Быстрые эксперименты – это часть философии OTUS, которой мы стараемся следовать во всех сферах нашей работы. Одним из примеров такого эксперимента является подготовка и проведение соревнования – CTF в области информационной безопасности.
Сказано – сделано! Совместно с нашими партнерами VolgaCTF и СTF.Moscow в начале декабря 2019 года, мы провели собственные командные онлайн-соревнования по ИБ. В этом материале мы хотим кратко рассказать о том, как это было, с чем мы столкнулись в процессе и какие выводы сделали.
CTF (Capture the flag) — это командная игра, главной целью которой является захват «флага» у соперника. Как уже было сказано выше, в нашем случае, речь идет о командных соревнованиях по информационной безопасности.
Правила и особенности
Соревнования проходили в течение 5 дней по трём направлениям. По каждому направлению участникам были предложены задания разной степени сложности:
1. Реверс-инжиниринг.
— декомпилировать Python-код;
— восстановить логику работы программ, используя только низкоуровневый код;
— исследовать работу Android-приложений.
2. Пентест.
— поиск уязвимостей на веб-сайтах.
3. Безопасность Linux + безопасная разработка.
— проверить корректность конфигурации серверов;
— найти ошибки, допущенные в ходе разработки ПО.
После проведения основной части мероприятия состоялись три последовательных вебинара, где мы давали правильные ответы и объявили окончательные результаты. Подробные решения задач в последующем были описаны в рассылках и публикациях в нашем блоге на Хабре, где с ними могут ознакомиться все желающие.
На подготовку соревнования у нас ушло полтора месяца. Надо сказать, что это очень быстро для подобного рода соревнований. Нам помог большой опыт в проведении CTF у наших партнеров. Другой сложностью было то, что соревнования надо было скоординировать с запуском четырех наших курсов по информационной безопасности, которые стартовали в декабре. Немаловажно, что руководители всех четырех курсов принимали участие в блоке из трех вебинаров с подведением итогов CTF.
Помимо спортивного интереса и профессионального азарта мы дали участникам еще несколько бонусов. По итогам CTF победитель каждого из направлений получал в качестве приза бесплатное место на любом из наших курсов по информационной безопасности. А также было еще одно призовое место, которое можно было получить благодаря нашему партнеру — Volga CTF, Кроме того, мы подготовили специальные скидки для наиболее активных участников соревнований. В общем бороться было за что.)
Мы пришли к выводу, что формат интересен людям, и что не менее важно – полезен. В ближайшее время планируем внедрять его в том числе в наши образовательные курсы по ИБ. Ведь именно решая практические задачи человек получает реальный и ценный опыт.