Осенью 2024 года состоялось международное соревнование BRICS+ Capture The Flag. Организаторами мероприятия выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), Университет ИТМО и ВОД “Наставники России”. Разработкой заданий традиционно занималась команда C4T BuT S4D. Финал мероприятия был приурочен к председательству России в БРИКС.
Турнир проходил в два этапа: открытый отборочный тур для всех желающих команд и финал, в который вышли 15 команд из стран БРИКС и 10 международных команд. Оба этапа проходили онлайн.
Отборочный этап
Квалификационный раунд состоялся 5-6 октября в формате CTF Jeopardy.
Всего на турнире было зарегистрировано 1257 команд из 105 стран, однако с ненулевым результатом соревнование завершили всего 195 команд.
За 24 часа чемпионата участники должны были решить 15 тасков из 5 категорий: веб, криптография, misc, PWN, реверс и 2 задания в формате hack the box, содержащие по 2 подзадания. Команды, которые нашли хотя бы 1 флаг htb-заданий, получали приглашение на специальный ивент от партнёра соревнования, компании Positive Technologies.
Самым лёгким среди них оказался shELFing из категории misc: его решили 173 команды. Самым сложным – задание xoshiro256++ по криптографии, которое не поддалось ни одному участнику.
Интересный факт: в этом году задания были написаны на 13 разных языках программирования: Python, sagemath, Julia, Kotlin, Rust, Go, C, C++, Java, vlang, C#, TypeScript и Ruby, что на 4 языка больше, чем в прошлом.
Скорборд согласно игровому рейтингу:
Страница отборочного этапа BRICS+ CTF на CTFtime – https://ctftime.org/event/2389.
Итоговый состав команд-финалистов согласно квотам по странам:
– BRICS quota:
1. Ganesh – Бразилия
2. HawkSec – Бразилия
3. NE_SPRUSH – Россия
4. dtl – Россия
5. smiley-from-telega – Россия
6. bi0s – Индия
7. infoSecIITR – Индия
8. 0xdeadcode – Индия
9. r3kapig – Китай
10. USTC-Nebula – Китай
11. 0ops – Китай
12. Shadow_Garden – Египет
13. EgyBest – Египет
– International teams:
1. GeramyWontWin
2. Friendly Maltese Citizens
3. Bushwhackers
4. kks
5. Just For The Questions
6. RHT
7. qual3nc3
8. SiBears
9. thehackerscrew
10. The Flat Network Society
11. TRX
Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2024-quals.
Финальный этап
Соревнования проходили 16 ноября онлайн в формате Attack-Defense. Турнир длился 8 часов, в нем приняли участие 20 команд (из 25, прошедших в финальный тур).
Во время соревнования участники решали 4 сервиса:
qrsas – сервис предоставлял возможность декодировать QR-коды и получать их содержимое. При этом, если QR-код вел на ссылку, то можно было запросить контент по этой ссылке. Сервис позволял генерировать ключи доступа к этому API через обращение к специальному микросервису при помощи gRPC. Уязвимость была в том, что функционал для посещения ссылок можно было проэксплуатировать для создания нового токена доступа для чужого аккаунта.
mole_vault– сервис для хранения заметок. Уязвимость – библиотека хранилища добавляет в стандартный хендлер http дебаг-ручку, в которой видно command line.
numbpy – сервис для исполнения python-кода в безопасной среде с подключенной библиотекой на C (аналог numpy), позволяющей работать с матрицами и векторами. Уязвимость – user after free при получении вектора из матрицы, позволяет получить RCE.
simple – простой сервис, позволяющий создавать и просматривать заметки пользователя. Уязвимость – ошибка в реализации sha1, позволяющая получить секретный ключ, имея известный подписанный текст, и SQL-инъекция, доступная только после подделки сессии.
По итогам восьмичасовой борьбы итоговая турнирная таблица выглядела следующим образом:
Лидерами итогового рейтинга стали команды:
● первое место заняла команда Friendly Maltese Citizens,
● серебро за командой NE_SPRUSH из НИЯУ МИФИ,
● бронза досталась команде Bushwhackers из МГУ.
Призовой фонд турнира составил 1 000 000 рублей.
Репозиторий этапа: https://github.com/C4T-BuT-S4D/bricsctf-2024-finals.
Страница финального этапа на CTFtime – https://ctftime.org/event/2521.
Партнеры и спонсоры
Организаторами соревнования выступили Ассоциация руководителей служб информационной безопасности (АРСИБ), Университет ИТМО и ВОД «Наставники России».
Разработкой заданий и инфраструктуры соревнований BRICS+ CTF занималась команда C4T BuT S4D.
Партнерами соревнования выступили: ГК «Астра», Positive Technologies.
Генеральный партнер: ГК «АКВАРИУС».
Генеральный информационный партнер: ИТАР-ТАСС.
ТАСС выпустило ряд публикаций в рамках информационной поддержки проведения международного соревнования BRICS+ CTF:
● https://tass.ru/novosti-partnerov/21952007;
● https://tass.ru/novosti-partnerov/22429409.
При поддержке МИД России, Федерации спортивного программирования.
Социальные сети соревнования:
Сайт: https://brics-ctf.com/
Телеграм-канал: https://web.telegram.org/k/#@bricsplusctf
Ютуб канал: https://youtube.com/@bricsctf?si=CNXpKgdQMwRA5kqd
Организаторы и партнеры:
При поддержке партнеров:
Информационные партнеры и взаимодействие с СМИ: