Termos de
participação
Este guia descreve os critérios de elegibilidade, as regras e as condições gerais para participar do CTF da Fluid Attacks.
Requisitos de participação
Elegibilidade
O CTF da Fluid Attacks é uma competição estritamente individual. A Fluid Attacks não permite a formação de equipes nem a colaboração entre os participantes.
Esta competição destina-se exclusivamente a cidadãos ou residentes permanentes de países da América Latina e do Caribe.
Política de contas
Os participantes podem ter apenas uma (1) conta.
A criação de contas alternativas (sockpuppets), contas de teste ou o compartilhamento de contas é proibido e resultará na rejeição imediata de todas as contas associadas.
Inscrição
Cada candidato deve se inscrever no CTF por meio do formulário oficial. Todas as informações fornecidas devem ser completas e verdadeiras.
Os dados de inscrição de cada candidato serão verificados com base em suas informações públicas no LinkedIn. Os participantes devem garantir que seu perfil esteja atualizado e reflita sua situação profissional ou acadêmica atual antes de enviar a inscrição.
Se o formulário do CTF impedir que um candidato insira seu perfil do LinkedIn porque ele já está em uso por outra pessoa, deverá notificar a Fluid Attacks pelo e-mail [email protected].
Se o candidato for residente permanente de um país da América Latina ou do Caribe, mas seu perfil do LinkedIn não refletir isso, deverá enviar um comprovante de residência para o e-mail indicado acima.
Revisão e aprovação
A equipe organizadora da Fluid Attacks analisa as inscrições. A aprovação não é automática e depende do cumprimento dos requisitos de elegibilidade e da capacidade disponível.
Após a aprovação ou rejeição da inscrição, a Fluid Attacks notificará o candidato por e-mail.
Critérios de rejeição
Uma inscrição será automaticamente rejeitada se:
O perfil do LinkedIn fornecido não existir, não tiver conexões ou não apresentar histórico verificável.
O candidato não é cidadão nem residente legal de um país da América Latina ou do Caribe.
As informações são falsas, incompletas ou não correspondem à identidade profissional ou acadêmica no LinkedIn.
O candidato foi banido em uma edição anterior do CTF da Fluid Attacks.
Regras de participação
Durante o CTF, os participantes não devem:
Compartilhar soluções, write-ups, flags ou técnicas com outros participantes (isso só poderá ser feito após o término de pelo menos 48 horas desde o fim do CTF; fazê-lo antes implicará na desclassificação da competição).
Resolver desafios em conjunto com outros participantes ou participar de qualquer forma de colaboração.
Utilizar múltiplas contas ou se passar por outras pessoas.
Enviar flags por força bruta ou automatizar envios em massa.
Atacar a infraestrutura do CTF ou tentar causar um DoS/DDoS.
Sabotar ou interferir no desempenho de outros participantes.
Jogo limpo e penalidades
Os participantes que cometerem qualquer forma de fraude no CTF serão:
Imediatamente desclassificados da competição.
Permanentemente banidos de edições futuras.
Removidos de todos os rankings acumulados: Suas pontuações passadas e atuais deixarão de contar para rankings individuais, de empresa, universidade ou país.
Normas da comunidade
Todos os participantes devem se comportar de forma respeitosa e profissional em todos os momentos; portanto, assédio, discriminação ou qualquer comportamento antiético não é permitido. Isso se aplica a todos os canais de comunicação utilizados durante a competição (Discord, e-mail, plataforma do CTF etc.). Qualquer violação pode resultar em desclassificação imediata e na exclusão permanente de futuras edições.
Uso de ferramentas de IA
O CTF terá dois placares separados: Unrestricted e AI-Free.
Cada participante deve escolher seu modo de jogo durante o registro. Os participantes que inicialmente selecionarem AI-Free poderão mudar para Unrestricted mesmo durante a competição, mas somente até 1 hora antes do CTF terminar. No entanto, os participantes que selecionarem Unrestricted poderão mudar para AI-Free somente até 24 horas antes do CTF começar, enviando um e-mail para [email protected].
Os dois modos de jogo são definidos da seguinte forma:
Unrestricted
Os participantes podem usar ferramentas de IA como quiserem, desde que entendam e consigam reproduzir por conta própria as soluções enviadas, e continuem cumprindo todas as demais regras estabelecidas neste documento. Os participantes neste modo são elegíveis a prêmios.
AI-Free
Os participantes concordam em não usar ferramentas de IA de forma alguma durante a competição. Os participantes neste modo não são elegíveis a prêmios, mas terão seu próprio ranking. Este modo é destinado a pessoas que desejam competir exclusivamente pelos desafios e por seu crescimento profissional.
A Fluid Attacks se reserva o direito de solicitar write-ups técnicos detalhados aos participantes de qualquer um dos placares para verificar seu entendimento técnico, raciocínio e capacidade de reproduzir as soluções enviadas. A não demonstração desse entendimento poderá resultar na desclassificação do CTF.
Rankings e prêmios
Para os rankings corporativos e institucionais, subsidiárias, filiais ou marcas pertencentes ao mesmo grupo empresarial serão agrupadas sob o nome da empresa matriz.
O Fluid Attacks concede prêmios aos participantes que terminarem entre os três primeiros lugares da classificação geral da competição, bem como aos melhores classificados nas categorias AppSec, First Bloods e Sub-26. A seguir, são explicadas essas categorias:
Melhor em AppSec: O participante com a pontuação acumulada mais alta em todos os desafios das categorias Web, Celular e API.
Mais First Bloods: O participante que obtiver o maior número de "first bloods" (um "first blood" é o reconhecimento concedido ao jogador que resolve um desafio antes de todos os outros jogadores).
Melhor em Sub-26: O participante que, tendo 26 anos ou menos no final do ano em que o CTF é realizado, obtiver a pontuação geral mais alta entre pelo menos outros 29 participantes dessa faixa etária (ou seja, este título não será concedido em uma competição com menos de trinta participantes nessa faixa etária).
Em caso de empate em qualquer uma dessas categorias de prêmios, a Fluid Attacks utilizará o tempo que os participantes levaram para concluir os desafios como critério de desempate.
Para validar as pontuações dos vencedores provisórios ao final do CTF, os organizadores apresentarão três desafios selecionados aleatoriamente da competição que esses participantes tenham conseguido resolver. Os três primeiros participantes (também conhecidos como candidatos oficiais) terão 36 horas para enviar relatórios técnicos detalhados de suas soluções. Ao mesmo tempo, os participantes nas 4ª, 5ª e 6ª posições serão notificados de que são candidatos suplentes e também receberão três desafios para validar suas soluções, com o mesmo prazo para a entrega dos relatórios. Cada participante deverá responder corretamente a essas solicitações. A falta de resposta ou respostas incorretas por parte de qualquer um dos candidatos oficiais resultará no seguinte:
O participante em questão será excluído da premiação, o que permitirá que o jogador seguinte na classificação ocupe seu lugar e receba o prêmio (desde que tenha dado as respostas corretas). Se isso ocorrer apenas com o vencedor do primeiro lugar, tanto o segundo quanto o terceiro classificado subirão uma posição.
O próximo participante — um dos candidatos suplentes, fora dos três primeiros, mas o próximo na lista de acordo com sua pontuação — que tiver preenchido e enviado corretamente seu relatório será incluído entre os três primeiros para receber um prêmio.
Cada relatório técnico é avaliado por dois membros da equipe de pesquisa da Fluid Attacks por meio de uma lista de verificação baseada nestes cinco critérios: identificação de vulnerabilidades, cadeia de exploração, artefatos de exploração (scripts e cargas úteis), conhecimento do domínio técnico e rastreabilidade das decisões. Se nenhum dos seis candidatos mencionados responder corretamente aos desafios dentro do tempo estipulado, a Fluid Attacks se absterá de conceder prêmios aos três primeiros colocados de acordo com a pontuação geral. Toda a validação é concluída no prazo de 48 horas após o término do CTF, em conformidade com a política de não divulgação de soluções durante esse período. As decisões tomadas ao concluir o processo de validação são irreversíveis.
A Fluid Attacks entrega os prêmios após analisar e aprovar os relatórios desses desafios finais.
Se um jogador obtiver pontuações que lhe deem direito a dois ou mais prêmios disponíveis, a Fluid Attacks concederá apenas o prêmio de maior valor, permitindo que os demais prêmios sejam entregues aos participantes seguintes nas classificações correspondentes.
Se o vencedor de algum dos prêmios for funcionário da Fluid Attacks, ele receberá apenas o equivalente monetário do prêmio na forma de financiamento para certificações em cibersegurança.
Privacidade de dados
Ao se inscrever, o candidato autoriza a Fluid Attacks a revisar seu perfil público do LinkedIn para fins de análise (por exemplo, para verificar residência na América Latina, emprego atual ou condição de estudante). Esses dados serão utilizados exclusivamente para verificação de elegibilidade, estatísticas da competição e rankings, e não serão vendidos a terceiros.
Problemas técnicos relacionados aos desafios ou à plataforma devem ser reportados por meio do servidor oficial do Discord do CTF.
Para quaisquer outras dúvidas, solicitações ou preocupações, entre em contato pelo e-mail [email protected].
Ao se inscrever e participar, o participante concorda em cumprir todas as regras aqui estabelecidas e em aceitar as consequências do seu descumprimento.
A Fluid Attacks poderá realizar investigações após a competição e desclassificar, retroativamente, participantes que tenham violado qualquer uma das regras mencionadas. Como resultado, os rankings podem ser afetados por essas investigações.
