CTF (Capture the Flag) — это соревнования по информационной безопасности, которые проходят в формате игры. Команды решают различные задачи, чтобы получить «флаг» соперника (комбинацию уникальных символов). Помимо этого участники должны защитить свои точки от атак.

Каждый год организаторы Кубка придумывают новые задания и сюжеты, по которым играют команды. В этом году действие соревнований развернулось в вымышленном городе Дружба с несколькими серверами: магазинами, банком, парком аттракционов и заводом. Чтобы получить баллы, участники в течение 8 часов защищали свои точки и атаковали чужие. Взломанные сервисы загорались или работали некорректно.

«Чтобы попасть на такие соревнования, нужно иметь достаточно широкий спектр знаний: уметь программировать и читать код на разных языках (хотя бы на базовом уровне), искать логические уязвимости и инъекции, а также обладать навыками реверс-инжиниринга. Но я считаю, что главный навык для участника CTF-соревнований — умение быстро разбираться в новых технологиях и техниках», — говорит Максим Прокопович, участник команды FaKappa.

Команда FaKappa на V Кубке CTF России (состав: Артем Павлов, Максим Прокопович, Дмитрий Татаров, Георгий Геннадьев, Никита Челноков, Дмитрий Сибирцев и Ксения Кирилова). Фото предоставлено факультетом безопасности информационных технологий ИТМО

Команда FaKappa на V Кубке CTF России (состав: Артем Павлов, Максим Прокопович, Дмитрий Татаров, Георгий Геннадьев, Никита Челноков, Дмитрий Сибирцев и Ксения Кирилова). Фото предоставлено факультетом безопасности информационных технологий ИТМО

Для участия в финале команды прошли через несколько отборочных этапов. На первом, Task-Based, команды решали задания из разных направлений информационной безопасности: по криптографии, нахождению веб-уязвимостей, поиску и эксплуатации уязвимостей в приложениях, исследованию программ без исходного кода, расследованию инцидентов и поиску информации из открытых источников. За каждую задачу им начисляли определенное количество баллов. Лучшие команды прошли в полуфинал ― Attack-Defense. На этом этапе участники получали серверы с уязвимостями, которые необходимо было устранить. Одновременно они пытались заполучить флаги соперников.

По итогам отборочных этапов в финал вышло четыре команды, которые соревновались в Attack-Defense. В суперфинале в формате баттла Task-Based сразились за победу две команды ― FaKappa, которая, как и многие другие команды факультета, тренируется на площадке SPbCTF и представляет Университет ИТМО, и C4T BuT S4D с участниками из НИУ ВШЭ, НИЯУ МИФИ, ИТМО и ТГУ. В результате FaKappa заняла второе место со счетом 2:5.

Борд A/D тура. Изображение предоставлено факультетом безопасности информационных технологий ИТМО

Борд A/D тура. Изображение предоставлено факультетом безопасности информационных технологий ИТМО

«На первом этапе финала нас ждало два достаточно сложных сервиса. По итогу мы воровали флаги с обоих, но нашли не все уязвимости. На баттлах нас ждали задания из семи категорий информационной безопасности. Новый формат финала был для нас небольшой неожиданностью, пришлось срочно под него подстраиваться и обдумывать стратегию игры», — рассказал Максим Прокопович.

Несмотря на трудности, FaKappa второй год подряд стала «Лучшей академической командой» CTF России, взяла номинацию «Первый таск на финале» и получила призы от Сбера.