Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу.Кратко о событии
Уже второй год, весной, мы проводим соревнования по информационной безопасности SibirCTF при поддержки Томского государственного университета систем управления и радиоэлектроники (ТУСУР), Администрации Томской области, межрегиональной общественной организации «АРСИБ», Сибирского регионального отделения учебно-методического объединения (СибРОУМО) вузов России по образованию в области информационной безопасности.
Соревнования проводились с 22 по 23 мая в рамках мероприятий Форума молодых ученых U-NOVUS – 2015. Формат игры стал уже традиционный Attack-Defense. В этом году участвовало 14 команд из разных городов СФО: Новосибирск, Омск, Красноярск, Барнаул, Томск. К нам даже хотели приехать команды из Самары и Дальнего Востока, но у них почему-то не получилось. Впрочем, конкуренция была и так высокая.
Организация соревнований
Техническую часть соревнований уже второй год подряд взяла на себя команда keva. Команда состоит в основном из студентов и выпускников ТУСУРа. За создание сервисов, организацию и настройку сети, настройку жюрейной системы, а также другие технические вопросы отвечали 10 человек.
Вся работа началась за 3 месяца до проведения мероприятия. Было принято решение использовать жюрейную систему Екатеринбургской команды HackerDom (после проведения соревнования было принято решение ее больше не использовать). Каждой команде выдавался доступ к виртуальной машине, на которой были запущены игровые сервисы. Жюрейная система также была запущена на виртуальной машине.
Оборудование
Понадобилось много оборудования. Но желание оптимизировать бюджет дало свои плоды. В итоге обошлись одним сервером для виртуальных машин (в прошлом году их было 2: игровой и резервный). Конфигурация серверов такова: 2 четырехядерных Xeon, 64 Гб ОЗУ, RAID массив на 8 Тб. В качестве головного маршрутизатора использовался Mikrotik RB1100X2AH. Агрегирующий коммутатор — Mikrotik серии CloudRouter Switch. В качестве коммутаторов доступа — россыпь различных D-link и 3Com. В прошлом году все коммутаторы и маршрутизаторы были Cisco (в этом году мы поддержали программу импортозамещения).
Сервисы
Основу любых соревнований CTF Attack-Defense составляют сервисы. Их качество, оригинальность во много определяют успех соревнований.
Подготовку сервисов мы начали за 3 месяца до старта. Нам хотелось сделать сервисы легкие в понимании (ведь уровень команд разный), но и достаточно сложные в нахождении и исправлении всех уязвимостей.
В итоге было принято решение разработать 4 сервиса: CryChat, O'Foody, CTFGram, EasyAs. Далее подробно о каждом из них.
CryChat
Сервис написан на языке PHP. Хотелось создать анонимный чат для двух пользователей для отсылки друг другу сообщений и файлов. Что актуально на сегодняшний день. Видео разбора сервиса:
O'Foody
Сервис написан на языке Perl. В сервисе присутствовало 4 уязвимости. Perl был выбран из-за высокой скорости разработки, а также из-за желание показать участникам, что на этом языке можно писать красивый код. В качестве БД использовался PostgreSQL. Видео разбора сервиса:
CTFGram
Сервис написан на языке Javascript. Основная идея сервиса аналог Instagram-a. Можно было регистрироваться, загружать свои фотографии, ставить лайки. Видео разбора сервиса:
EasyAs
Сервис написан на языке Python. Этот сервис предполагался как начальный и самый простой. Если вы посмотрите код, то поймете почему. Видео разбора сервиса:
Видео
Ролик от наших партнеров из АРСИБ:
Результаты
Результаты выглядят следующим образом:
- SuSlo.PAS
- Failers
- FTS
- Life
- Mustang
- OMAVIAT
- Sharlike
- SibirTSU
- Zanyato
- TIO
- Luck3rz
- Shikata ga nai
- Hell ZIP
- n57u n00bz
Команды Mustang и Shikata ga nai участвовали вне зачета.
SibirCTF 2016
В следующем году мы хотим многое сделать, у нас куча идей, новые форматы, приближенные к реальным ситуациям. Если у Вас есть какие-то предложения, то мы будем рады выслушать их.
Ждем вас в следующем году.
Ссылка на репозиторий: SibirCTF
Отдельное спасибо хотелось бы сказать АРСИБ за предоставленные фотографии.
P.S. Хотелось бы услышать мнение ХабраСообщества о сервисах, а также услышать впечатления от участников соревнования.
