Студенты кафедры ЗСС в финале соревнований — YauzaCTF-2019

CTF (Capture the flag) — это командная игра, главной целью которой является захват «флага» у соперника. Формат Сapture the flag может использоваться и в пейнтболе, и среди ролевиков, и в компьютерных играх. В области компьютерной безопасности тоже есть своё понятие CTF. Соревнования формата CTF могут проходить удалённо (в сети) и очно. В первом случае команды соревнуются через интернет, находясь в разных точках мира. Такие соревнования чаще всего длятся больше суток в формате нон-стоп. На очных соревнованиях команды собираются в одном месте каждая за своим столом. Такие соревнования длятся семь — восемь часов, а то и больше. Часто практикуется совмещение форматов: например, отборочные этапы на некоторые СTF-соревнования проходят в сети, а финал — очно в городе организаторов соревнований. Победа в отборочном туре онлайн даёт команде право участвовать на очном этапе соревнований.
12 мая 2019 закончился отборочный онлайн-этап первых крупных CTF-соревнований команды SFT0 — YauzaCTF-2019. В данном туре могли принять участие любые команды, в составе которых было от 3 до 7 человек. Форматом был tasked-based. Цель данного конкурса — выявление лучших студенческих CTF-команд России, обучение навыкам командного взаимодействия при решении задач повышенной сложности из области информационной безопасности и программирования, формирование у участников системно-целостного видения проблем обеспечения информационной безопасности, ориентация участников на трудоустройство в сфере инфо-коммуникационных технологий и информационной безопасности.

52525

На заочный этап зарегистрировалось более 200 команд, что составило более 600 участников со всего мира: Индии, Румынии, США, России, Японии, Вьетнама и Турции. Соревнования так же предполагали очный финал, который прошел в Москве в главном учебном корпусе МГТУ им. Баумана 12 мая. Категории представленные в YauzaCTF 2019: web, reverse, pwn, forensics, crypto, stegano, recon. Длительность финала – 6 часов. Участникам предоставился набор заданий, ответы на которые необходимо отправить на сервер с проверяющей системой. Ответом является “флаг” – набор символов или фраза. Каждое задание оценивается разным количеством очков в зависимости от его сложности. На данный очный этап прошли Top-15 команд. В числе финалистов вошла команда из СПбГУТ под названием «doubV» состоящая из двух студентов 3 курса кафедры ЗСС (Лунин Владислав и Коротков Владислав).

252525

Финал состоял из большого количества заданий самых разных категорий, таких как вэб, пвн, реверс, криптография, форензика, стеганография, а также осинт.
Вначале мероприятий было рассказано, как решались реверс таски на онлайн туре YauzaCTF2019, и было решение тасков на recon и stegano. Приглашенный гость Александр Маковский из команды МГТУ им. Баумана vr3m3nny3_7rudn0571, рассказал о решении реверс-таска «So much pollution 1»!  Были показаны таски связанные с уязвимостью XXE с разбором «экзотических» вариантов эксплуатации. Также проводилась динамическая работа с инструментами Frida, Xposed для Android-приложений.

Победу в соревнованиях одержала сборная команда из крупнейших российских CTF-команд ‘Kappa” представлявшая университет ИТМО. Нашей команде пришлось противостоять более опытным и многочисленным командам, среди которых были не только представители Московских вузов, но и представители других университетов других стран. По возрасту наша команда была одной из самых молодых, в то время как в командах соперников были уже опытные магистры и аспиранты.

Участники из СПбГУТ достойно выступили на соревнованиях 12 мая, дополнив успехи СПбГУТ по участию в соревнованиях CTF.
Лучшими из которых являлись 3-го места по северо-западному сектору соревнований и 1-ое и 2-ое место в соревнованиях CTF прошедших на базе СПбГУТ. Там не менее, команда студентов из кафедры ЗСС «doubV» в общей турнирной таблице YauzaCTF 2019 Quals имеет 22 место среди 195 участников с рейтинговыми очками 9374, что является самым высоким показателем за последнее время среди команд из СПбГУТ (ссылка — https://ctftime.org/event/784).

25252

В каждом регионе РФ CTF отличается набором заданий, способом подготовки и типом проведения соревнований. Например, FarEastCTF ― это первые на Дальнем Востоке межрегиональные открытые командные соревнования в области информационной безопасности формата CTF для школьников и студентов. Проходят в два этапа: отборочный онлайн-тур в формате task-based и очный финал, который проводится в Хабаровске на площадке Тихоокеанского государственного университета. Межвузовские соревнования по информационной безопасности AltayCTF в г. Барнауле, Алтайский край. Кроме того, отдельно проводится школьный этап соревнований AltayCTF School. Всероссийский конкурс по практической информационной безопасности KubanCTF впервые был проведен в мае 2017 года в Краснодаре. Формат соревнований — task-based CTF. OmCTF – региональные соревнования в области информационной безопасности в Омске. В первый раз соревнования OmCTF состоялись 18 апреля 2015 в Омском государственном техническом университете. В них участвовали команды из 5 омских вузов, а также CTF-команда EpicTeam из НИЯУ МИФИ (г. Москва), которая соревновалась вне зачёта дистанционно. RuCTF проводится по классическим правилам CTF. Команды получают идентичные серверы с набором уязвимых сервисов, на которые жюри периодически посылает приватную информацию — флаги. Задача каждой команды заключается в том, чтобы найти уязвимости, устранить их на своем сервере и воспользоваться ими для получения флагов у соперников. M*CTF — межвузовские командные соревнования в области информационной безопасности для студентов московских вузов. Дата и место первого соревнования — 20 декабря 2014 года, Московский государственный университет приборостроения и информатики. В 2016 году местом проведения стал МТУСИ (Московский технический университет связи и информатики). В этом же году на M*CTF провели городские школьные соревнования в формате task-based. Студенческий финал M*CTF проходил в формате attack-defense.

В настоящее время студенты СПбГУТ регулярно тренируются для участия в соревнованиях подобного типа на факультативах и тренингах в области хакинга в университете ИТМО. Все занятия проходят в рамках CTF в Петербурге (SPbCTF) — открытое независимое сообщество цтферов в Питере. Мы проводим еженедельные семинары-тренировки по спортивному хакингу для всех желающих (Регистрация — https://goo.gl/8MmIzZ ). По специфике нашего региона соревнования бывают двух видов:
1. Тасковые (по-английски их называют Jeopardy) — командам дают набор тасков, в которых флаг нужно расшифровать, получить из трафика, выудить из базы сайта или как-то ещё достать с уязвимой системы. Таких соревнований больше.
2. Классические (Attack-defense) — в них жюри во время игры кладёт флаги на систему, которую защищает команда, а участникам нужно украсть как можно больше чужих флагов и не дать себя взломать соперникам, которые будут пытаться украсть флаги у них.
Каждую неделю участники собираются на удобной площадке города (сейчас это ИТМО). Матёрые игроки в CTF с опытом по 10 лет (из LC↯BC, SiBears, PeterPen, Yozik) рассказывают про CTF-соревнования, делятся опытом, показывают хакерские приёмы для решения задач и помогают прокачиваться в практической безопасности. Также на базе кафедре ЗСС регулярно проводит факультатив для студентов в группу по подготовки в участию в соревнованиях по системе CTF Гельфанд А.М.. Запись на следующий семестр уже идет в личных кабинетах студентов СПбГУТ.