В 2025 году для школьников и студентов была проведена Тринадцатая Летняя Школа CTF – ежегодный высококлассный интенсив по информационной безопасности, который способствует не только обучению участников профессиональным навыкам, но и развитию коммуникативных способностей и умения работать в команде!
Где еще можно увидеть такую концентрацию экспертов «на душу населения»? Участники Школы, а их было 90 человек, прослушали доклады от 40 экспертов ведущих российских компаний в сфере информационной безопасности, информационных технологий, PR и психологии. Полное погружение в профессию, развитие имеющихся и получение новых навыков, активный отдых, тренинги, мастер-классы, хакатон, технические лабораторные и развлекательная программа позволили молодым специалистам сделать огромный качественный рывок в своем профессиональном и личностном развитии.
Подготовка инфраструктуры школы, задания для лабораторных занятий требуют существенных финансовых вложений. Однако, благодаря нашим партнерам весь учебный процесс предоставляется учащимся совершенно бесплатно. Студенты оплачивают только свое проживание и питание на шикарной территории базы отдыха финансового университета. Но и тут наши партнеры внесли свой вклад Благодаря их грантам 36 студентов смогли принять участие в Тринадцатой Летней школе CTF бесплатно.
Мероприятие проводилось при поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации и Агентства стратегических инициатив.
Как это было:
1. На старте традиционно формируются команды
Первая неделя началась с Хак-квеста, благодаря которому ребята смогли показать свои навыки, познакомиться с другими участниками и проявить себя на групповую сплоченность. Хак-квест ежегодно помогает организаторам определить личностные качества, коммуникативные навыки и эмоциональный интеллект участников для дальнейшего формирования максимально равных по силе итоговых команд. Именно во вновь сформированном составе команде предстоит соревноваться весь дальнейший период Летней Школы.
Хак-квест состоял из двух частей:
«А я точно туда попал?»
Первая часть посвящена знакомству участников: она состоит из активных заданий на коммуникацию и освоением территории проведения Летней школы.
− преодоление «минного» поля в игре «Сапёр»;
− забрасывание мяча в кольцо с помощью покрывала в «Бланкетболе», главным критерием было касаться покрывала всей командой;
− «Верь мне» – каждый участник делился тремя фактами о себе, из которых остальные угадывали какой из них ложный;
− «Кружево» – команды перебирались через паутинку между деревьями, где у каждого из семерых должен был быть собственный путь;
− «333» – участники по кругу считали от 1 до 33, заменяя на свое имя все числа, кратные 3;
− и другие.
«Тепленькая пошла!»
Второй этап состоял из задач технического направления, участники проходили такие точки, как:
- «Это не Ramsay, это Рамзай»
- «Хранители лунных теней»,
- «Шпийон»,
- «Яйцо в утке, утка в ящике»,
- «Анаграмма от бабушки»,
- «Одна буква, но сколько значит»,
- «База»,
- «Воспоминания коммандера».
Проходя технический этап участники смогли побывать в роли связистов, передавая закодированные сообщения, покопаться в устройстве телефонного аппарата и попробовать разгадать шифр из прошлого века.
По итогам Хак-квеста было сформировано 9 команд, каждую из которых уже ожидал заранее подготовленный и прошедший тестирование куратор.
Спикеры и гости
Ежегодно мы приглашаем топовых экспертов отрасли и стремимся предоставить слушателям Летней школы самую актуальную информацию по всем направлениям, чтобы участники смогли получить бесценный опыт становления и активной работы в сфере информационной безопасности.
Более 200 часов обучения и практики помогли участникам погрузиться в мир информационной безопасности, актуальных атак и способов их решения, квантовых технологий, доменной и почтовой адресации, ИИ в вопросах ИБ, криптографии и многого другого.
С каждым годом программа Летней школы все больше развивается, в ней традиционно присутствуют как бессменные спикеры, так и новые. В этом году к участникам приехали:
− Сергей Голованов – Лаборатория Касперского;
− Андрей Масалович – КиберДед;
− Дмитрий Скляров, Ирина Слонкина – Positive Technologies;
− Владимир Черепанов – C4T BuT S4D;
− Вадим Михайлов – КЦ домена .RU/.РФ;
− Павел Кузнецов, Рустэм Хайретдинов – ГК «ГАРДА»;
− Александр Молчанов – Концерн «Калашников»;
− Евгений Соловьев – АО «НСПК»;
− Татьяна Ширяева – психолог и карьерный консультант;
− Александр Трунев – ДИБ ЦБ;
− Алексей Гуляев – ООО «Юзергейт»;
− Григорий Маршалко – ТК 26;
− Алексей Недоря– Russian Research Institute;
− Владимир Педанов – ООО «ТБТ»;
− Дмитрий Соломенников – АО «Аксиом»;
− Герман Наместников, Артём Шелкунов, Алексей Дудырев и Кирилл Петров – Сбер;
− Артур Вишталь – Газпромбанк;
− Дмитрий Муковкин, Надежда Тимофийчук – ГК «ЦФТ»;
− Данила Николаев – Биометрическое общество;
− Рустам Хидиятуллин – АО «Волга»;
− и другие.
Искренне благодарим всех специалистов, посетивших XIII Летнюю школу CTF и поделившихся с участниками своими ценными знаниями и опытом! Именно благодаря вам растёт новое поколение заинтересованных, замотивированных и профессиональных специалистов в сфере информационной безопасности, по-настоящему увлечённых своим делом и способных обеспечить достойную защиту данных!
Кстати, во время проведения Школы спикеры и гости давали интервью команде медиа, во время которых рассказывали о своей деятельности, обсуждали интересные темы и делились впечатлениями о Летней школе CTF. Посмотреть интервью со спикерами и более подробную информацию о Летней школе можно в группе ВК.
Круглый стол АРСИБ
В рамках Летней Школы CTF был проведён круглый стол Ассоциации руководителей служб информационной безопасности. Их главной задачей являлось построение доверительной и эффективной коммуникации между ведущими экспертами в области информационной безопасности и аудиторией.
Специалисты поделились своим опытом и рассказали ребятам о входе в профессию, об актуальности и востребованности специальности сотрудника служб информационной безопасности в нынешнее время, разобрали кейсы и не упустили возможность поделиться несколькими забавными случаями из собственной практики.
Особые гости
В этом году Летнюю школу традиционно посетили особые гости:
Один из них — Дмитрий Агарунов — автор знаменитого журнала конца 90-х годов о компьютерах — Хакер. Дмитрий побеседовал с участниками Школы о своем издании и ответил на все интересующие их вопросы.
Также в качестве гостя Школу посетил Евгений Хасин — временно исполняющий обязанности директора департамента обеспечения кибербезопасности Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Кто однажды был на ЛШ – никогда уже этого не забудет.
В этом году на Летней школе прошел День воспоминаний с выпускниками Школы разных лет, на которой выпускники смогли поделиться яркими историями о своих днях на ЛШ. А Технический директор Школы 2018-2019 годов даже «тряхнул стариной» и провел для участников утреннюю зарядку, в которой ему помогал Чебурашка.
Практическая часть
Практическая часть Летней Школы CTF в 2025 году состояла из ежедневных тасков, интенсивов, мастер-классов и лабораторных.
1. Таск дня — ежедневно на 24 часа участникам выдавались CTF-задачи с широким спектром категорий: OSINT; элементы социальной инженерии; креативные задачи; задачи на внимательность и другие.
2. Умный дом — собранная технической группой машина, состоящая из ряда задач, при решении которых вместо получения привычного флага происходили различные физические действия: срабатывала сигнализация, открывался электронный замок, включался увлажнитель и другие устройства.
3. Хакатон — участникам необходимо было за 36 часов доработать платформу CTFd (разработать автодеплоер, написать новый плагин или же поэкспериментировать с визуальным оформлением). Сложность была в том, что сперва необходимо было разобраться в существующем коде, и только после этого разрабатывать собственную прослойку.
4. Хакатон от UserGate — необходимо было разработать и внедрить пакетный фильтр на предложенную платформу – создать файрвол для анализа и блокировки подозрительного трафика, укрепляя сетевую безопасность в реальном времени.
5. AntiCTF — разработка собственных заданий в формате CTF и последующая четырёхчасовая игра среди всех команд.
6. LastCTF — AntiCTF от участников прошлой Летней школы CTF.
7. Лабораторные работы по Attack-Defence.
8. FlappyBird в усложненной конструкции — в этом году управление полетом птички было реализовано через паяльники, участникам необходимо было замкнуть цепь с помощью самих себя, чтобы кнопка-паяльник заработала и птичка смогла летать.
9. Мастер-классы по 5 направлениям:
− WAF - все про web application firewall и как их обходить;
− IDPS - как обнаружить и предотвратить вторжение;
− Сети – все об устройстве сетей и их протоколах;
− Red and Blue – показ в live режиме, как пентестеры исследуют различные системы, и как SOC помогает исследовать и находить точки проникновения в информационные системы;
− Linux and Devops – работа с ОС Linux и как правильно развертывать приложения.
10. ТрадиционныйAttack-Defence, для которого техническая команда разработала 3 сервиса:
− Grep as a Service – unix утилита, позволяющая искать текст по регулярным выражениям, но в виде веб-сервиса — с возможностью загружать файлы в личное хранилище и искать в них текст.
Уязвимости: SSRF, позволяющий прочитать внутренний файл логов системы, содержащий чувствительную информацию; LFI, позволяющий прочитать файлы, содержащие критически важные переменные среды.
− Ancient AI – запуск предшественника современных LLM (bigram language model) на ОС, соответствующей времени его открытия — DOS. Сверху накрутили современный Web UI на flask.
Уязвимости: command injection в DOS, позволяющая выгрузить env_file, в котором хранится пароль пользователя prest writer_user; использование DES с ключом малой длины — 16 бит, что позволяет брутфорсом подобрать ключ, которым зашифрован флаг.
− DipPic – хранилище изображений a.k.a. Image Stock, предоставляющее доступ к множеству картинок с котами и не только.
Уязвимости: слабая генерация ключа подписки, позволяющая скомпрометировать алгоритм проверки премиум-ключа и бесплатно получить подписку; IDOR на ручке /photo/{photo_id}/file, позволяющий получить доступ к премиум изображениям без подписки; отсутствие проверки авторизации на ручках админ-панели, позволяющее просматривать хранящиеся на сервисе данные – учетные записи пользователей, премиум изображения.
Райтапы на сервисы с A/D: https://github.com/acisoru/letoctf25-ad/tree/main.
11. AntiAD — Attack-Defence, в котором участники играли на самостоятельно разработанных сервисах.
12. Дополнительные таски — таски по различным категориям: криптография, веб-уязвимости, ppc, реверс и другие.
13. Паяльнички — в зависимости от уровня сложности (робот, светодиодный куб, металлодетектор и т.д.) команде выдавался набор для самостоятельной сборки (DIY) определенного типа, задачей было полностью распаять данную конструкцию и продемонстрировать ее работоспособность.
Победители:
За решение практических заданий участники получали баллы по двум зачетам: командный и индивидуальный. На закрытии Тринадцатой Летней школы CTF участники, набравшие наибольшее количество баллов, получили подарки от партнеров Школы.
Личный зачет
1 место – Константин Павлючков, Backbone;
2 место – Ильназ Миркасимов, Backbone;
3 место – Иван Морозов, Backbone.
Командный зачет
1 место – Backbone;
2 место – HTMX;
3 место – Svelte.
Хакатон
1 место – React.
A/D-соревнования
1 место – Svelte.
Anti A/D
1 место – Vue.
AntiCTF
1 место – Backbone.
Яркое завершение интенсива
Погода в этом году радовала не все дни, но это не помешало намеченным планам. Организаторы приложили максимум усилий, чтобы обучение ребят проходило в комфортной среде, были созданы условия не только для получения знаний, но и общения: проводились вечера с настольными играми, дискотека, спортивные игры, игровой бот – «Киллер», традиционный фестиваль красок холи и многое другое.
День флага
Отмечать День флага Российской Федерации стало уже доброй традицией Летней школы CTF! Каждый год День флага отмечается красочно и ярко благодаря краскам холи.
По традиции завершается Летняя школа не только официальным закрытием, но и неофициальным – с песнями под гитару у прощального костра и уже ставшими традицией «обнимашками», где участники говорят друг другу тёплые слова и повязывают ниточки на память.
География участников
Всего для участия в интенсиве было отобрано 90 участников. Они приехали из разных городов, среди которых Биробиджан, Воронеж, Донецк, Железнодорожный, Зеленоград, Казань, Королев, Краснодар, Ленинский г.о., Москва, Новосибирск, Орел, Самара, Санкт-Петербург, Серпухов, Тамбов, Томск и Тюмень.
Список образовательных организаций:
АНО ВО «Центральный университет», ВГУ, ДонГУ, ИТМО, МАИ, МТУСИ, МГТУ им. Н.Э. Баумана, ТОГУ, КубГТУ, НИУ ВШЭ, НИЯУ МИФИ, ПГУТИ, РТУ МИРЭА, СПбПУ, СПбГЭТУ «ЛЭТИ», СПГУ, ТУСУР, ТюмГУ, МИЭМ ВШЭ, КИПФИН, Колледж программирования и кибербезопасности, ГАОУ «Школа №548», ГБОУ №1502, ГБОУ «Вторая Санкт-Петербургская Гимназия», ГБОУ Лицей «Вторая школа», ГБОУ «СОШ Гимназия №116», ГБОУ «Школа №1506», Гимназия №1 ОГУ им. И.С. Тургенева, Державинский лицей, ЛИТ №1533, ГАОУ «Лицей Иннополис», Лицей «НИУ ВШЭ», МАОУ «СОШ №215», МБОУ Лицей №136, ЧУ СОШ «Олимп-Плюс» и Школа имени Маршала В.И. Чуйкова.
Дополнительная информация
В этом году LETOCTFBOT стартовал 2 июня. Ежегодно бот помогает школьникам и студентам оценить уровень собственной подготовки, а также это отличная возможность выиграть путевку на участие в Летней школе CTF совершенно бесплатно, набрав максимальное количество баллов за решения тасков.
Каждую неделю участники бота получали новое задание, на решение которого отводилось 7 дней. По истечении отведённого срока организаторы публиковали верное решение, после этого участники могли продолжить решать задание, но уже вне зачёта.
В 2025 году счастливчиков, которые смогли попасть на Школу совершенно бесплатно, было трое: Николай Белоусов, Константин Павлючков и Иван Морозов. Они набрали одинаковое наибольшее количество баллов среди 460 участников!
Собеседования перед зачислением
Уже три года руководители Летней школы проводят личные собеседования перед зачислением студентов и школьников в ряды участников и кураторов команд интенсива. В этом году всего было проведено 250 собеседований, по результатам которых зачислены 90 обучающихся.
Место проведения
Помимо возможности прокачать свои навыки и знания Летняя школа CTF предлагает провести все 10 дней в экологически чистой лесопарковой зоне.
Организаторы постарались учесть все важные аспекты: удобство расположения, необходимое оборудование и комфортабельные конференц-залы для проведения лекций, вкусное и сытное питание, а также контроль здоровья участников. Наличие особенностей развития или патологий здоровья, требующих отдельного питания или особого подхода, – не является причиной отказываться от участия в Летней школе, необходимо лишь заранее предупредить организаторов о подобных нюансах!
На протяжении трех лет Школа проводится в учебно-оздоровительном комплексе «Лесное озеро» Финансового университета при Правительстве Российской Федерации. На территории комплекса расположены 2 жилых корпуса, медицинский корпус, соединенный с главным корпусом крытым отапливаемым переходом, 2 коттеджа, спортивные площадки различных направлений: мини-футбол, баскетбол, волейбол, большой теннис и множество зон отдыха с беседками. Сам же комплекс раскинулся на берегу живописного Истринского водохранилища, которое находится в 70 км от Москвы, в Солнечногорском районе.
Летняя школа CTF – это буст знаний в сочетании со здоровым отдыхом!
Заключение
Летняя Школа CTF является важным проектом, в который вложен большой труд со стороны организаторов, спонсоров, партнеров, технической и медиагруппы, спикеров, транспортной команды, кураторов и самих участников. Благодарим всех, кто внёс какой-либо вклад в Летнюю школу CTF в этом году, ведь проект живёт и развивается, когда о нем знают и участвуют.
Особую благодарность за помощь в организации Школы выражаем учебно-оздоровительному комплексу «Лесное озеро» Финансового университета при Правительстве Российской Федерации, ректору университета – Прокофьеву Станиславу Евгеньевичу и его команде. А также Всероссийскому общественному движению наставников детей и молодежи «Наставники России» и Агентство стратегических инициатив по продвижению новых проектов.
Ссылки:
Фотоотчет: https://vk.com/albums-75858121
Видеоотчет: https://vkvideo.ru/@letoctf?_ads_group_id=75858121
Регистрация на ЛШ 2026: https://aciso.timepad.ru/event/3586051/%20
Сайт: https://letoctf.org
Группа ВК: https://vk.com/ctfcup?from=groups
Телеграм-канал: https://t.me/ctf_cup
Github ЛШ 2025: https://github.com/acisoru/letoctf25-ad