CTF (Capture the Flag) — это соревнования по информационной безопасности, которые проходят в формате игры. Команды решают различные задачи, чтобы получить «флаг» соперника (комбинацию уникальных символов). Помимо этого участники должны защитить свои точки от атак.
Каждый год организаторы Кубка придумывают новые задания и сюжеты, по которым играют команды. В этом году действие соревнований развернулось в вымышленном городе Дружба с несколькими серверами: магазинами, банком, парком аттракционов и заводом. Чтобы получить баллы, участники в течение 8 часов защищали свои точки и атаковали чужие. Взломанные сервисы загорались или работали некорректно.
«Чтобы попасть на такие соревнования, нужно иметь достаточно широкий спектр знаний: уметь программировать и читать код на разных языках (хотя бы на базовом уровне), искать логические уязвимости и инъекции, а также обладать навыками реверс-инжиниринга. Но я считаю, что главный навык для участника CTF-соревнований — умение быстро разбираться в новых технологиях и техниках», — говорит Максим Прокопович, участник команды FaKappa.
Для участия в финале команды прошли через несколько отборочных этапов. На первом, Task-Based, команды решали задания из разных направлений информационной безопасности: по криптографии, нахождению веб-уязвимостей, поиску и эксплуатации уязвимостей в приложениях, исследованию программ без исходного кода, расследованию инцидентов и поиску информации из открытых источников. За каждую задачу им начисляли определенное количество баллов. Лучшие команды прошли в полуфинал ― Attack-Defense. На этом этапе участники получали серверы с уязвимостями, которые необходимо было устранить. Одновременно они пытались заполучить флаги соперников.
По итогам отборочных этапов в финал вышло четыре команды, которые соревновались в Attack-Defense. В суперфинале в формате баттла Task-Based сразились за победу две команды ― FaKappa, которая, как и многие другие команды факультета, тренируется на площадке SPbCTF и представляет Университет ИТМО, и C4T BuT S4D с участниками из НИУ ВШЭ, НИЯУ МИФИ, ИТМО и ТГУ. В результате FaKappa заняла второе место со счетом 2:5.
«На первом этапе финала нас ждало два достаточно сложных сервиса. По итогу мы воровали флаги с обоих, но нашли не все уязвимости. На баттлах нас ждали задания из семи категорий информационной безопасности. Новый формат финала был для нас небольшой неожиданностью, пришлось срочно под него подстраиваться и обдумывать стратегию игры», — рассказал Максим Прокопович.
Несмотря на трудности, FaKappa второй год подряд стала «Лучшей академической командой» CTF России, взяла номинацию «Первый таск на финале» и получила призы от Сбера.