Otus

Как мы организовывали соревнования «CTF» по информационной безопасности

Быстрые эксперименты – это часть философии OTUS, которой мы стараемся следовать во всех сферах нашей работы. Одним из примеров такого эксперимента является подготовка и проведение соревнования – CTF в области информационной безопасности.

Сказано – сделано! Совместно с нашими партнерами VolgaCTF и СTF.Moscow в начале декабря 2019 года, мы провели собственные командные онлайн-соревнования по ИБ. В этом материале мы хотим кратко рассказать о том, как это было, с чем мы столкнулись в процессе и какие выводы сделали.

CTF (Capture the flag) — это командная игра, главной целью которой является захват «флага» у соперника. Как уже было сказано выше, в нашем случае, речь идет о командных соревнованиях по информационной безопасности.

Правила и особенности

Соревнования проходили в течение 5 дней по трём направлениям. По каждому направлению участникам были предложены задания разной степени сложности:

1. Реверс-инжиниринг.

— декомпилировать Python-код;

— восстановить логику работы программ, используя только низкоуровневый код;

— исследовать работу Android-приложений.

2. Пентест.

— поиск уязвимостей на веб-сайтах.

3. Безопасность Linux + безопасная разработка.

— проверить корректность конфигурации серверов;

— найти ошибки, допущенные в ходе разработки ПО.

После проведения основной части мероприятия состоялись три последовательных вебинара, где мы давали правильные ответы и объявили окончательные результаты. Подробные решения задач в последующем были описаны в рассылках и публикациях в нашем блоге на Хабре, где с ними могут ознакомиться все желающие.

На подготовку соревнования у нас ушло полтора месяца. Надо сказать, что это очень быстро для подобного рода соревнований. Нам помог большой опыт в проведении CTF у наших партнеров. Другой сложностью было то, что соревнования надо было скоординировать с запуском четырех наших курсов по информационной безопасности, которые стартовали в декабре. Немаловажно, что руководители всех четырех курсов принимали участие в блоке из трех вебинаров с подведением итогов CTF.

Александр Павлов

Помимо спортивного интереса и профессионального азарта мы дали участникам еще несколько бонусов. По итогам CTF победитель каждого из направлений получал в качестве приза бесплатное место на любом из наших курсов по информационной безопасности. А также было еще одно призовое место, которое можно было получить благодаря нашему партнеру — Volga CTF, Кроме того, мы подготовили специальные скидки для наиболее активных участников соревнований. В общем бороться было за что.)

Мы пришли к выводу, что формат интересен людям, и что не менее важно – полезен. В ближайшее время планируем внедрять его в том числе в наши образовательные курсы по ИБ. Ведь именно решая практические задачи человек получает реальный и ценный опыт.

Евгений Картавец
0
Комментарии
Читать все 0 комментариев
null