06.03.2012

Как выиграть CTF? Из первых уст

image

В этом году мы соберем передовые хакерские команды и просто одиночные дарования со всего мира.

Мы уже писали о том, что на форуме Positive Hack Days пройдут международные хакерские соревнования – PHDays CTF. А еще конкурсы hack2own, где участники смогут попробовать взломать айфон или банкомат. В этом году мы соберем передовые хакерские команды и просто одиночные дарования со всего мира. Как мы их находим? В том числе, с помощью отборочных соревнований.

Чтобы отобрать сильнейших, которые в мае примут участие в битве за монолит, мы провели два отборочных конкурса – командный и индивидуальный. В последнем победу одержал участник небезызвестной российской команды Smoked Chicken – kyprizel. Он единственный решил все задания 2011 года и набрал 100 баллов. За что получил большой респект от организаторов и легендарный XSpider 7.8

Kyprizel любезно согласился ответить на несколько вопросов о заданиях, CTF, хакерах в России вообще. 

Напомним правила: всем участникам нужно было решить задания, которые были представлены на прошлогоднем PHDays CTF. Времени – 2 недели, ресурсы – не ограничены.

Ты ведь не в первый раз участвуешь в CTF? 
kyprizel: да, так получилось, что я могу назвать себя опытным участником. Уже несколько лет наша команда Smoked Chicken участвует в различных CTFах, в том числе международных. Мы поддерживаем дружеские отношения с другими российскими командами, например с LeetMore мы иногда объединяемся для участия в больших соревнованиях, тогда мы выступаем как More Smoked Leet Chicken. 

По итогам PHDays CTF Afterparty: какие впечатления в целом? 

kyprizel: впечатление двоякое. С одной стороны, задания очень приближены к реальным, это круто, с другой стороны, слишком приближены (например, перебор имен файлов в поисках исходников) – это ведь соревнования, здесь нужно жертвовать какой-то составляющей. В целом же уровень подготовки заданий показался хорошим, большинство из них были на удивление логичными.

Задания PHDays CTF Afterparty были составлены из заданий прошлогоднего «живого» CTF. Тогда большинство участников их так и не смогло решить…
kyprizel: да, но у ребят было 8 часов часов, а у меня почти 2 недели, к тому же – часть заданий была с PHDays CTF.Честно говоря, цели решить все задания не было, для меня это было больше for fun. Мы в этом году решили не участвовать как команда в финале PHDays CTF, т.к. хочется попасть на сам форум, послушать доклады, пообщаться, встретиться с интересными людьми (посмотреть на живого Брюса Шнайера), а когда играешь в CTF на мероприятии, сделать это практически не удается. 

А что не понравилось? 
kyprizel: в принципе, был только один момент, который напрягал, – хотелось бы чётко знать, что искать и в каком количестве. Например, в случае с win9x, ты решаешь громоздкое задание, тратишь кучу времени, а получаешь за него всего 1 балл. Причем само задание совершенно простое с точки зрения «думать», но вот процесс решения нудный и громоздкий. Ты заранее не знаешь, сколько баллов получишь за решение, не можешь строить стратегию игры.

Какие будут пожелания организаторам?
kyprizel: 1. всех в равные условия (кириллические имена пользователей – это не спортивно, иностранным участникам с такими учетными записями работать очень не удобно); 2. хорошо тестировать задания; 3. постараться делать задания разнообразными.Конечно, вы уже по сути все это делаете, просто продолжайте развиваться. 

Что понравилось?
kyprizel: вас отличает наличие виртуальной сети, объективно это плюс, никто другой такого не делает, это полноценный эмулятор пентеста. Вообще, у вас нормальный, не плохой CTF. Конечно, он немного не в формате — в нем много веба.

Относительно уровня участников – практика CTF развита на Западе гораздо больше… 

kyprizel: CTF в России существует несколько лет, Екатеринбургская команда Hackerdom каждый год устраивает RuCTF, ориентированный на студентов, и международные RuCTFe, которые стали в этом году вторыми по количеству участников в мире. PHDays CTF существует всего 2 года, но победитель финала PHDays CTF в этом году попадает в финал Defcon CTF без отборочных, думаю, это показатель. 

У нас в стране есть сильные команды и потенциал, главное, чего нам не хватает – массовости. Например, в иностранных командах (я говорю о тех, которые всегда в топе) часто бывает по 20 человек, у нас в среднем по 5-10, поэтому на крупные соревнования нам приходится объединяться. CTF в России только-только набирает обороты, студенты первых курсов подтягиваются, когда сможем выставлять полноценные команды по 15 человек одного уровня, будет круто

То есть нужно нести ИБ в массы?
kyprizel: конечно. Нужно работать с первокурсниками профильных специальностей, большинство приходит нулевые, вот я себя хорошо помню. У меня тяга к теме ИБ была всегда, и если бы кто-то меня выдернул в подобную команду на первом курсе, мой уровень был бы сейчас намного выше.

Что ты посоветуешь начинающим?
kyprizel: В первую очередь нужно желание, а также понимание, как это всё работает и иметь соответствующий образ мыслей. Нужны знания. Не обязательно во всех областях, достаточно просто уметь думать и быть специалистом в своей сфере, команда для того и есть, чтобы каждый занимался своим делом.

kyprizel поделился решениями заданий PHDays CTF Afterparty, готовые решения можно посмотреть здесь.
comments powered by Disqus