Версия для слабовидящих: Вкл Выкл Изображения: Вкл Выкл Размер шрифта: A A A Цветовая схема: A A A A
12+
Закрыть
Авторизация

Снова победа!

Снова победа!

05.07.2018

Команда СибГУТИ Life заняла 1-е место на межрегиональных соревнованиях по компьютерной безопасности AltayCTF


HTqHgHfluRU.jpg

Совсем недавно, в конце апреля, на прошедших в Омске межрегиональные соревнования по информационной безопасности OmCTF-2018, команда СибГУТИ Life заняла 1-е место. И вот уже в конце июня ребята вновь стали победителями межрегиональных соревнований по компьютерной безопасности AltayCTF, проходивших в Барнауле. В них приняли участие 10 команд вузов и одна школьная команда Алтайского края, Томской, Омской и Новосибирской областей. 

Участники команды СибГУТИ поделились своими впечатлениями от поездки и секретами победы.

 – Что запомнилось из этой поездки?

 Андрей Крылосов, 2-й курс, участник команды СибГУТИ Life:

Нас ездило шесть человек: я, Антон Чусовитин, Денис Степанов, Дарья Орлова, Рома Ерёмин, Арина Казанцева. Когда мы подъезжали в поезде к Барнаулу, на улице начался какой-то апокалипсис. Дождь лил как из ведра. Мы решили добежать до вокзала, и это была роковая ошибка. Через секунду оказались насквозь мокрые. Ещё и в городе свет отключили, автоматические двери вокзала не работали. Мы простояли возле вокзала под крышей минут 15, пока дождь не прекратился. Наконец-то мы вызвали такси и поехали до съемной квартиры, предварительно созвонившись со съёмщиком и узнав, что все нормально. Когда мы доехали, оказалось, что квартиру уже заняли, то есть нас ещё и с квартирой кинули. Мы стоим насквозь мокрые, нас жрут комары, дождь не прекращается... В итоге нашли какой-то хостел, заказали еды и, мокрые, уставшие, почти полумертвые, легли спать.

Утром еле высушились и поехали на соревнования. Суть attack-deffens – атаковать и защищаться. После начала соревнований ещё до открытия сети мы увидели несколько уязвимостей и одними из первых запустили скрипт-эксплойт, что позволило нам сразу вырваться вперёд. Это называется сделать «фёрст блад» – «первую кровь». То есть первый раунд мы уже начали со сдачи флага. Через 10-15 минут мы написали два эксплойта, потом третий и четвертый, и так мы нашли уязвимости практически во всех сервисах и закрыли их у себя до того, как наши противники успели написать свой эксплойт. Поэтому у нас почти не крали флаги, а мы постоянно воровали, что обеспечивало нам большой отрыв по баллам.

Интрига была лишь в том, наберём ли мы 100 000 очков в этих соревнованиях. И мы набрали даже больше. Поэтому основная борьба в игре у оставшихся команд шла за второе и третье места: за второе место ребята набрали 50 018 очков, а за третье – 50 000, то есть разрыв был всего 18 очков. А между первым и вторым местом был разрыв аж в 50 000, то есть нас было уже не догнать. Просто ошеломительная победа!

А как можно найти уязвимость до запуска сети?

Это можно увидеть в том, как сконфигурирован сам сервис, если ли какие-то открытые доступы к базам данных, которых, по идее, быть не должно, или какие-то уязвимости в коде, которые мы сами можем использовать.

Можешь пояснить, что такое эксплойт, – для тех, кто не знаком с CTF и программированием?

Это некая скрипт-программа, которая автоматически использует уязвимости, собирает флаги и отправляет на чекер. Первый раз мы находим флаг и пытаемся его украсть вручную, и если удаётся, то пишем программу, которая будет повторять эти же действия в автоматическом режиме с определённой периодичностью. Программа проходит по кругу по всем сервисам команд, минуя нашу, и собирает флаги. У каждого флага есть время жизни, он считается актуальным в течение трех раундов. Если мы успеваем взять флаг, то получаем очки, если не успеваем, то чекер говорит, что флаг уже устарел, и мы за него очков не получаем.

 – Как вы готовитесь к соревнованиям? В чем секрет этих двух побед? 

Антон Чусовитин, 1-й курс магистратуры, участник команды СибГУТИ Life:

С этого года наша подготовка стала более серьёзной. Мы постоянно готовимся к соревнованиям, берём сервисы каких-либо прошедших соревнований, разворачиваем их у нас на сервере в онлайн-режиме и пытаемся найти уязвимость. Эти мероприятия у нас проходят раз в неделю (по одному сервису в неделю), но перед самими соревнованиями чаще – каждый день.

– Расскажите о ближайших планах?
– В октябре – SibirCTF , а в ноябре – электронный отборочный этап на международные соревнования RuCTF, которые проходят в Екатеринбурге. Мы каждый год ездим в Томск. 

  Недавно съездили в Москву на конференцию по информационной безопасности Positive Hack Days 8: Digital Bet. Там было много различных активностей, к примеру, умный дом, в котором наши ребята заняли второе место. Нужно было вскрыть умный замок от дома, затем пройти через лазеры – там стояла инфракрасная камера, которая отслеживала движение, и были два лазера снизу и сверху. Соответственно, нужно было пройти так, чтобы ни камера, ни сами лазеры не среагировали. На следующем этапе нужно было забрать статуэтку и выйти из дома, но незаметно поставить вместо нее что-то такое же по весу, там был датчик давления. Наши ребята прошли все этапы за 40 секунд, а команда, занявшая первое место, – за 35 секунд.
Поделиться этой новостью:

Все новости