В конце июля завершилось второе по счету соревнование по компьютерной безопасности CyBRICS 2020. Международный турнир прошел во второй раз. Из-за пандемии в этом году соревнование проходило в облегченном режиме: в один онлайн-этап для всех желающих.

В этом году CyBRICS нарастил как количество участников, так и географию, кроме того, для участников с исследовательскими амбициями организаторы добавили задания на теоретическую криптографию.

«Сама идея CyBRICS родилась в 2018 году по результатам встречи сетевого университета BRICS, когда вузы Бразилии, Китая, ЮАР, Индии и России решили провести совместное мероприятие, объединив таким образом студентов и преподавателей, работающих в области информационной безопасности. И в прошлом году мы провели такой турнир, — рассказывает помощник первого проректора Университета ИТМО Алексей Лизунов. — В этому году CyBRICS полностью перешел в онлайн. Однако идея осталась той же — мы пригласили все команды, связанные с кибербезопасностью из всех стран мира, а не только из пяти стран БРИКС. В этом году у нас поставлен новый рекорд: 1503 команды против 1188 в прошлом. При этом 786 команд-участниц CyBRICS 2020 решили хотя бы одну задачу, в прошлом году таких было 775».

Международное онлайн-соревнование по спортивному хакингу CyBRICS 2019
Международное онлайн-соревнование по спортивному хакингу CyBRICS 2019

Первое место по итогам соревнований заняла команда corruptedpwnis — сборная выпускников и студентов ВШЭ, ИТМО, МФТИ, УрФУ, CTU (Чешского технического университета). Второе место досталось команде DefenitelyZer0, куда вошли спортсмены из Южной Кореи и Японии. Замыкает призовую тройку команда студентов Университета ИТМО [SPbCTF] fargate. Три команды разделили между собой призовой фонд в 6000 долларов. Также в пятерке сильнейших оказались команды из Китая и Франции.

Партнером турнира вновь стала лига китайских соревнований по безопасности XCTF. Команда corruptedpwnis за первое место получила квалификацию на выездное соревнование XCTF Finals в Китае, где встречаются победители международных CTF за год. Компании Positive Technologies и BI.ZONE предоставили для первых трех мест по пять приглашений на крупные международные конференции по безопасности Positive Hack Days и OFFZONE, которые пройдут весной 2021 года в Москве.

Новшества этого года

«Соревнование проводилось в традиционном формате Jeopardy CTF: семь категорий, задания четырех уровней сложности в каждой, и побеждает тот, кто наберет больше всех очков за 24 часа. В каждом задании участникам предлагается исследовать систему, найти в ней уязвимости и воспользоваться ими для получения ответа. Все задания, которые мы приготовили, — практические: веб-безопасность, расследование инцидентов, сетевая безопасность, прикладная криптография, исследование алгоритмов, эксплуатация уязвимостей. Университет ИТМО также добавил два задания на теоретическую криптографию», ― рассказывает тимлид команды разработки, ментор сообщества SPbCTF, магистрант факультета безопасности информационных технологий Университета ИТМО Влад Росков.

Влад Росков
Влад Росков

На решение задач командам давалось 24 часа, при этом они были не ограничены в использовании интернета, литературы — чего угодно, что поможет им решить задачи, подготовленные организаторами. В течение игры команды отправили 10997 ответов, из которых 3225 были приняты. Задания на теоретическую криптографию оказались под силу 160 командам.

«Мы преследуем не только цель поиграть и посоревноваться, на самом деле цель более глобальная, — подчеркивает декан факультета безопасности информационных технологий университета ИТМО Данил Заколдаев. — Это формирование устойчивого комьюнити молодой науки, приглашение аспирантов и магистрантов в исследовательские команды, которые занимаются исследованиями в области кибербезопасности. Для этого были введены несколько теоретических заданий, в которых надо подумать, посчитать, взять карандаш и листочек. Мы интегрировали их в традиционный Jeopardy. При этом из почти 800 команд, которые сдали хоть один ответ, лишь 160 смогли решить исследовательскую задачу начального уровня, и лишь 29 — среднего уровня. Сложный уровень мы пока не интегрировали, надеемся это сделать в следующем году — на отборочном и очном финале в Петербурге».

Данил Заколдаев
Данил Заколдаев

Разбор полетов

«Ближе к концу соревнования мы спросили у участников, какие задания они хотели бы увидеть в видеоразборе на следующий день, — рассказывает Ксения Кравцова, основатель SPbCTF, инженер факультета безопасности информационных технологий. — Разбор заданий — традиционная активность в CTF: на выездных соревнованиях проводят очный разбор, на онлайновых пишут райтапы и публикуют в блогах или на ctftime.org. Это незаменимо для анализа своего подхода и получения новых знаний, для тренировки навыков. Поскольку на этот год мы перенесли CyBRICS полностью в онлайн, разборы заданий также проходили в виде трансляции на YouTube. Каждый разработчик детально разбирал свой таск и отвечал на вопросы слушателей, в конце зрители попросили подсказать способы, как отточить свои навыки хакинга»

Разборы заданий CyBRICS 2020 транслировались на канале SPbCTF.