Зимний CTF-сезон в шестой раз закрывает Кубок CTF России – крупнейшие российские соревнования по информационной безопасности! Команды со всей страны получают возможность побороться за звание лучшей CTF-команды года и главный приз – Кубок CTF России!
В этом году Оргкомитет, отвечающий за стратегическую подготовку к Кубку, вновь возглавил Председатель Совета Директоров ООО «Орион» Виктор Пярин. Виктор Анатольевич также является действительным членом АИН, членом-корреспондентом РАЕН и Академии Криптографии, лауреатом Государственной премии, к.ф-м.н.
В состав Оргкомитета также вошли:
Председателем жюри VI Кубка CTF России выступил Будников Александр – управляющий директор по информационной безопасности и специальным разработкам ПАО АФК «Система». Судейская команда была сформирована из ведущих экспертов в области информационной безопасности:
Подготовкой к мероприятию занималась проектная команда, состоящая из сотрудников АРСИБ и участников ведущих российских CTF-команд: kks, HackerDom, C4T_BuT_S4D.
Всего на VI Кубок CTF России зарегистрировалось 298 команд со всей России, более 190 из которых имели хотя бы один решенный таск на момент подведения итогов отборочного этапа соревнований.
70 ГОРОДОВ:
115 УЧЕБНЫХ ЗАВЕДЕНИЙ:
В этом году в соревнованиях принимала участие гостевая команда из Казахстана.
SCIMUS_VERUM занимает первую строчку рейтинга CTF-команд Казахстана (согласно рейтингу ctftime.org). В составе студенты разных вузов Республики Казахстан (IITU, AITU, KBTU, ENU). Ребята одерживали победы во многих соревнованиях, в т.ч. инфраструктурных.
Состав команды:
Команде были вручены подарки от нашего партнера – Координационного центра доменов .RU/.РФ.
В этом году Кубок состоял из 4 этапов:
Онлайн Task-Based 24 часа.
Оффлайн полуфинал в формате Attack-Defense.
Финал в смешанном формате.
В полуфинальном туре участникам было предоставлено 4 сервиса. У них было 8 часов на то, чтобы поднять сервисы, найти в них уязвимости и удержать в работоспособном состоянии. Перед участниками Кубка также стояла задача по эксплуатации найденных уязвимостей в борьбе с другими командами.
На полуфинальный этап организаторами была предоставлена визуализация в 3D формате. Согласно Легенде, действие разворачивалось в городе Энске.
Четыре объекта соответствовали следующим сервисам:
1) Энская атомная электростанция – NuclearReport: сервис для загрузки отчетов о работе АЭС. Каждый пользователь имеет локальную директорию для отчетов и может загружать их по SFTP.
Далее отчеты можно пошэрить через web-приложение с другими пользователями используя функциональность веб-приложения — для каждого не скрытого файла в директории пользователя будет сгенерирован случайный токен для доступа к файлу.
Уязвимости:
2) Металлургический завод – great_mettender: есть тендеры, есть заявки на участие в тендерах. Заявка – программа на brainfuck, тендер содержит ввод для этой программы, в котором флаги. Результат выполнения видит только автор тендера. Создатель заявки на участие в тендер с самой низкой ценой может выполнить свою программу, но не увидеть вывода.
Уязвимости:
3) ХлебZаVод - Сервис, выдающий пользователям талончики, по которым они могут заказать выпечку хлеба и позже забрать этот самый хлеб.
Архитектура:
Уязвимости:
4) Транспортный узел – FlexinPoint: возможность добавлять расписания поездов метро. Есть приватные и публичные метрополитены. Для каждой станции можно узнать, какой следующий поезд приедет. Возможно составить маршрут от одной станции до другой.
Уязвимости:
На финальном этапе Кубка был предоставлен 5-й объект на площадке визуализации – элеватор.
Участникам турнира необходимо было выявить уязвимость сервиса: зерно из элеватора можно было изымать и продавать на внешнем рынке за DeedCoin-ы .
В финал соревнований прошли 5 команд:
В этом году финал VI Кубка CTF России был далек от классического формата: все изменения в сервисах команды вносили в специальный репозиторий.
Участники могли не только менять код своего сервиса, но и наблюдать за изменениями других команд.
KawaiGazpromBank - Контракт банка, позволяющий торговать и добавлять свои токены. Возможность хранить небольшие файлы в виде nft (аналог банковской ячейки).
Особенности данного сервиса заключались в том, что команды вносили все изменения в git, далее все раскатывалось через CI/CD и у участников не было возможности просматривать историю транзакций или размещать свои смарт-контракты в обход системы CI/CD. Так же была возможность просматривать эксплоиты и изменения вносимые другими командами.
Сервис содержал три уязвимости (был разбит на три части):
По итогам данного этапа в суперфинал вышли 2 команды, которым предстояло сразиться в формате Battle: участники каждой команды заранее выбирали кто из игроков для решения тасков той или иной категории:
Далее шли Net, Crypto и Misc.
1 игрок от команды — 1 таск. Команда, которая первая закрывала таск, получала балл. Игрок, решавший таск быстрее, мог помогать другим членам команды с их тасками, а проигравший отправлялся решать «штрафной таск», получая таким образом возможность принести в копилку команды 1 дополнительный балл и вернуться к команде для оказания помощи в решении основных задач.
В разработке заданий для Кубка принимали участие:
C4T_BuT_S4D, kks, HackerDom и ряд независимых разработчиков.
Благодаря нашим технологическим партнёрам – компании VK и Armada Media Group – каждый желающий мог стать «участником» крупнейшего соревнования по информационной безопасности в формате шоу!
Активности от наших партнёров, выявление сильнейшей команды 2022 года, выступление оргкомитета и церемония награждения, - обо всём этом рассказывали наши ведущие: Георгий Кигурадзе, Любовь Наливайко и Елизавета Антонова.
Если вы по каким-то причинам пропустили самые масштабные соревнования по информационной безопасности в России, ниже приведены ссылки на запись эфира:
VI Кубок CTF России 10 декабря 2022 года | VI Кубок CTF России 11 декабря 2022 года
Всероссийский турнир по информационной безопасности проходил в три этапа с 19 ноября по 11 декабря.
Лучшие команды из 49 субъектов Российской Федерации представили все федеральные округа нашей страны! В числе участников соревнований были не только представители ведущих российских ВУЗов - из 298 зарегистрированных команд лишь 115 представляли высшие учебные заведения, остальные участники подали заявки от имени СПО и школ. Организаторы были рады приветствовать и приглашённую команду SCIMUS_VERUM, в состав которой вошли студенты ВУЗов Республики Казахстан:
Из почти трёх сотен команд, сражавшихся в отборочном туре VI Кубка CTF России, в полуфинал вышли 10 лучших, а также приглашенная команда из SCIMUS_VERUM. На финальном этапе турнира определились 5 самых успешных и сыгранных коллективов, из которых предстояло выявить главных претендентов на Кубок.
На площадке также присутствовали специалисты компании UserGate, которая не только разработала уникальные таски для участников, но и выступила технологическим партнёром VI Кубка CTF России, обеспечив безопасность сетевого периметра площадки.
«C помощью программно-аппаратных платформ UserGate С100, задействованных в инфраструктуре кубка, мы сумели предотвратить несколько попыток подключения из одной подсети в другую, а также пресекли подключения удаленного доступа к основной информационной площадке турнира», – Иван Чернов, менеджер по развитию UserGate.
В суперфинале столкнулись команды Университета Высшей Школы Экономики (Ar) и Национального исследовательского ядерного университета «МИФИ» (SPRUSH).
Также отличилась команда FaKappa, оказавшись первой в специальной номинации от Газпромбанка – «Финтех».
Самые яркие моменты VI Кубка CTF России!
Сайт: https://ctfcup.ru/
Еще больше подробностей проведения VI Кубка CTF России: https://vk.com/ctfcup
Легенда: https://vk.com/@ctfcup-legenda-goroda-ensk
Решения заданий суперфинального этапа:
Разработчики заданий HackerDom подготовили материалы таскового этапа.
По ссылке вы найдете:
Исходные коды
Разборы
Сплоиты
Полный фотоотчёт с VI Кубка CTF России!
Фотоотчёта с афтепати в баре «Rootin Tootin» не будет, но, поверьте, было здорово!
Команда организаторов Кубка благодарит за помощь в организации мероприятия членов жюри и партнеров.
Генеральный партнер: Газпромбанк
Официальный партнер: Сбер
Стратегический партнер: RDP
Партнеры: Positive Technologies, Координационный центр доменов .RU/.РФ, НТЦ «Вулкан»
Технологические партнеры: EDGEcenter, UserGate;
Главный информационный партнер: журнал «Хакер», CTFnews;
Партнеры трансляции: Armada Media Group, VK;
При поддержке:
Минцифры России, Минобрнауки РФ, Минпросвещения РФ, ФСТЭК России, Банк России, ДИТСиЗИ МВД России, Наставники России, Умный Город, ДИТ Москвы, МАС, Фонд Сколково, Борей, АФК «Система», Armada Media Group, kibermoscow, Zelax.
Мы в соцсетях