, đem lại sự mới lạ, hấp dẫn cho cuộc thi. Theo đó, mỗi đội thi sẽ được cấp một máy chủ cài đặt đầy đủ các dịch vụ (service) cần thiết. Mục tiêu của các đội là tìm và khai thác các lỗ hổng dịch vụ trên máy chủ của đối phương. Khi khai thác thành công, các đội thi sẽ nhận được thông tin cờ (flag) từ các dịch vụ của đội khác. Flag của mỗi thử thách có định dạng SVATTT2019{hash or string} và bị giới hạn về thời gian tồn tại. Các đội được phép sử dụng proxy để ngăn chặn các cuộc tấn công từ đội khác. 

Điểm dự thi của mỗi đội là tổng của 3 loại điểm: 

- Điểm cơ bản: Mỗi đội bắt đầu trò chơi với 10.000 điểm cơ bản.

- Điểm thử thách: Trong mỗi vòng, các dịch vụ sẽ có mặc định 840 điểm. Nếu dịch vụ bị tấn công thành công, các điểm sẽ được chia đều cho các đội giành được flag của dịch vụ này. Nếu không có đội nào tấn công thành công, đội phòng thủ sẽ bảo tồn được điểm số.

- Điểm dịch vụ: Trong mỗi vòng, hệ thống kiểm tra sẽ kiểm tra trạng thái hoạt động/ ngưng trệ của dịch vụ. Nếu dịch vụ hoạt động, đội đó sẽ nhận được 840 điểm. Trong trường hợp ngưng trệ, đội thi sẽ bị trừ 840 điểm.

Tổng số điểm = Điểm cơ bản + (Điểm thử thách + Điểm dịch vụ) * (n) vòng. 

Sơ đồ hệ thống mạng

10: 45 - Một số quy định về cuộc thi

Theo thông báo của Ban tổ chức, vòng Chung khảo sẽ không có kênh hỗ trợ chính thức, mọi thắc mắc sẽ được Ban tổ chức và Ban giám khảo giải đáp trực tiếp. Trong quá trình thi, các đội thi cần tuân thủ nghiêm ngặt các quy định, cụ thể: 

- Nghiêm cấm tấn công từ chối dịch vụ vào hạ tầng của cuộc thi hoặc các đội thi khác; 

- Không thực hiện tấn công vét cạn flag;

- Không chia sẻ các flag/ cách giải/ gợi ý với các đội thi khác hoặc bên ngoài dưới bất kỳ hình thức nào;

- Không sử dụng thiết bị di động trong phòng thi và tự ý kết nối mạng không dây;

- Chỉ được phép rời khỏi vị trí khi được sự đồng ý của Ban giám khảo. 

- Bất kỳ đội chơi nào vi phạm các quy định trên đều có thể bị loại khỏi cuộc thi.

10:30 - Cuộc thi bắt đầu diễn ra

Sau nhiều nỗ lực của Ban tổ chức, cuộc thi đã chính thức được bắt đầu, trễ 2 giờ so với dự kiến. Vòng Chung khảo Cuộc thi Sinh viên với An toàn thông tin ASEAN 2019 có sự tham dự của 17 đội. Trong đó, 12 đội thi xuất sắc nhất của vòng Sơ khảo đến từ Việt Nam và 5 đội thi đến từ nước ngoài. 

Danh sách các đội tham dự vòng Chung khảo

10:00 - Chưa xác định thời gian bắt đầu cuộc thi

Mặc dù đã qua thời gian dự kiến, nhưng cuộc thi vẫn chưa được bắt đầu và Ban tổ chức cũng chưa đưa ra được lý do về vấn đề này. 

8:30 - Thông báo từ Ban tổ chức

Theo thông tin từ Ban tổ chức, cuộc thi sẽ được tiến hành chậm 1 giờ so với thời gian dự kiến. Dự kiến, đúng 9 giờ 30 cuộc thi sẽ bắt đầu. Hiện tại, các thông tin về cách tính điểm, luật chơi vẫn chưa được thông báo tới các đội.