Реверс-инжиниринг программ, поиск веб-уязвимостей и две недели в Сочи: чего ждать студентам от «Кибервызова»

В 70-х годах для взлома телефонных сетей использовался обыкновенный свисток, в 90-х Адриан Ламо взламывал банки через интернет, используя только возможности браузера. Мир кибербезопасности не стоит на месте, постоянно усложняется и остаётся одной из самых интересных и захватывающих сфер в IT. Специально для тех, кому она интересна уже в институте, «Ростелеком» и «Ростелеком-Солар» уже второй год подряд дают возможность проверить свои силы в индивидуальных соревнованиях «Кибервызов». Итак, под катом — о том, как будут проходить эти соревнования, примеры заданий и рассказы победителей прошлого года о том, что оказалось самым сложным и как они съездили в НТУ «Сириус» на углублённый курс по информационной безопасности.

Что надо будет взломать?

Ничего, но всё равно будет интересно. «Кибервызов» проходит онлайн в два этапа. Основное веселье будет в начале: участникам необходимо в течение двух суток решать задачи по криптографии, поиску и эксплуатации бинарных уязвимостей, расследованию инцидентов, программированию и веб-безопасности. А для драйва на сайте будет табло с результатами в режиме реального времени. 

Задачи делятся на шесть категорий:

• Crypto — криптографическая защита информации;
  
• PWN — поиск и эксплуатация реальных уязвимостей;
  
• PPC — программирование подсистем безопасности (professional programming and coding);
  
• Reverse — обратная разработка и исследование программ;
  
• WEB — обнаружение веб-уязвимостей;
  
• Forensic — расследование инцидентов в IT-сфере.
  

Категория состоит из 2–6 заданий, в каждом из которых нужно отправить «флаг» — кодовый набор символов — и получить за него баллы. Все флаги соревнования имеют одинаковый формат: CC{[\x20-\x7A]+}. Пример: CC{w0w_y0u_f0und_7h3_fl46}. Флаг используется в качестве секретной информации, которую нужно извлечь, находя уязвимости в анализируемых сервисах или исследуя предоставленный файл. Отправленные флаги проверяются автоматически, и результаты выполнения можно увидеть в режиме реального времени на табло.

После первого этапа 70 человек, набравших наибольшее количество баллов, попадут на скайп-интервью со специалистами «Ростелеком-Солар», где они проверят знания и раздадут приглашения на образовательную программу по кибербезопасности банковской сферы в НТУ «Сириус». 

Качать Kali Linux и WireShark?

Не только. Например, в категории Web участникам был предложен сервис, в котором нужно было повысить привилегии пользователя за счёт эксплуатации web-уязвимости. В другом задании из категории Crypto необходимо было расшифровать сообщение, секретный ключ к которому неизвестен. 

В каждом задании мы старались дать рекомендации и избавить участников от очевидно неудачных решений. Например, не использовать сканеры портов там, где это заранее бесполезно. А заодно подготовили список утилит, которые могут пригодиться:

• в категории Crypto: Cryptool, Sage, xortool, John the Ripper;
  
• в категории PWN: поиск и эксплуатация реальных уязвимостей OpenStego, Steghide, GIMP, Audacity;
  
• в категории PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
  
• в категории Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
  
• в категории Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
  
• в категории Forensic: binwalk, ExifTool, Volatility.
  

Все задачи прошлого года можно посмотреть по ссылке. Они создавались на основе реальных угроз и уязвимостей, с которыми сталкиваются специалисты по информационной безопасности. Для тех, кто успешно пройдёт оба этапа, мы вместе с Банком России подготовили двухнедельный курс по кибербезопасности в банковской сфере.

И что, будет интересно?

Мы пинганули победителей прошлого года, и они вернули TRUE, а заодно скинули лог того, что было на прошлом «Кибервызове». 

Василий Брит: «Летом, после окончания первого курса университета, я играл с друзьями в Dota2, и тут мне в чат кинули ссылку о „Кибервызове". В CTF я прежде не принимал участия и не верил, что реально можно выиграть приз. Я решил доказать себе и всем остальным, что „нельзя просто так взять и поехать в Сочи". 
Я решил задачи из категории Crypto, Web, Forensic и PPC. Самой сложной категорией был Reverse. Его почти никто не решил, потому что задания были составлены профессионалами и времени на них не хватило. Для решения Web помогли фазеры honggfuzz и wfuzz, а также клавиша F12. Задачи Crypto решались с помощью xortool и cyberchief. На самом деле утилиты были указаны в заданиях и можно было не тратить время на поиск подходящих инструментов. Самым крутым оказалось задание по Forensic — был дан дамп оперативной памяти и требовалось узнать, что было открыто в браузере, на рабочем столе, и достать все данные.

Поездка в Сочи стоила тех бешеных 24 часов с решением заданий — преподаватели «Сириуса» две недели рассказывали про информационную безопасность, начиная от Web и заканчивая бинарными уязвимостями с инструментами для их поиска. Рассказали про всё очень лаконично, с практикой и примерами. В этом году определённо буду участвовать». 

Дмитрий Зотов: «Я в CTF играю не впервые, и задания „Кибервызова" показались мне очень интересными, но достаточно сложными. Очень понравились задания из категории Web и Reverse, хоть я его и не решил. Благодаря динамическому скорингу можно было видеть в процессе соревнований, кто и какие задания решил. Чем больше людей решали задание, тем меньше за него давали баллов, но ты мог отследить это и выбрать более сложные задания. Так у меня сложилось с одним из заданий категории Web — кроме меня его решила только пара человек. Для решения Web чаще всего самый полезный инструмент — консоль разработчика в Chrome ну и самые простые консольные утилиты: curl, wget и python. Но самым классным оказалось задание из категории Reverse — были даны службы Windows, где с первого взгляда было совершенно ничего не понятно. Я не смог оставить его даже после окончания соревнования и дорешал уже после.

В «Сириусе» нам давали тонны полезной информации по кибербезопасности, начиная от различных стандартов в этой области и заканчивая тем, как действует малварь в Windows и на что смотреть, чтобы её обнаружить. Я познакомился с классными людьми и отлично отдохнул, обязательно попробую свои силы в этом году и всем советую». 

Роман Никитин: «Я регулярно участвую в соревнованиях CTF, и в „Кибервызове" для меня было много полезных и новых задач, с которыми прежде я не сталкивался. По моему мнению, самые интересные задания были в категориях Reverse, Forensic и Web. В Web нужно было найти уязвимость XXE, и это была одна из самых „дорогих" задач по динамической разбалловке. Самой сложной категорией стал Reverse: уровень заданий был сильно выше, чем в остальных категориях, — это было неожиданно и времени не хватило. Но самым крутым во всём соревновании был, разумеется, приз в виде поездки в „Сириус", обязательно буду бороться за него и в этом году». 

Ок, а где подробности?

На сервере Пентагона. У нас на сайте. Смотри задачи прошлого года и готовься к новой теме — безопасности финансовой сферы. Зарегистрироваться в «Кибервызове» могут студенты 2–6-го курсов бакалавриата, магистратуры, специалитета всех городов России до 28 августа по ссылке. Удачи, %username%!