244 школьника из 44 регионов России приехали в Москву на заключительный этап Всероссийской олимпиады школьников по профилю «Информационная безопасность». Для IT-рынка это уже не милая история про талантливых подростков, а довольно прямой сигнал: олимпиада по инфобезу быстро превращается в ранний фильтр для будущих AppSec-, DFIR- и пентест-специалистов.
О деталях финала сообщает Habr / Карьера со ссылкой на материал InfoWatch, которая много лет сотрудничает с МИЭМ НИУ ВШЭ. Площадкой стал гостиничный комплекс «Измайлово», способный собрать участников со всей страны. Больше всего финалистов приехало из Москвы — 120 человек, ещё 17 из Московской области, 16 из Татарстана и 11 из Санкт-Петербурга. Уже по этой географии видно, где школьный интерес к ИБ оформился в полноценную экосистему с кружками, наставниками и внятной подготовкой.
Сам формат тоже показателен. Олимпиада была разделена на два тура: проектный, который давал 30% итогового балла, и практический — 70%. И это, пожалуй, самая важная деталь для отрасли. В инфобезе всё меньше ценится умение пересказать теорию и всё больше — способность разобрать живую систему, увидеть, где именно она ломается, а потом объяснить, как это эксплуатировать или закрыть. По данным источника, МИЭМ НИУ ВШЭ участвует в развитии профиля с 2022 года, а для этого финала институт подготовил собственную платформу на базе CTFd с более чем 100 задачами для учеников 9–11 классов.
Организаторы завернули задания в сеттинг Minecraft — решение одновременно очевидное и неглупое. Для школьников это знакомая визуальная среда, которая снижает порог входа, но за пиксельной картинкой прятались вполне взрослые сюжеты из реального инфобеза. Речь шла не о декоративных головоломках, а о нормальном наборе тем, с которыми регулярно сталкиваются команды безопасности и разработчики: SSRF, ошибки контроля доступа, mass assignment, небезопасная десериализация, повышение привилегий, анализ инфраструктуры и защита сервисов. То есть школьникам, по сути, предложили сжатую модель того, чем потом занимаются инженеры безопасности уже за деньги.
Одна из задач, сервис мониторинга Minecraft-серверов BlockWatch, была построена вокруг исследования веб-интерфейса, который показывает состояние кластеров и разворачивает моды. На первом уровне от участника требовалась внимательность: изучить структуру сервиса и найти скрытую консоль. Дальше начиналась более профильная часть — через Burp Suite нужно было заметить небезопасную работу приложения с пользовательскими ссылками и выйти на SSRF-сценарий с обращением к внутреннему сервису, а именно к HTTP API ClickHouse. Для школьной олимпиады это уже совсем не детский материал. Такая задача проверяет не просто навык «нащупать баг», а понимание того, как удобная пользовательская функция вроде загрузки модов превращается в точку входа во внутренний контур.
Другая задача, «Портал древнего города», была завязана на логику регистрации и обработку пользовательских данных. Сначала нужно было найти скрытый путь к закрытому разделу, затем — разобрать логику приложения и с помощью того же Burp Suite проэксплуатировать ошибку в обработке данных, чтобы получить расширенные права. В качестве примера источник упоминает mass assignment. Это хороший маркер зрелости самой олимпиады по инфобезу: участникам предлагают не только классические «дырки», но и те виды ошибок, которые часто рождаются на стыке бизнес-логики, неаккуратной серверной валидации и излишнего доверия к полям из клиентского запроса. Для разработчиков это напоминание без морализаторства: многие самые неприятные уязвимости выглядят не как эффектный взлом, а как пара лишних параметров в обычной форме.
Ещё одно задание было оформлено как Minecraft Launcher. Там участникам нужно было исследовать механику редактирования профиля игрока и обнаружить ошибку контроля доступа, которая позволяла менять роли пользователей и получать возможности администратора. Это уже чистая база для любого, кто работает с веб-сервисами: авторизация и разграничение прав ломаются чаще, чем хотелось бы, а исправляются обычно дольше, чем кажется на первом созвоне. Для школьников такая задача полезна тем, что заставляет смотреть на приложение не глазами пользователя, а глазами исследователя, который постоянно спрашивает: «почему сервер вообще мне это разрешает?».
Самой показательной выглядит история с «морскими огурцами в base64». По сюжету нужно было загрузить на сайт сохранение коллекции в формате base64, после чего сервер декодировал данные и небезопасно десериализовал их через Python pickle. Те, кто увидел эту связку, могли перейти от безобидного импорта данных к выполнению кода на сервере. И вот здесь олимпиада по инфобезу окончательно перестаёт быть просто соревнованием для школьников. Небезопасная десериализация — это не музейный экспонат из учебника, а вполне живая категория проблем, которая регулярно всплывает в реальных продуктах. Если участники 9–11 классов уже умеют распознавать такие сценарии, значит входной уровень в профессию заметно вырос.
Важно и то, что практический тур не ограничивался вебом. По описанию источника, школьники анализировали сетевой трафик, работали с дампами памяти, образами дисков и логами, решали задачи по инфраструктурной безопасности с маршрутизацией и штатными средствами защиты вроде iptables, повышали привилегии, занимались реверсом бинарников и приложений. Отдельно отмечено, что в части задач нужно было не только найти уязвимость, но и исправить её, а затем написать правила обнаружения. Это уже очень близко к реальной работе ИБ-команд, где ценится не сам факт находки, а способность довести кейс до защитного результата.
Для рынка это означает простую вещь: воронка в инфобез начинает строиться не на уровне третьего курса вуза и не после первого стажёрского собеседования, а заметно раньше. У победителей и призёров такой олимпиады есть серьёзные образовательные бонусы, включая поступление в вуз без вступительных испытаний, а у университетов и компаний — возможность присматриваться к кандидатам ещё до того, как их резюме окажется на джоб-борде. InfoWatch напоминает, что её базовая кафедра в МИЭМ НИУ ВШЭ открылась ещё в 2017 году, и именно такие связки «вуз плюс индустрия» постепенно формируют в ИБ не абстрактный кадровый резерв, а вполне конкретный поток людей, которые уже понимают, чем SSRF отличается от ошибки авторизации и почему pickle в недоверенном контуре лучше вообще не трогать.
На фоне вечных разговоров о дефиците кадров особенно любопытно другое: олимпиада по инфобезу показывает, что спрос на сильных junior-специалистов в будущем будет закрываться не только за счёт переобучения взрослых, но и за счёт школьников, которые приходят в профессию уже с опытом решения задач уровня боевого AppSec. Для отрасли это хорошая новость, но и неудобный вопрос тоже: готовы ли компании, вузы и команды безопасности работать с этим уровнем подготовки всерьёз, а не по инерции предлагать самым сильным новичкам роль «посиди, посмотри, как у нас тикеты устроены».
The post Minecraft, SSRF и pickle: как прошёл финал ВсоШ по инфобезу appeared first on iTech News.