«Забудь всё, чему тебя учили!», – пожалуй, каждый из нас слышал эту фразу в начале профессионального пути. А если сегодня ты студент, то весь твой опыт состоит из скучных лекций и сухих фактов. Однако теория хороша, но погружаться в процесс лучше с помощью практических задач. Как это погружение происходит в информационной безопасности? Читайте в нашей статье.
Как показала практика, информация запоминается в разы лучше в игровом формате, а сопернический дух повышает интерес к решению задачи. Итак, что объединяет в себе игру, соперничество и информационную безопасность в единое целое?
Правильно, Capture The Flag (CTF). Это соревнование по спортивному хакингу, развлечение и тренировка одновременно для начинающих пентестеров.
Наша компания работает на рынке информационной безопасности уже 12 лет. За это время мы выстроили систему по взаимодействию с вузами – проводим интенсивы по направлениям информационной безопасности, стажировки студентов внутри компании.
Летом 2023 года мы впервые решили попробовать новый формат взаимодействия со студентами и уже осенью провели свою первую CTF.
Что CTF даст студентам?
Для студентов направлений по информационной безопасности CTF – это возможность продемонстрировать практические навыки и удовлетворить свои «хакерские» запросы (что-нибудь сломать, а то соседский wi-fi уже не так интересен).
Студенты непрофильных направлений, например, с радиотехнического факультета, благодаря CTF могут попробовать выполнить новые задачи и, возможно, найти себя в новой сфере. Эти кадры часто выпадают из поля зрения эйчаров ИТ и ИБ-компаний.
Что нужно для организации CTF?
Задача по организации CTF соревнований поставлена, мы приступили к ее выполнению.
Итак, было необходимо:
- организовать площадку для проведения CTF;
- придумать задачи по разным категориям;
- провести игру;
- наградить победителей;
- сделать врайтапы;
- отобрать самых «интересных» участников и предложить им стажировку с погружением в задачи по пентесту.
Площадка
На поиск площадки мы пошли в Интернет и, проанализировав существующие решения, остановились на ctfd. Она достаточно популярна и проста в конфигурации.
Площадка позволила обеспечить не только быстрое развёртывание и наполнение задачами, но и была достаточно надёжна: за время проведения СTF доступность сервиса нарушена не была.
Задания
Далее предстояло придумать задачи по разным категориям. С заданиями пришлось повозиться. И несмотря на то, что с CTF наши эксперты были знакомы и периодически принимали в них участие, для составления заданий пришлось погружаться в структуру заданий, уровни сложности и разбаловку. Так сказать, взглянуть на ctf с другой стороны – стороны методистов.
Для начала мы выбрали категории, которые будут включены в запланированный CTF. При выборе категорий, руководствовались принципом минимального доступа к ресурсам компании. Поэтому практически все задания необходимо было решать путём скачивания файла (архива) и поиска его локально на компьютере участника. Исключением были задания из категории «веб».
Далее, для каждой категории были составлены задания. Их мы составляли по аналогии с теми, с которыми сталкивались и решали при участии в CTF.
Так как это была первая CTF организованная компанией, то уровень задач был не высокий и практически 90% решались за один шаг.
По итогу получилось так:
Тестирование
Перед тем как запустить мероприятие, для оценки уровня сложности CTF мы запустили его тестовую версию внутри компании, преимущественно среди технического блока.
Результат оказался неоднозначным. Те, кто активно участвовали в CTF, достаточно хорошо прошли задания, те, кто был далёк от соревнований, выполнили около 20%. Остальные же были настолько загружены проектами и, выполнив самое простое задание, ушли на пике славы заниматься более полезными делами :)
ChaCha
Среди всех заданий, было одно, которое никто из сотрудников компании на этапе тестирования так и не смог решить.
Ну, кроме самого автора задания ;)
Даже специалист, который участвовал в CTF практически каждую неделю решил всё, кроме ChaCha. Сейчас, возможно, ветераны CTF скажут, что тут и решать нечего, но субъективно, это задание по сложности напоминает миссию с вертолетом из GTA Vice City.
В итоге, мы решили не включать это задание в саму CTF.
Просто оставим здесь это задание.
Our SOC has intercepted your communications and many of the identities of your accomplices have been revealed0afff07b01ad2c4de76b202365fbb208ffa428f052920257436dcb21493fee497295f1b7ffb3d78e8ee4e0f7a01d70fb630e18120541bbbe82c4b394fe816e0950175
cfcd5d7bed41f59d6485f823e9bcf65cb1a148c03f82bebf4c4f4dbb3fe6f59137ca1f9e6415e71cc0277ee
0ed9c0206ad20b58bb6b643a6ff0fe5abaf074b117c1034f0936d864586ab2462ed1ade6e1
11e2e77b22971d1de079362363f3e601e2b528ed069e16044f6f9e3a1a7cf54b3f83edbbfda6c6c780aafdb6b50666ba624f1a044a45b4f0918cb4d8f88660474b1808
e1d5dcea9b510aca495e957099c92a840705920bfc3cf9a4c4b98da6bf6a595a32e4ffe0191230d40f729066f442cd2d6cb12a56b245c1eb665b0ce06f9d0a68f10ed2
ae518bf9ae92c92b4bcb65ed1158deedb6c151cf811dfbef63de3e7248805515dd21ac9843770f847207303e2ef578fde0eac902bace693d6e372455312afe6d712e073
b523e64e6dd35ca97c1bfe6e1ad5f255ef0eec445a9ec5ad6f077689904f1e0272824561f7a7d10755d3809334ade176f9f0981e3fa99ff0ba47a60f70c120e373c57ea79f
4609949c5eb4214b44a29d5b4050c740e59b4c17c7865de50535e1a4ee4
Проведение CTF
Итак, маркетинг сотворил своё маркетинговое дело и привлёк внимание к мероприятию студентов в количестве 166 участников, которые смогли самоорганизоваться в 71 команду. Для первого раза отличный результат.
Как и полагается CTF длилась сутки.
Результаты CTF
По итогам решения задач были определены победители (3 команды), которые получили не только возможность пройти стажировку в нашей компании, но и ценные подарки. Также за целеустремленность мы наградили еще 2 команды, среди которых была команда школьников.
Выводы
Проведение CTF позволило открыть для компании новый формат активности и способ привлечения новых кадров. Кроме того, CTF позволила сотрудникам компании отвлечься от рутинных задач по исполнению проектов и прокачаться в части формирования нестандартных задач.
Участникам соревнований игра понравилась, причем не только опытным игрокам, но и тем, кто впервые вошел в мир CTF.
Не все прошло гладко, но мы провели работу над ошибками и готовы повторить игру вновь, уже на более профессиональном уровне.