RuCTF 2019 команда ИТМО заняла взяла бронзу

В Екатеринбурге прошло самое крупное всероссийское студенческое соревнование по компьютерной безопасности RuCTF. Приняли участие команды из России, Германии, Швейцарии. ИТМО представляло сразу три команды. Одна из них, [SPbCTF] LCBC, заняла третье место.

Capture the Flag (СTF) — соревнования по компьютерной безопасности. Команды решают разнообразные задачи, обусловленные форматом. Некоторые проводятся в концепции Attack-Defense: участники получают одинаковые серверы с уязвимыми сервисами – на них жюри посылает информацию, так называемые «флаги». Необходимо выявить эти уязвимости на своем сервере и устранить их. Награда – баллы (в том числе и за краденные «флаги» соперников).

Jeopardy, альтернативный концепт, соревнование на скорость. Продолжительность: от нескольких часов до нескольких дней. Темы: администрирование, криптография, нахождение веб-уязвимостей и другие. Количество призовых баллов зависит от сложности задачи. В некотором роде Jeopardy «чище», чем Attack-Defense, спортивнее.

CTF появился в 1996 году на DEF CON (хакерская конференция в Лас-Вегасе). В 2018 году по миру было проведено уже 152 соревнований. Каждый выходные проходят открытые онлайн-мероприятия. На портале CTFtime публикуется информация обо всех ивентах.

RuCTF проходило уже в 13-й раз. Отборочным этапом к нему традиционно служит онлайн-соревнование RuCTFE (тот же формат Attack-Defense). Первые 25 команд из сотен участвующих приглашаются на RuCTF в Екатеринбург (он ограничен девятью часами).

Золото в этом году у Tower of Hanoi из вуза Politecnico di Milano (Италия, Милан). Серебро – Shadow Servants (НИУ ВШЭ, Москва). Бронза – [SPbCTF] LCBC (Университет ИТМО, Санкт-Петербург). 

Лидер [SPbCTF] LCBC – Влад Росков, магистрант факультета безопасности информационных технологий (БИТ) Университета ИТМО и участник CTF с 2009 года: «Секрет победы: как можно быстрее атаковать чужие уязвимости и закрывать собственные, используя знания, полученные на тренировках». В концепции Attack-Defense важны как опыт, так и заготовки. Соревнования идут восемь часов, на выявление и нивелирование уязвимости уходит примерно полтора. На шесть сервисов приходится по несколько ошибок. Здесь и вступают заготовки (как взаимодействовать с веб-сервисами, использовать криптографические примитивы и прочее).

Иногда и заготовки не спасают. Пример: команда из Италии, закончившая на 4-й строчке,  перенаправляла трафик со своего сервера соперникам, и задействовать уязвимость на её сервере не вышло. В такой ситуации могут быть полезны только непредсказуемые приёмы.

Важно уметь быстро идентифицировать атаку и уметь её применять против других. CTF – это хакерство и спорт: нужно иметь гибкий ум и «военную» хитрость. Выигрыши в этом контесте серьёзно повышают шанс получения хорошей должности в области практической информационной безопасности.  

Существует сообщество SPbCTF, которое помогает в отработке навыков новичкам. Встречи проходят при поддержке факультета БИТ. Влад Росков из [SPbCTF] LCBC выполняет роль наставника: «Про соревнования по программированию, на которых студенты ИТМО занимают высокие места, детям рассказывают еще в школе. Существуют отдельные школьные олимпиады по программированию, о которых ребятам говорят учителя информатики. В моей школе была, например, собственная локальная олимпиада. А про CTF, соревнования по хакерству, никто не говорит. Чтобы исправить это, мы начали организовывать собственные мероприятия. Уже на протяжении трех лет мы продвигаем их среди студентов из самых разных вузов. Прошлой осенью мы поставили цель — за два месяца подготовить с нуля как можно больше команд, чтобы они прошли на RuCTF. Поэтому мы тренировались в ИТМО каждое воскресенье, собирали желающих со всего города (изначально пришло чуть больше 200 человек, а к концу осталось 80) и проводили соревнования».

Другой участник [SPbCTF] LCBC Илья Глебов – один из первых в программе ITMO.STARS, дающей самым мотивированным абитуриентам шанс поступить в Университет ИТМО (в пику количеству баллов ЕГЭ), выявил уязвимость соцсети «ВКонтакте» и поступил на образовательную программу «Технологии защиты информации» факультета БИТ. 

Декан факультета безопасности информационных технологий Данил Заколдаев: «Факультет БИТ считает важной составляющей образовательного процесса оттачивание практических навыков у студентов, поэтому всячески поддерживает сообщество SPbCTF. Особенно радует, что по результатам RuCTF вторая и третья команды, также представлявшие Университет ИТМО, оказались в десятке сильнейших, что показывает общий высокий уровень подготовки ребят. В ближайших планах факультета БИТ — усиливать развитие компетенций, необходимых для состязаний в области компьютерной безопасности у студентов ИТМО путем перехода от факультативной подготовки к обязательной (по некоторым специализациям)».  

[SPbCTF] LCBC планирует новые тренировки по спортивному хакингу. Приглашаются все желающие, но важно уже уметь писать код на любом удобном языке и обладать «хакерской смекалкой» — пониманием, как система работает и видоизменяется под влиянием на неё извне.  

Регистрация на тренировки уже открыта. Подробности можно узнать по ссылке.

08.05.2019

Смотрите также:

12.07.2019

На базе пермского Политеха впервые прошли онлайн-соревнования по ИБ

Кафедра «Автоматика и телемеханика» Пермского Политеха уже более 15 лет готовит специалистов по информационной безопасности. Студенты этого направления участвуют в научно-исследовательской работе, выступают на международных конференциях и совершенствуются в технологии защиты информации.

10.07.2019

Rusbase совместно с Russian Hackers проведет хакатон Hack.Moscow v3.0

25-27 октября в Москве пройдет Hack.Moscow v3.0, который станет крупнейшим международным хакатоном столицы.

08.07.2019

«Кибервызов»: «Ростелеком» предлагает студентам подняться на новый уровень

«Ростелеком» и его дочерняя компания «Ростелеком-Солар» проведут для студентов вузов всероссийские онлайн-соревнования по информационной безопасности «Кибервызов: Новый уровень».

04.07.2019

В России проведут конкурс для студентов «Навигационный Резерв»

Ассоциация разработчиков, производителей и потребителей оборудования и приложений на основе глобальных навигационных спутниковых систем «ГЛОНАСС/ГНСС-Форум» совместно с журналом «Вестник ГЛОНАСС» в целях формирования у студентов мотивации к профессиональному росту и совершенствованию компетенций проводит конкурс выпускных квалификационных работ (ВКР).

04.07.2019

Кто хочет стать кибердетективом?

У вас есть шанс научиться раскрывать компьютерные преступления.