Информация. Едва ли сегодня есть более важный ресурс, который бы так же активно пытались заполучить злоумышленники всего мира. Каждый день мы оставляем за собой «шлейф» из данных: номера банковских карт, которыми расплачиваемся, номера телефонов при регистрации в приложениях, имя и фамилию для оформления скидки или доставки. Все это нуждается в тщательной защите от интернет-мошенников. Вот почему соревнования по кибербезопасности приковывают все большее внимание и собирают все больше участников.
До недавнего времени не существовало специализированного турнира по спортивному хакингу, который бы объединял специалистов по кибербезопасности из стран БРИКС. Однако в этом году по инициативе Университета ИТМО состоялся первый подобный турнир CyBRICS.
«Эта инициатива родилась около года назад, — рассказывает один из организаторов турнира Алексей Лизунов. — В рамках одной из тематических групп сетевого университета БРИКС. Проект сетевого университета был создан 5 странами, в нем участвуют по 12 университетов от каждой страны, инициатива призвана объединять усилия для создания совместных образовательных программ. На совещании лидеров БРИКС в Китае тема кибербезопасности была обозначена как приоритетная, потому она была выбрана основной на рабочей группе. В нашем выступлении мы предложили коллегам обсудить проект, который можно было бы реализовать за относительно короткое время, привлекая студентов из всех государств БРИКС. Так родилась идея проведения хакатона, которая затем по инициативе факультета БИТ модифицировалась в соревнования по спортивному хакингу для участников из пяти стран, в числе которых Россия, Китай, Бразилия, Индия и ЮАР, – CyBRICS».
«Интерес к нашей идее даже превзошел ожидания. Уже сейчас можно сказать, что Университет ИТМО начинает новое движение. CyBRICS имеет перспективы выйти за рамки соревнований команд, которые уже становятся неотъемлемой частью учебного процесса, и сформировать сообщество специалистов по кибербезопасности, в рамках которого происходит обсуждение совместных учебных планов и научной работы», — говорит декан факультета безопасности информационных технологий Данил Заколдаев.
Крупнейший турнир по хакингу в РФ
Отборочный онлайн-этап собрал 1188 команд со всего мира, а 775 из них решили хотя бы одно задание. Таким образом, CyBRICS стал крупнейшим турниром по спортивному хакингу, который проводился российскими организаторами. Здесь команды должны были за 24 часа решить максимальное число заданий, касающихся кибербезопасности. При этом организаторы не ограничивали ни численность участников в одной команде, ни способы решения задач.
«Отборочные соревнования проходили в формате, называемом “Jeopardy!”. Это американский аналог программы “Своя игра”. Почему такое название? Как и в “Своей игре”, здесь есть категории вопросов, только это не “собаки” или “исторические личности”, а области безопасности: безопасность сайтов, слабости шифрования, исследование цифровых улик. И точно так же есть очки за каждое задание, число которых зависит от его сложности. Задания состоят в том, чтобы что-то взломать — некую систему, которую создали организаторы. В отличие от соревнований по программированию, где вы сидите за компьютером организаторов, не можете выйти в туалет без сопровождения, здесь вы ничем не ограничены, можно гуглить, можно придумывать не то решение, которое задумали организаторы», — поясняет тим-лид команды разработки соревнований Влад Росков.
Лучшие команды из России, Китая, Индии, ЮАР и Бразилии, которые определились по итогам отбора, собрались осенью на пяти площадках, чтобы определить сильнейших спортивных хакеров БРИКС. Лучшие российские команды собрались на площадке Университета ИТМО на улице Ломоносова.
«У нас соревновались пять топовых команд России, это лучшие команды, которые есть в стране, которые весьма успешно участвуют во множестве международных соревнований. Это, безусловно, достижение», — рассказал Заколдаев.
Аналогично еще четыре площадки были собраны в других странах БРИКС. Участники сражались не только за престиж, но и за существенные призовые – победитель получает 10 000 долларов, второе место – 5 000, третье – 3 000.
«Захакать» можно все что угодно
В основном этапе каждая команда насчитывала уже строго по пять человек. На каждой площадке команды в течение восьми часов непрерывно соревновались друг с другом в режиме «атака-защита». То есть каждая команда пыталась взломать сервер своих противников и при этом по возможности сохранить доверенные им данные в неприкосновенности.
«Каждой команде выдали свой сервер, с пятью уязвимыми, специально написанными сервисами, — рассказывает Росков. — Это были интернет-магазин, портал госуслуг, платформа для разработки, антивирус и социальная сеть. На каждый сервер команды приходят симулированные пользователи, боты, и оставляют некоторое количество секретной информации. Соответственно, соперники, если они нашли какую-то уязвимость, пытаются эту информацию украсть, за что получают очки. Начисляются очки и за то, что доверенный вам самим сервис нормально работает, пользователи могут оставить свои данные. За кражу этих данных с вашего сервера снимаются очки».
За счет этого борьба на соревнованиях идет от первой до последней минуты. В любой момент найденная уязвимость может принести команде огромное количество очков и вывести в число лидеров. При этом пропущенная атака может откинуть команду вглубь турнирной таблицы. Впрочем, как и в любом виде спорта, здесь есть место шуткам и пижонству.
«В ходе игры невыгодно обваливать чужие сервера, ведь тогда ты не получишь очков, на них не будут приходить данные, которые ты мог бы украсть. Но в последние пару минут команды запускают все деструктивные атаки, которые они могут провернуть, ведь много баллов уже не заработать. В этот раз кто-то ради шутки начал продвигать по турнирной таблице команду-бот. Помимо 25 живых команд, у нас была одна команда-бот, которая ничего не делала, не защищалась, не нападала. На ней можно было тестировать атаки, перед тем как взламывать сервера живых команд. И вот одна из команд, атаковав сервер этого бота, от его имени начала слать жюри информацию, украденную с других серверов. И в результате этот бот вышел в десятку по итогам соревнований, многие даже расстраивались, что он их обошел. Скорее всего это сделала российская команда, так как они в топе, а очки бот начал набирать стремительно», — поясняет Росков.
В результате в общем зачете все три первых места заняли представители России – студенты Университета ИТМО стали первыми, второй результат показала команда МГУ, третий – представители Новосибирска из НГУ.
Зимняя школа CyBRICS
Теперь в планах организаторов провести зимнюю школу, на которой соберутся участники лучших команд всех пяти стран. Они соберутся этой зимой в Университете ИТМО, чтобы выявить сильнейшего уже в личном зачете.
«В данный момент мы планируем присоединить ее к зимней школе “Я — профессионал”, добавив в неё еще и международный трек. Скорее всего это событие пройдет в первой декаде февраля», — пояснил Заколдаев.
На кону в этот раз будут не деньги, а стажировки в лучших университетах БРИКС, которые получат шесть лучших, выявленных по итогам зимней школы.
Однако, как признается Данил Заколдаев, выявление лучшего спортивного хакера — только часть замысла организаторов. Истинная цель создания турнира CyBRICS – развитие международного сообщества специалистов в области компьютерной безопасности.
«Это не только соревнования, они лишь надводная часть айсберга, — говорит декан. — Существует огромное комьюнити, объединяющее все то, что касается практической части нападения и защиты и то, что касается отработки техник и специального инструментария. Это семинары, онлайн-чаты и так далее по всему миру. Мы взаимодействуем с другими вузами, обмениваемся информацией по внедрению специальных модулей в образовательный план, которые являются частью подготовки к подобным соревнованиям. Также мы смотрим на это направление как на возможность экспорта российского образования».
По мысли организаторов, CyBRICS должны стать ежегодными, к их организации предполагается уже со следующего сезона привлечь большое количество специалистов из разных стран БРИКС. Также в планах поиски спонсоров, увеличение призовых, расширение сообщества специалистов.
«Когда это будет выполнено, мы сможем сказать, что удовлетворены вторым сезоном», — заключил Даниил Заколдаев.