2023 год завершился Всероссийскими соревнованиями по информационной безопасности "Кубок CTF России". Они проводятся в 7-й раз Ассоциацией руководителей служб информационной безопасности (АРСИБ), Всероссийским общественным движением наставников детей и молодежи "Наставники России" и Фондом "Сколково".
VII Кубок CTF России вошел в официальный календарь соревнований Федерации спортивного программирования в дисциплине "Системы информационной безопасности".
В этом году было много нововведений: о решениях Оргкомитета подробно рассказываем ниже. Команды со всех уголков России, а также приглашенные иностранные гости собрались для того, чтобы выявить сразу 3 самых сильных CTF-команды!
География соревнований
Одно из нововведений – иностранные команды смогли участвовать в полноценном зачете. На прошлом Кубке они играли в гостевом формате.
В этом году зарегистрировались 511 команд из 7 стран мира: России, Бразилии, Беларуси, Казахстана, Киргизии, Монголии и Узбекистана. Из них 249 команд имели хотя бы один решенный таск на момент подведения итогов отборочного этапа.
Участники представляли 112 вузов, 54 СПО, 150 школ и один центр дополнительного образования.
Легенда
CTF соревнования — это не только задачи, но и история, погружающая с самых первых строк. Легенда описывает ситуацию или проблему, возникающую перед участниками. Она содержит сюжетные детали: злодеев, их цели и методы атаки, для борьбы с которыми нужно решить как можно больше тасков. Сюжетная история играет важную роль в соревнованиях: от создания атмосферы и интереса, до мотивации участников путем создания интриг и задач, которые им предстоит выполнить.
Примечательно, что в этом году визуализацией легенды стала манга (японские комиксы). Посмотреть ее можно тут.
"2196 год.
30 лет назад экономическая нестабильность, вооруженные столкновения и загрязнение окружающей среды привели к страшной эпидемии и поставили под вопрос само существование планеты Metra Veehkim и ее жителей. Когда казалось, что надежды уже нет, на помощь пришли "Арбалеты Сибири". Компания внедрила собственную технологию по переработке мусора и вторсырья, которыми была переполнена планета, для производства уникального топлива – Synthetix.
Экономика планеты Metra Veehkim стремительно восстанавливалась, а Synthetix стал основным ресурсом и источником энергии. Поговаривали, что "Арбалеты Сибири" когда-то уже пытались подчинить себе планету Kzland-52, где корпорация также производила Synthetix. Чтобы отвести от себя подозрения, "Арбалеты" предложили ввести в систему управления планетой Megalith – мощный искусственный интеллект, способный обеспечить стабильную и эффективную работу. Предполагалось, что Megalith минимизирует человеческий фактор, и такая мера точно убережет от соблазна. Результаты оказались настолько ошеломляющими, что Megalith внедрили даже в систему климатического контроля Metra Veehkim.
После трех десятилетий эйфории от возрожденной экономики жители начали подозревать, что Корпорация дала не только новые возможности, но и, вопреки своим обещаниям, стремилась к полному контролю над планетой. Разумеется, любые попытки жителей противостоять подавлялись со всей жестокостью.
Прикрываясь рекомендациями Megalith, Корпорация снижала расходы на систему климатического контроля, перенаправляя потоки Synthetix для торговли с Землей. По мере падения температуры Metra Veehkim покрывалась льдом. Некогда пышная и полная жизни, планета стала олицетворением апокалипсиса, где на смену бурной и цветущей жизни пришла вечная мерзлота. Люди перестали выходить из убежищ без острой необходимости: на улице – минус 60. Заледеневшая почва не дает урожая, а запасы продовольствия на исходе. Восстановление климатического контроля требует все больших объемов топлива. Все запасы Synthetix – под контролем "Арбалетов Сибири".
Целых 30 лет понадобилось для восстановления планеты и достойного образа жизни населения, и всего 3 – чтобы загнать людей в убежища и вновь заставить бороться за выживание. На улицах замерзших городов видны только машины…".
Формат
Еще одно важное нововведение – номинаций стало больше: участники играли в Академическом, Школьном и Смешанном зачетах. Благодаря этому количество команд на очных этапах стало больше в 3 раза!
Отборочный этап соревнований состоялся 28-29 октября online в формате task-based. По итогам лучшие команды были приглашены на полуфинал и финал, которые проходили очно 8-9 декабря на базе инновационного центра "Сколково".
В этом году Кубок также получился инновационным. Организаторы решили расширить критерии участия и увеличить число команд в очных этапах с 10 до 30, организовав 3 зачета: Академический, Школьный и Смешанный.
В Академическом зачете принимали участие студенты вузов и учащиеся СПО, Школьный зачет подошел для учащихся общеобразовательных организаций, а вот в Смешанном зачете команды состояли из разных возрастных групп (не обучающиеся и в возрасте до 25 лет), что способствовало обмену опытом и знаниями между участниками. Такое инновационное решение организаторов также позволило уже опытным школьникам объединиться со студентами и попробовать себя в формате Attack/Defense.
Как упоминали выше, впервые в официальный зачет были допущены иностранные команды. Участники, проживающие за пределами Российской Федерации, могли принять участие в Смешанном зачете и получить приглашение на полуфинал.
Разработчики подготовили для участников отборочного этапа 24 задания, а также 3 задания было в отдельной категории Positive Tasks от специального партнера мероприятия – компании Positive Technologies. Сотрудники «Позитивов» продемонстрировали, с какими задачами им приходится сталкиваться каждый день, а заодно пришли не с пустыми руками: победители каждого из трех зачетов отборочного тура получили билеты на Standoff, а 1-3 места, решившие таски от PT вне зависимости от зачета, получили возможность принять участие в семинаре "PT Bughunter".
По итогам отборочного этапа турнирная таблица выглядела так:
8 декабря состоялся финал у Школьных команд, а также полуфиналы в Академическом и Смешанном зачетах.
Разработчики приготовили задания, которые требовали от участников креативного и логического мышления, а порой и умения рисковать. Командам Школьного зачета пришлось столкнуться с новым для них форматом – Casino. Его ключевое отличие – невозможность вернуться к прошлому таску: задачу можно либо решить, либо пропустить безвозвратно. Это добавило сложности – некоторые команды потратили много времени на решение, которое так и не принесло флаг.
Несмотря на все сложности, многие участники быстро освоились в новом формате, а некоторые даже придумали наиболее эффективные способы решения задач.
Для Casino было подготовлено 15 тасков, которые различались по уровню сложности и категориям – 2 задания на криптографию, 3 на pwn, 4 на reverse, 3 на web, и еще 3 таска misc, которые содержали в себе сразу несколько категорий.
Больше всего решений было у таска Mikheev Holdings – 8 из 10 команд успешно справились с этой задачей, а вот остальные оказались намного труднее. В конце дня у команды "Енотики" оказалось наибольшее количество решенных заданий, а именно 8: Mikheev Holdings, someone12469, Secret Message, Formatter, Old Cipher, Embedded In Oil, FlagBoard, Grek Ilya. Грамотный подход к решению и хорошая командная работа принесли участникам безоговорочную победу в Школьном зачете.
В то время как школьные команды противостояли "Арбалетам Сибири" в Casino, остальные участники столкнулись с задачами в формате Attack/Defense.
Командам обоих зачетов были представлены 4 сервиса, содержащие различные уязвимости: explorers, oilmarket, bluwal, neftetochka. Больше всего решений было у сервиса explorers – 18 , второе место ушло сервису neftetochka, а самыми сложными оказались oilmarket и bluwal.
Отдельно отметим, что в полуфинале участвовали представители Казахстана. В прошлом году иностранные участники приезжали в качестве гостей, но на этот раз, благодаря увеличению количества номинаций, играли в официальном Смешанном зачете.
Участники из команды cR4.sh смогли набрать наибольшее количество баллов и стали лидерами турнирной таблицы полуфинала.
По итогам первого дня определился победитель школьного зачёта – команда "Енотики", а в финал, который состоялся на следующий день, вышли команды SPRUSH и Drovosec в Смешанном зачете, cR4.sh и N0N@me13 – в Академическом.
Второй день оказался еще более интересным. Финал Академического и Смешанного зачетов представлял из себя баттл в формате игры-платформера с 3 уровнями, каждый из которых содержал в себе несколько задач. Участники изучали код игры, чтобы найти уязвимость, а после написать читы – иначе пройти уровень было невозможно. За каждую решенную задачу участники получали предметы, которые приближали команду на шаг к победе.
К концу Смешанного этапа обе команды собрали одинаковое количество предметов, поэтому жюри пришлось сравнить время их получения.
Суммарное время решения:
SPRUSH: 7h15m6.590657s
drovosec: 8h45m1.999945s
Сумма финишей раундов:
SPRUSH: 3h45m2.126023s
drovosec: 5h34m20.326173s
Получение последних 3-х предметов:
SPRUSH: 2h9m13.453617s
drovosec: 5h5m26.591557s
Изучив эти данные, жюри и разработчики пришли к единогласному мнению и назвали победителя. Им стала команда SPRUSH.
По итогам двух дней соревнований победителями VII Кубка CTF стали:
Школьный зачет: енотики
Академический зачет: N0N@me13
Смешанный зачет: SPRUSH
Визуализация
Традиционно мы стремимся показать суть происходящего на площадке не только участникам, но и наблюдателям. Наша визуализация таскового отборочного этапа стала первой в мире. Также в соответствии с легендой были созданы реальные образы полуфинального и финального этапов. Изображения выполнены в 3D-формате с разрешением 4К. Решение каждой задачи на отборочном этапе приближало участников к главной цели – зажиганию маяка.
Дни соревнований
Несмотря на то, что в финале участвовало всего 4 команды, последний день соревнований оказался не менее насыщенным.
На площадке располагались стенды партнеров. Там участники и гости соревнований могли узнать про стажировки, оставить резюме и попасть в кадровый резерв крупных компаний, пройти тестовое собеседование, а также получить памятные сувениры.
Чтобы гости финала не скучали в ожидании результатов, наши технические специалисты подготовили задачи в формате "Умный Дом".
Идея "Умного Дома" очень схожа с обычным форматом CTF-соревнований, но с одним отличием – здесь не было флагов. Все взаимодействие происходило с "железом": мог загореться сигнальный маяк, а мог включиться вентилятор.
При успешном решении участники активировали один из элементов системы, которая находилась на площадке. Результаты видели все в зале! Участников, набравших наибольшее количество баллов, ждали уникальные футболки с маскотом "Кубка CTF России".
Пока участники первого дня изучали стенды партнеров, искали уязвимости в системе и исправляли баги "Умного Дома", финалисты вовсю сражались за право стать победителем и забрать себе один из кубков!
Соревнования выдались напряженными, но очень интересными и запоминающимися. Организаторы долго и упорно готовили площадку и задания для всех этапов, партнеры продумывали свои стенды и памятные призы, а участники в свою очередь достойно себя проявили. Они показали свои навыки в области кибербезопасности, умения работать в команде и, что самое важное, доказали, что Кубок CTF — это не только решение задач. Кубок CTF — это дружба!
После финала для всех участников организовали афтепати. После долгой и напряженной игры было особенно приятно напоследок собраться всем вместе. Также гостям предлагали сыграть в "Красную Кнопку" – авторский проект Алексея Гуляева: два человека на скорость решали таски. Кто сумел решить большее количество за меньшее время объявлялся победителем.
Призовой фонд
Все участники очных этапов получили фирменные футболки, кружки, сертификат участия и стикеры. Партнеры мероприятия подготовили для ребят фирменный мерч: шопперы, термокружки, зарядные устройства, стикеры, балаклавы и фонарики.
Отдельно стоит рассказать о самом молодом участнике – на момент проведения финала в Школьном зачете ему было 15 лет. Член жюри Илья Дерлыш принял решение отдельно наградить участника и вручил ему персональный подарок. Еще один он решил вручить Елизавете Авдеевой – самой молодой разработчице.
Победители в каждом зачете получили денежный приз в размере 250 000 рублей на команду.
Оргкомитет VII Кубка CTF
Соревнования были проведены на высоком уровне благодаря совместным усилиям организаторов, волонтеров, а также приглашенных гостей. Каждый человек внес свой вклад в успех мероприятия. Такая коллективная работа позволила создать атмосферу сотрудничества и взаимопомощи, что способствовало успешной реализации соревнований, несмотря на мелкие трудности.
В этом году Оргкомитет, отвечающий за стратегическую подготовку к Кубку, вновь возглавил Председатель Совета Директоров ООО «Орион» Виктор Пярин. Виктор Анатольевич также является действительным членом АИН, членом-корреспондентом РАЕН и Академии Криптографии, лауреатом Государственной премии, к.ф-м.н.
В состав Оргкомитета также вошли:
Виктор Минин – Председатель правления АРСИБ;
Владимир Бенгин – Директор Департамента обеспечения кибербезопасности, Министерства цифрового развития, связи, массовых коммуникаций Российской Федерации;
Артем Избаенков – директор по развитию направления кибербезопасности «EdgeCenter»;
Игорь Бирюков – руководитель перспективных проектов в области информационной безопасности, Кластер информационных технологий "Фонд "Сколково";
Юрий Войнов – Начальник Департамента информационных технологий, связи и защиты информации, МВД России;
Александр Будников – управляющий директор по информационной безопасности, ПАО АФК «Система»;
Александр Горбатько – Заместитель руководителя Департамента информационных технологий города Москвы;
Дмитрий Бархатов – председатель Координационного совета, Всероссийского общественного движения наставников детей и молодежи «Наставники России»;
Андрей Масалович – Генеральный директор ООО «Лавина Пульс»;
Владислава Васильева – заместитель директора направления «Безопасная Открытая Инфраструктура», АНО «Цифровая экономика».
Подготовкой к мероприятию занималась проектная команда АРСИБ:
Мануйлова Наталья – организатор;
Соболева Алиса – организатор;
Зеленцова Ольга – организатор;
Логинова Дарья – куратор проекта;
Смирнов Максим – технический директор;
Ширшов Даниил – организатор;
Хакимов Лев – технический специалист;
Емельянов Евгений – технический специалист;
Кузнецов Сергей – организатор;
Рублева Маргарита – web-дизайнер;
Белова Мария – редактор;
Любовь Наливайко – ведущий трансляции;
Владимир Черепанов – ведущий трансляции;
Елизавета Антонова – корреспондент;
Галилея Анри – мангака;
Зеунов Антон – разработчик;
Карабут Борис – Frontend-разработчик;
Шпилев Роман – 3D художник.
Разработкой задач для всех этапов соревнований занимались участники CTF-команды C4T BuT S4D:
Кокорин Всеволод – разработчик;
Михеев Артем – разработчик, тимлид Casino;
Авдеева Елизавета – разработчик;
Покровский Никита – разработчик;
Федотов Иван – разработчик;
Лучкин Вячеслав – разработчик;
Новиков Иван – разработчик, тимлид отборочного этапа;
Никитин Роман – DevOps, тимлид Attack/Defense;
Греков Илья – разработчик, тимлид финала.
Организаторы выражают благодарность Российскому технологическому университету МИРЭА, Финансовому университету при Правительстве РФ и Воронежскому государственному университету за организацию волонтерской помощи.
Жюри
Председателем жюри VII Кубка CTF России выступил Александр Будников – управляющий директор по информационной безопасности, ПАО АФК «Система».
Судейская команда была сформирована из ведущих экспертов в области информационной безопасности:
Владимир Бугров – заместитель начальника Департамента технической защиты информации Главного научно-исследовательского вычислительного центра Управления делами Президента Российской Федерации;
Сергей Волков – начальник отдела информационной безопасности АО «ГОЗНАК»;
Илья Дерлыш – эксперт информационной безопасности ГК "Росатом";
Михаил Кадер – архитектор по информационной безопасности "Positive Technologies";
Андрей Кузнецов – технический директор Национального Киберполигона "Ростелеком-Солар";
Алексей Марков – президент ГК "Эшелон";
Андрей Масалович – генеральный директор ООО "Лавина Пульс";
Сергей Минаков – Академия криптографии Российской Федерации;
Наталья Михайленко – доцент кафедры противодействия преступлениям в сфере ИТТ, к.ю.н., доцент Московского университета МВД России имени В. Я. Кикотя;
Виктор Овчинников – начальник отдела информационной безопасности ООО "М13 ИТ Услуги";
Олеся Лоскутова – заместитель начальника центрального вычислительного центра, Главный информационно-аналитический центр МВД России;
Дмитрий Скляров – руководитель отдела исследований приложений "Positive Technologies";
Григорий Царев – руководитель направления Центра взаимодействия и реагирования Департамента информационной безопасности Банка России.
Партнеры
Генеральный партнер: RDP
Официальные партнеры: Сбер, Газпромбанк
Специальный партнер: Positive Technologies
Партнеры призового фонда: НТЦ “Вулкан”, UserGate
Генеральный информационный партнер: Хакер
Партнеры: Координационный центр доменов .RU/.РФ, компания "202А"
Информационные партнеры: CTF News, VK, Codeby.Net, Global CIO, Эхо Лосей, CyberMedia, IT-Планета, Международная жизнь
Партнер трансляции: VK
Технологические партнеры: EdgeЦентр, C4T BuT S4D
При поддержке: Банк России, Минцифры России, Департамент информационных технологий города Москвы, Министерство науки и высшего образования РФ, Федерация спортивного программирования, Федеральная служба по техническому и экспортному контролю, Министерство просвещения РФ, Министерство внутренних дел РФ, АНО "Цифровая экономика", АО Гознак, Фонд "Сколково", АФК "Система".
Дополнительно
Во время очных этапов шла прямая трансляция. Ведущие обсуждали ход игры и комментировали особо жаркие и интересные моменты. Кроме этого, в эфир выходили представители компаний-партнеров, Оргкомитета, жюри и разработчики.
Отборочный этап VII Кубка CTF России получил высокую оценку на ctftime.org (24,21 балла).
Запись трансляции с полуфинала
Фотографии с соревнований можно посмотреть в группе ВКонтакте.
Задания каждого из этапов располагаются в репозитории:
Отборочный, Этап Casino, Полуфинал, Финал.
Эти соревнования в очередной раз показали, что в области кибербезопасности есть много талантливых и мотивированных специалистов. Кубок CTF России стал символом их усилий и преданности этой важной области.
Сайт: https://ctfcup.ru/
Группа ВК: https://vk.com/ctfcup
