VolgaCTF 2019
VolgaCTF – международное соревнование, финал которого проходит в Самаре при содействии Самарского государственного университета и департамента информационных технологий и связи Самарской области. В 2019 году на финал приехало 23 команды, восемь из них — из Венгрии, Австрии, Вьетнама, Тайваня, Эстонии и Португалии. Первое место заняла команда LC↯BC, представляющая Университет ИТМО.
Ребята, это далеко не первое ваше соревнование подобного плана. Какие впечатления?
Влад Росков, капитан капитан LC↯BC: Я бы скорее назвал VolgaCTF всероссийскими соревнованиями, нежели международными, потому что по-настоящему сильных иностранных команд там не было. В целом это был неплохой опыт: классные задания и сама игра, но организация мне не понравилась. В сертификатах нам написали другое название команды, а в качестве призов за первое место дали какую-то сувенирку.
Максим Прокопович, капитан Kappa: А мне все понравилось: интересные задачи и с организационными огрехами мы не столкнулись. Мы слышали раньше про эти соревнования, но не были уверены, что они хорошие, а теперь знаем, что в принципе в них стоит участвовать – хотя бы из-за самих заданий.
Путь к спортивному хакингу
Как давно вы занимаетесь спортивным хакингом и участвуете в соревнованиях?
Влад: Я узнал про соревнования формата CTF еще 10 лет назад, когда только поступил в ИТМО. Прямо первого сентября старшекурсники нас собрали, чтобы дать какие-то напутствия. И вот на этой встрече они рассказали, что только-только начинают участвовать в соревнованиях по хакингу. Конечно, многих это впечатлило, на первую встречу CTF-энтузиастов пришел весь наш курс, но постепенно осталось всего несколько человек, и я в их числе. Старшекурсники уже играли в команде CIT, названной в честь кафедры, мы влились в эту команду, а зимой того же года переименовались в более забавное и звучное Leet More. В 2011 году стали одной из лучших команд в России. Позже в 2012 году объединились с челябинской командой Smoked Chicken и по итогу года заняли топ-1 строчку в мире. А в 2016 году к нам добавилась еще одна команда – BalalaikaCr3w, и образовалась LC↯BC. В этом же году мы запустили встречи SPbCTF — начали собирать всех желающих: студентов, школьников и проводить для них семинары, устраивать небольшие соревнования, делиться трюками.
Максим: Лично я про спортивный хакинг узнал в вузе – тогда учился в ЛЭТИ. Мой куратор дала наводку на проект SPbCTF, сказала, что там могут научить практической безопасности. Пришел на первую встречу в 2016 году, задания были достаточно сложными для меня, но я загорелся, начал ходить и постепенно втянулся в процесс. Наша команда сложилась ровно год назад, тогда в SPbCTF начались тренировки по Attack-defense. Нас собирали в рандомные команды, перемешивали, но после какого-то периода репетиций игр со случайными людьми, мы с ребятами решили, что хотим играть вместе. Так образовалась команда Kappa.
Команды на таких соревнованиях большие?
Влад: Если говорить про тот состав, который выезжает на соревнования, то это порядка 3-7 человек. Если состязания проходят онлайн, то человек 10 играет. А вообще у нас в чате порядка 60 человек, но, конечно, все одновременно никогда в одном соревновании не участвуют.
А как проходят тренировки?
Максим: Так как наша команда сложилась на SPbCTF, на тот момент основные тренировки проходили там. Это было обучение и какие-то небольшие соревнования среди своих. Сейчас сами соревнования — это и есть тренировки.
Влад: В нашей команде как-то сложилось, что всю историю мы особо не тренировались, а просто участвовали в разных соревнованиях. По-моему, это лучшая подготовка.
Что вам дает участие в CTF?
Влад: В универе мне это давало практику, обучение. Программа по безопасности далека от реальности, там настоящей защите и нападению не особо учат. Так что именно CTF помогли поднять навыки. Сейчас это в большей степени удовольствие, спортивный азарт — весело во что-то командой играть. А еще иногда бывают крутые призы – например, в прошлом году в Китае мы за первое место на RealWorld CTF получили 100 000 $.
Максим: Соревнования дают опыт, много полезных и просто хороших знакомств. Нередко бывает, что ребята по рекомендации друг друга находят работу. В целом это постоянное профессиональное развитие, потому что мы работаем в сфере информационной безопасности и такие соревнования лишними не бывают.
Работодатели спокойно отпускают на выездные соревнования?
Влад: Меня захантили в Лабораторию Касперского еще когда я не окончил университет, а ездить на CTF для меня тогда было особенно важно и интересно. Поэтому мне повезло: удалось договориться, чтобы меня легко отпускали на выездные соревнования. Заодно благодаря этому не сужается кругозор, когда долго работаешь на одном месте.
Максим: Я работаю в Digital Security, мой работодатель не против моего хобби — напротив, даже поощряет. Участие в соревнованиях дает много опыта, который можно применить, в том числе в рабочих задачах. И как сказал Влад, это помогает развиваться в других сферах IT, порой отличающихся от захватываемых рабочими обязанностями.
Новый сезон SPbCTF
Чем новый сезон будет отличаться?
В этом году наставниками будут ребята, кто наиболее прокачался среди наших прежних участников — из команд Kappa, fargate, ГОСТ in the shell и Red Cadets. Сезон будет для начинающих. Вместо обычного сезона, посвященного одному направлению безопасности, будут несколько подсезонов по 4-6 недель, где мы будем давать участникам базу в разных категориях. Наша цель состоит в том, чтобы после сезона участникам было понятно, как решать простые задания на соревнованиях. На тренировках по-прежнему будет много практики, а когда пройдем основы, будем делить ребят на команды и соревноваться между собой.
Сколько обычно приходит человек?
Влад: На первую встречу прошлого сезона пришли больше 200 человек, но постепенно из-за сложности кто-то уходил. В итоге осталось 40% от изначального количества. Но мне кажется, для хакинга это хороший показатель. Прошлый сезон был направлен на подготовку команд для участия в соревнованиях по «атак-дефенсу». Как результат, сразу 3 команды от Университета ИТМО прошли в финал международного соревнования RuCTF 2019. Сейчас к нам на сезон зарегистрировались больше 500 человек, поэтому мы сделали конкурс, чтобы отобрать самых подготовленных.
Как часто проходят встречи?
Мы собираемся на площадке Университета ИТМО раз в неделю, чтобы потренироваться и поиграть в CTF. Также проводим стримы и разборы заданий на нашем YouTube-канале.
Кого приглашаете в новый сезон?
Влад: Всех, кому интересна компьютерная безопасность.
Максим: Это не обязательно должны быть студентов-«безопасников». На встречи SPbCTF ходил молодой человек, который учился на менеджменте в СПбГУ, но он длительное время занимался хакингом и успешно играл CTF. И это не единичный случай того, что прийти может желающий из любого вуза, с любого направления — тот, кому в принципе интересна сфера IT.
Влад: Я бы добавил, что мы ждем любознательных людей – тех, кому интересно копаться в различных IT-системах, разбираясь, как они работают.
