Всё о CTF в России

VI Кубок CTF России: пост-релиз

Зимний CTF-сезон в шестой раз закрывает Кубок CTF России – крупнейшие российские соревнования по информационной безопасности! Команды со всей страны получают возможность побороться за звание лучшей CTF-команды года и главный приз – Кубок CTF России!

Оргкомитет

В этом году Оргкомитет, отвечающий за стратегическую подготовку к Кубку, вновь возглавил Председатель Совета Директоров ООО «Орион» Виктор Пярин. Виктор Анатольевич также является действительным членом АИН, членом-корреспондентом РАЕН и Академии Криптографии, лауреатом Государственной премии, к.ф-м.н.

В состав Оргкомитета также вошли:

• Бархатов Дмитрий – председатель Координационного совета, Всероссийского общественного движения наставников детей и молодежи «Наставники России»;
• Бенгин Владимир – директор Департамента обеспечения кибербезопасности, Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации;
• Будников Александр – управляющий директор по информационной безопасности, ПАО АФК «Система»;
• Быков Роман – директор RuCTF;
• Войнов Юрий – врио начальника Департамента информационных технологий, связи и защиты информации, МВД России;
• Горбатько Александр – заместитель руководителя Департамента информационных технологий города Москвы;
• Избаенков Артем – директор по развитию направления кибербезопасности «EdgeCenter»;
• Масалович Андрей – генеральный директор ООО «Лавина Пульс»;
• Минин Виктор – председатель правления АРСИБ;
• Ульянникова Оксана – руководитель перспективных проектов в области информационной безопасности Кластер информационных технологий | ФОНД СКОЛКОВО;
• Чернов Максим – директор по направлению «Информационная инфраструктура» АНО «Цифровая экономика».

Жюри

Председателем жюри VI Кубка CTF России выступил Будников Александр – управляющий директор по информационной безопасности и специальным разработкам ПАО АФК «Система». Судейская команда была сформирована из ведущих экспертов в области информационной безопасности:

• Бугров Владимир – заместитель начальника Департамента по обеспечению информационной безопасности Пенсионного фонда Российской Федерации;
• Волков Сергей – начальник отдела информационной безопасности АО «ГОЗНАК»;
• Дерлыш Илья – эксперт информационной безопасности Росатом;
• Кадер Михаил – архитектор по информационной безопасности Positive Technologies;
• Кузнецов Андрей – технический директор Национального Киберполигона «Ростелеком-Солар»;
• Лоскутова Олеся – заместитель начальника центрального вычислительного центра, Главный информационно-аналитический центр МВД России;
• Марков Алексей – президент ГК Эшелон;
• Масалович Андрей – генеральный директор ООО "Лавина Пульс";
• Минаков Сергей – Академия криптографии Российской Федерации;
• Михайленко Наталья – доцент кафедры противодействия преступлениям в сфере ИТТ, к.ю.н., доцент;
• Овчинников Виктор – начальник отдела информационной безопасности ООО «М13 ИТ УСЛУГИ»;
• Скляров Дмитрий – руководитель отдела исследований приложений Positive Technologies;
• Усанов Алексей – технический директор НТЦ «Вулкан»;
• Царев Григорий – руководитель направления Центра взаимодействия и реагирования Департамента информационной безопасности Банка России.

Подготовкой к мероприятию занималась проектная команда, состоящая из сотрудников АРСИБ и участников ведущих российских CTF-команд: kks, HackerDom, C4T_BuT_S4D.

География соревнований:

Всего на VI Кубок CTF России зарегистрировалось 298 команд со всей России, более 190 из которых имели хотя бы один решенный таск на момент подведения итогов отборочного этапа соревнований.

70 ГОРОДОВ:

115 УЧЕБНЫХ ЗАВЕДЕНИЙ:

Особые гости

В этом году в соревнованиях принимала участие гостевая команда из Казахстана.

SCIMUS_VERUM занимает первую строчку рейтинга CTF-команд Казахстана (согласно рейтингу ctftime.org). В составе студенты разных вузов Республики Казахстан (IITU, AITU, KBTU, ENU). Ребята одерживали победы во многих соревнованиях, в т.ч. инфраструктурных.

Состав команды:

• MREX ( 19, AITU)
• XA9E (21, IITU)
• BLACKMIND17 (20, KBTU)
• SH3LLDON (19, IITU)
• AKER (18, AITU)
• KDS0401 (21, AITU X ENU)
• MU7EX (22, AITU X 2)

Команде были вручены подарки от нашего партнера – Координационного центра доменов .RU/.РФ.

VI Кубок CTF России: формат

В этом году Кубок состоял из 4 этапов:

1. Онлайн Task-Based 24 часа.

2. Оффлайн полуфинал в формате Attack-Defense.

3. Финал в смешанном формате.

4. Суперфинал в формате battle.

В полуфинальном туре участникам было предоставлено 4 сервиса. У них было 8 часов на то, чтобы поднять сервисы, найти в них уязвимости и удержать в работоспособном состоянии. Перед участниками Кубка также стояла задача по эксплуатации найденных уязвимостей в борьбе с другими командами.

На полуфинальный этап организаторами была предоставлена визуализация в 3D формате. Согласно Легенде, действие разворачивалось в городе Энске.

Четыре объекта соответствовали следующим сервисам:

1) Энская атомная электростанция – NuclearReport: сервис для загрузки отчетов о работе АЭС. Каждый пользователь имеет локальную директорию для отчетов и может загружать их по SFTP.

Далее отчеты можно пошэрить через web-приложение с другими пользователями используя функциональность веб-приложения — для каждого не скрытого файла в директории пользователя будет сгенерирован случайный токен для доступа к файлу.

Уязвимости:

• Обход защиты от чтения чужих отчетов с помощью symlink в SFTP.
• Внутри веб-приложения проверяется что доступ к файлу имеется только у владельца (с помощью нормализации пути файла и проверки префикса /users/john/1.txt принадлежит john) либо по токену. Проверка по токену проверяет что в БД есть запись с ровно таким путем до файла и токеном.
• Уязвимость состоит в том, что пользователь A может создать ссылку на файл пользователя B и генерировать токен для доступа к своему файлу.

2) Металлургический завод – great_mettender: есть тендеры, есть заявки на участие в тендерах. Заявка – программа на brainfuck, тендер содержит ввод для этой программы, в котором флаги. Результат выполнения видит только автор тендера. Создатель заявки на участие в тендер с самой низкой ценой может выполнить свою программу, но не увидеть вывода.

Уязвимости:

• CVE в Go 1.18, в gzip.Reader рекурсивная реализация read. Переполнение стека вызовов в интерпретаторе bf приводит к панике, код-обработчик на стороне сервера обогащает неожиданные ошибки информацией, в которой есть и флаг.

3) ХлебZаVод - Сервис, выдающий пользователям талончики, по которым они могут заказать выпечку хлеба и позже забрать этот самый хлеб.

Архитектура:

• сервис, отвечающий за регистрацию пользователей и выдачу талончиков;
• сервис, принимающий запросы на изготовление хлеба по талончикам, и позже позволяющий "забрать" хлеб по этому же талончику;
• сервис авторизации, который валидирует/выпускает подписанные талончики

Уязвимости:

• Path traversal в запросах к сервису авторизации, из-за чего токен вида jwt/../jwt будет использовать второй jwt для валидации. Используя это и пару логических баг в обработке ответа от сервиса авторизации получаем доступ к чужим заказам.

4) Транспортный узел – FlexinPoint: возможность добавлять расписания поездов метро. Есть приватные и публичные метрополитены. Для каждой станции можно узнать, какой следующий поезд приедет. Возможно составить маршрут от одной станции до другой.

Уязвимости:

• 0-байт инъекция в параметре, передаваемом в libpqxx, обход проверки на имя атрибута

Финал

На финальном этапе Кубка был предоставлен 5-й объект на площадке визуализации – элеватор.

Участникам турнира необходимо было выявить уязвимость сервиса: зерно из элеватора можно было изымать и продавать на внешнем рынке за DeedCoin-ы .

В финал соревнований прошли 5 команд:

• FaKappa (Университет ИТМО);
• SPRUSH (МИФИ);
• Ar (ВШЭ);
• smiley-from-telega (НГУ, Университет ИТМО);
• по итогам совещания Жюри приняло решение допустить к участию в финале еще одну команду – .einabe (МИЭМ).

В этом году финал VI Кубка CTF России был далек от классического формата: все изменения в сервисах команды вносили в специальный репозиторий.

Участники могли не только менять код своего сервиса, но и наблюдать за изменениями других команд.

KawaiGazpromBank - Контракт банка, позволяющий торговать и добавлять свои токены. Возможность хранить небольшие файлы в виде nft (аналог банковской ячейки).

Особенности данного сервиса заключались в том, что команды вносили все изменения в git, далее все раскатывалось через CI/CD и у участников не было возможности просматривать историю транзакций или размещать свои смарт-контракты в обход системы CI/CD. Так же была возможность просматривать эксплоиты и изменения вносимые другими командами.

Сервис содержал три уязвимости (был разбит на три части):

• Reentrancy attack
• Ошибка в проверке доступа _owner / owner
• Integer overflow

По итогам данного этапа в суперфинал вышли 2 команды, которым предстояло сразиться в формате Battle: участники каждой команды заранее выбирали кто из игроков для решения тасков той или иной категории:

• 1 пара игроков решала категорию reverse
• 2 пара — PWN
• 3 пара — web

Далее шли Net, Crypto и Misc.

1 игрок от команды — 1 таск. Команда, которая первая закрывала таск, получала балл. Игрок, решавший таск быстрее, мог помогать другим членам команды с их тасками, а проигравший отправлялся решать «штрафной таск», получая таким образом возможность принести в копилку команды 1 дополнительный балл и вернуться к команде для оказания помощи в решении основных задач.

В разработке заданий для Кубка принимали участие:

C4T_BuT_S4D, kks, HackerDom и ряд независимых разработчиков.

VI Кубок CTF России: Live!

Благодаря нашим технологическим партнёрам – компании VK и Armada Media Group – каждый желающий мог стать «участником» крупнейшего соревнования по информационной безопасности в формате шоу!

Активности от наших партнёров, выявление сильнейшей команды 2022 года, выступление оргкомитета и церемония награждения, - обо всём этом рассказывали наши ведущие: Георгий Кигурадзе, Любовь Наливайко и Елизавета Антонова.

Если вы по каким-то причинам пропустили самые масштабные соревнования по информационной безопасности в России, ниже приведены ссылки на запись эфира:

VI Кубок CTF России 10 декабря 2022 года | VI Кубок CTF России 11 декабря 2022 года

ИТОГИ

Всероссийский турнир по информационной безопасности проходил в три этапа с 19 ноября по 11 декабря.

Лучшие команды из 49 субъектов Российской Федерации представили все федеральные округа нашей страны! В числе участников соревнований были не только представители ведущих российских ВУЗов - из 298 зарегистрированных команд лишь 115 представляли высшие учебные заведения, остальные участники подали заявки от имени СПО и школ. Организаторы были рады приветствовать и приглашённую команду SCIMUS_VERUM, в состав которой вошли студенты ВУЗов Республики Казахстан:

• Astana IT University (AITU)
• Международный университет информационных технологий (МУИТ / IITU)
• Казахстанско-Британский технический университет (КБТУ /KBTU)
• Евразийский национальный университет имени Л.Н. Гумилёва (ЕНУ / ENU)

Из почти трёх сотен команд, сражавшихся в отборочном туре VI Кубка CTF России, в полуфинал вышли 10 лучших, а также приглашенная команда из SCIMUS_VERUM. На финальном этапе турнира определились 5 самых успешных и сыгранных коллективов, из которых предстояло выявить главных претендентов на Кубок.

На площадке также присутствовали специалисты компании UserGate, которая не только разработала уникальные таски для участников, но и выступила технологическим партнёром VI Кубка CTF России, обеспечив безопасность сетевого периметра площадки.

«C помощью программно-аппаратных платформ UserGate С100, задействованных в инфраструктуре кубка, мы сумели предотвратить несколько попыток подключения из одной подсети в другую, а также пресекли подключения удаленного доступа к основной информационной площадке турнира», – Иван Чернов, менеджер по развитию UserGate.

В суперфинале столкнулись команды Университета Высшей Школы Экономики (Ar) и Национального исследовательского ядерного университета «МИФИ» (SPRUSH).

Со счетом 6:5 победила команда Ar!

Также отличилась команда FaKappa, оказавшись первой в специальной номинации от Газпромбанка – «Финтех».

Дополнительно

Самые яркие моменты VI Кубка CTF России!

Сайт: https://ctfcup.ru/

Еще больше подробностей проведения VI Кубка CTF России: https://vk.com/ctfcup

Легенда: https://vk.com/@ctfcup-legenda-goroda-ensk

Решения заданий суперфинального этапа:

Разработчики заданий HackerDom подготовили материалы таскового этапа.

По ссылке вы найдете:

• Исходные коды

• Разборы

• Сплоиты

• Файлы для деплоя заданий

Полный фотоотчёт с VI Кубка CTF России!

Фотоотчёта с афтепати в баре «Rootin Tootin» не будет, но, поверьте, было здорово!

Благодарности и партнеры:

Команда организаторов Кубка благодарит за помощь в организации мероприятия членов жюри и партнеров.

Генеральный партнер: Газпромбанк

Официальный партнер: Сбер

Стратегический партнер: RDP

Партнеры: Positive Technologies, Координационный центр доменов .RU/.РФ, НТЦ «Вулкан»

Технологические партнеры: EDGEcenter, UserGate;

Главный информационный партнер: журнал «Хакер», CTFnews;

Партнеры трансляции: Armada Media Group, VK;

При поддержке:

Минцифры России, Минобрнауки РФ, Минпросвещения РФ, ФСТЭК России, Банк России, ДИТСиЗИ МВД России, Наставники России, Умный Город, ДИТ Москвы, МАС, Фонд Сколково, Борей, АФК «Система», Armada Media Group, kibermoscow, Zelax.