Пандемия Covid-19 официально завершена, и мир активно возвращается к старой жизни. Несмотря на то что в некоторых университетах на смену соревнованиям по взятию флага пришли киберполигоны, состязания CTF активно проводятся по всему миру. Основная цель соревнований — практическое применение навыков по обеспечению защиты компьютерных систем в экстремальных условиях соревнований, когда за флаг сражаются сразу несколько команд.
БАКУ
В Бакинской высшей школе нефти SOCAR (БВШН) прошёл конкурс CTF «Kiber Ulduz» с участием подростков 12–17 лет, организованный Ассоциацией организаций кибербезопасности Азербайджана. Техническими организаторами конкурса, проведённого при поддержке Министерства науки и образования Азербайджанской Республики и компании Cyberpoint в рамках «Проекта по повышению уровня осведомленности учащихся общеобразовательных учреждений в области кибербезопасности», выступили компании Interprobe и UnifyBytes.
В рамках соревнований участники должны были использовать уязвимости и лазейки в веб-приложениях, применить знания в криптографии, реверс-инжиниринге и т. д. Команды, показавшие наивысшие результаты в состязании, получили ценные денежные призы и подарки, пишет ИА «Азертадж».
Соревнования прошли в рамках Национальной лиги CTF «Kiber Ulduz», учреждённой Ассоциацией организаций кибербезопасности Азербайджана. Ассоциация, основанная в 2022 г., объединяет компании и организации, специализирующиеся в области ИТ и кибербезопасности, она поддерживает укрепление и увеличение потенциала экосистемы кибербезопасности в Азербайджане.
ХАБАРОВСК
Победителем в соревнованиях CTF, которые прошли в Хабаровске, стала команда There ls No lnfo Roma из Владивостока. Организаторами онлайн-соревнований выступили Дальневосточный Сбербанк и компания BI.ZONE. За первенство в киберигре состязались 20 студенческих команд (более 150 человек) из профильных вузов, технических колледжей и лицеев Владивостока, Комсомольска-на-Амуре, Хабаровска.
Победу одержала команда There ls No lnfo Roma, представленная учениками 11 класса лицея «Технический» из Владивостока. Школьники набрали большее количество баллов (8000 единиц) и выполнили задания на 3 часа раньше остальных команд, пишет РИА Биробиджан. Команда лицеистов оказалась сильнее 19 команд студентов вузов и колледжей.
Во время соревнований команды показывали свои навыки по пяти кибердисциплинам: анализу защищённости веб-сайтов, криптоанализу алгоритмов шифрования, обратной разработке исполняемых файлов, эксплуатации бинарных уязвимостей и программирования.
Соревнования CTF приобретают всё большую значимость для профессионального сообщества. Как отметила Наталья Красулина, управляющий головным отделением по Хабаровскому краю Дальневосточного Сбербанка, опыт участия в подобных активностях рассматривается в качестве преимущества при трудоустройстве, в том числе в Сбербанк.
НОВОСИБИРСК
На базе Новосибирского государственного технического университета НЭТИ прошло Всероссийское мероприятие по вопросам кибербезопасности, цифровизации и цифровой трансформации «Весна доверия / Spring of Trust (SoT)», которое привлекло внимание более 150 студентов из 20 ведущих университетов России, более сотни выпускников общеобразовательных учреждений — будущих специалистов в области ИБ, а также молодых учёных, интересующихся безопасностью информационных систем и сетей. В рамках SoT состоялись Всероссийские соревнования по кибербезопасности Yeti CTF, в их организации участвовали ведущие отечественные компании в области ИБ.
В соревнованиях за Кубок по кибербезопасности среди школьников Новосибирска приняли участие 12 команд разных школ, лицеев и гимназий города и Новосибирской области. В упорной борьбе первое место заняла команда Лицея № 28 Kimi No Na. Второе место — у команды Куйбышевского ДДТ «Продам гараж за флаги», третьей стала команда экономического лицея AIM.
Школьный этап Всероссийских открытых соревнований по информационной безопасности Yeti CTF-2023 выиграла команда Qualitas из Новосибирска, второе место заняла команда There Is No Info Roma (Владивосток), третье — Seal team (Новосибирск). В состязании приняли участие 20 команд со всей России.
Студенческий этап соревнований Yeti CTF-2023 привлёк внимание более 250 человек, бороться за флаг приехала 21 команда. По техническим причинам среди участников не удалось выявить победителей, но все команды показали достойный уровень знаний в области кибербезопасности даже в условиях «слепой игры».
Заместитель председателя оргкомитета соревнований Анастасия Архипова отметила: «Уже четвёртый год мы организуем Всероссийские соревнования по кибербезопасности и с каждым разом увеличиваем масштаб и уровень мероприятия. Оргкомитет надеется, что соревнования будут служить толчком для развития CTF-движения в разных регионах».
В рамках «Весны доверия» также состоялись киберучения, проведённые на киберполигоне — специализированной платформе для получения знаний и отработки навыков в сфере информационной безопасности Jet CyberCamp. Победителем стала команда tulula из Тулы.
САНКТ-ПЕТЕРБУРГ
В Университете ИТМО (Санкт-Петербург) при поддержке Ассоциации руководителей служб ИБ и «Блокчейн Лайф» прошли вторые соревнования по практической информационной безопасности для школьников 8–11 классов Neva CTF, пишет портал CTF News. За первое место и звание лучшей школьной CTF-команды сразились 37 команд (130 участников) из Санкт-Петербурга, Москвы и Воронежа.
Первое место заняла команда «Баки» из ГБОУ Школы № 179 (Москва) и Лицея № 393 (Санкт-Петербург). Участники набрали 1942 балла. Второе место заняла команда Grand Theft Flags из ГБОУ Лицея №369 (Санкт-Петербург) со счетом 1 804 балла. И со счётом 1604 балла третье место заняла команда team Techies из Бауманской инженерной школы № 1580 (Москва).
Соревнования прошли в формате task-based. В течение шести часов команды решали 27 задач в категориях: Web, Pwn, Reverse, Forensic, Misc.
Команды отлично показали свои навыки в бою и справились с задачами Neva CTF как для начинающих, так и для опытных CTF-игроков.
И даже после соревнований игра продолжается: участники решают задачи вне зачёта и разбирают решения вместе с «CTF Клубом» факультета БИТ Университета ИТМО.
Победители получили дополнительные баллы для поступления в ИТМО и полезные призы.
ФИЛИППИНЫ
Департамент информационных и коммуникационных технологий Филиппин (DICT) при содействии Национальной группы реагирования на компьютерные чрезвычайные ситуации (CERT-PH) при Бюро кибербезопасности (CSB) провёл соревнование HackForGov Capture-the-Flag.
Мероприятие было посвящено теме «Создание киберчемпионов: усиление нации за счёт киберосведомлённости и действий». Цель мероприятия — продолжение приверженности DICT укреплению потенциала кибербезопасности страны путём предоставления студентам практического опыта работы с различными методами, используемыми в виртуальном мире.
Впервые соревнования в формате CTF прошли в 2019 г. и имели большой успех у участников, но ежегодные этапы были прерваны пандемией. Конкурс этого года стал вторым в истории страны и был призван проверить навыки учащихся в области кибербезопасности, в том числе в криптографии, веб-безопасности и сетевой безопасности.
Как и принято в CTF, участники должны были найти уязвимость на стороне конкурента и прорваться через неё, захватив вражеский флаг.
«DICT рассматривает этот конкурс HackForGov 2023 как эффективную инициативу для поддержки текущих усилий и программ филиппинского правительства в области кибербезопасности, — сказал заместитель министра информационных и коммуникационных технологий по особым вопросам Пол Джозеф В. Меркадо. — Мы признаём важность сотрудничества и открытого диалога, мы также понимаем, что взращивание следующего поколения кибервоинов — непростая задача. Требуется огромная страсть и самоотверженность, чтобы вдохновить людей стать киберэнтузиастами и построить карьеру в области кибербезопасности. Наша цель — увеличить пул специалистов по ИБ в стране. Для этого DICT предлагает различные тренинги, информационные кампании и мероприятия, предоставляя отдельным участникам и компаниям необходимые инструменты и знания для защиты от потенциальных кибератак».
Помощник секретаря по кибербезопасности и повышению квалификации Джеффри Ян Дай подчеркнул, что этот конкурс даёт студентам уникальную возможность продемонстрировать свой потенциал и опыт в области кибербезопасности. На Филиппинах есть около 300 экспертов по кибербезопасности, большинство из них работают в частном порядке, поскольку госорганизации не могут предложить им высокие зарплаты, отметил г-н Дай. Небольшое количество экспертов по кибербезопасности — это почти гарантия работы, если человек приобретёт навыки. Г-н Дай подчеркнул, что большинство тех, кто сегодня занимается кибербезопасностью на Филиппинах, начинали как энтузиасты и учились вопросам кибербезопасности самостоятельно. Г-н Дай надеется, что в ближайшие годы страна сможет подготовить до 200 тыс. экспертов по кибербезопасности.
Победителями соревнований HackForGov: CERT-PH Cyber Challenge 2023 в столичном регионе стали команды Ellipsis (Университет New Era), Nova (STI Novaliches), Byte Watchers (Университет De La Salle). Всего за право стать первыми боролись 20 команд из различных колледжей и университетов.
Региональные соревнования HackForGov Capture-the-Flag будут проходить во втором квартале 2023 г., а финал завершится региональными квалификациями. Команда-победитель из каждого региона пройдёт в финал HackForGov на национальном уровне, где поборется за шанс представить страну на международном этапе CTF, который пройдёт в Таиланде.
ГЕРМАНИЯ
В рамках Потсдамских киберигр прошёл трёхдневный семинар по кибербезопасности. Мероприятие было организовано Институтом Hasso-Plattner в Потсдаме и местным клубом кибербезопасности. Бакалавры из 18 немецких университетов и институтов приняли участие в соревнованиях CTF. В отборочном раунде, который прошёл онлайн, они должны были продемонстрировать свои знания и навыки в более чем 20 различных испытаниях.
«Во многих сценариях виртуального института HackHigh мы смогли поближе познакомиться с различными аспектами кибербезопасности, — рассказал студент Михаэль Рюссманн из Высшей технической школы Деггендорфа (THD), который прошёл в финал игр и участвовал в очном этапе CTF. — Университеты всё чаще становятся жертвами кибератак, из-за сложности компьютерных систем их особенно сложно защищать».
На трёхдневном семинаре в Потсдаме участники и эксперты обсудили различные темы ИБ, включая вопросы кибербезопасности в критических инфраструктурах и Федеральной разведывательной службе Германии.
Очный финал CTF и игра команд друг против друга стали главными моментами уик-энда по кибербезопасности. Участники мероприятия также получили билеты на Потсдамскую конференцию по национальной кибербезопасности.
«Это была фантастическая возможность пообщаться с другими студентами и профессионалами, — считает Михаэль Рюссманн. — Для меня мероприятия CTF — это отличный способ, помимо учёбы, приобщиться к сфере ИБ и улучшить свои навыки».
Студент планирует создать команду CTF в Высшей технической школе Деггендорфа, в этом его поддерживают координатор программы профессор Мартин Шрамм и профессор Михаэль Хейгл.
«Как преподаватель «Тестирования на проникновение» в университете, я рад, что один из наших студентов добился успеха в Потсдамских кибериграх и смог продемонстрировать свои навыки в области кибербезопасности, — отметил Хейгл. — Этот практический опыт бесценен для студентов THD».
США. ПРО БЕЗОПАСНОСТЬ ВСТРОЕННЫХ СИСТЕМ
Второй год подряд хакерская команда Plaid Parliament of Pwning (PPP) Университета Карнеги — Меллона получает главный приз на конкурсе кибербезопасности MITRE Embedded Capture-the-Flag (eCTF) 2023.
Научные консультанты команды — сотрудник Института безопасности и конфиденциальности CyLab Маверик Ву, профессор электротехники и вычислительной техники Энтони Роу и доцент Института информационных сетей Патрик Тейгом отметили, что их подопечные одержали победу благодаря трудолюбию всех участников группы. «Наша команда обладает большим опытом как в разработке встраиваемых систем, так и в атаках, — сказал Маверик Ву. — Студенты усердно работали и были преданы своему делу. Они смогли собраться и воспользоваться преимуществами большой команды».
В этом ежегодном соревновании приняли участие команды из разных стран. 80 команд объединили рекордное количество участников — 546 студентов. Победа PPP была убедительной: команда набрала на 10 тысяч очков больше конкурентов — хакеров из Калифорнийского университета в Санта-Круз (второе место) и Университета Иллинойса в Урбане-Шампейне (3-е место).
В течение трёх месяцев 80 команд работали над проектированием и внедрением системы брелоков для дверного замка автомобиля, защищающей автомобиль от несанкционированного проникновения и предотвращающей такие атаки, как повторы и клонирование брелоков.
Конкурс состоял из двух этапов — проектирования и атаки. На каждом этапе предлагались возможности набирать очки, получая флаги и отправляя их на табло eCTF в реальном времени.
На этапе проектирования хакеры действовали как команда инженеров производителя автомобилей, проектируя и создавая встроенное ПО, которое будет установлено на следующей линейке автомобилей и брелоков, продаваемых клиентам. На этапе атаки у команд была возможность проанализировать системы других групп, выявив недостатки безопасности. Они стремились разблокировать и запустить транспортные средства без разрешения владельцев транспортных средств.
Соревнования eCTF отличаются от других соревнований CTF тем, что они сосредоточены на безопасности встроенных систем. Студенты не только защищаются от традиционных векторов кибератак, но и должны учитывать аппаратные атаки: атаки по сторонним каналам, атаки с внедрением ошибок и атаки с модификацией оборудования.
Эти соревнования предлагают учащимся уникальную возможность объединить знания и наборы навыков, полученные на различных занятиях по кибербезопасности, информатике и компьютерной инженерии, и применить их в реальных ситуациях, считают преподаватели университетов. На протяжении многих лет бывшие студенты рассказывали, как опыт CTF повлиял на их карьеру и на понимание концепций, которые обсуждают в классе. Об этом же говорят и бывшие участники команд, которые благодаря соревнованиям стали понимать основы криптосистем и приобрели практический опыт проведения атак и разработки безопасных систем. «Соревнования дают фантастическую возможность применить на практике аппаратные атаки, о которых можно только мечтать», — рассказал один из студентов университета.
Финансирование команды PPP стало возможным благодаря спонсорам — нескольким нынешним и бывшим партнёрам CyLab Security и Privacy Institute: Amazon Web Services, AT&T, Cisco, Infineon, Nokia Bell Labs, Rolls Royce и Siemens.