Уже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу.
Уже второй год, весной, мы проводим соревнования по информационной безопасности SibirCTF при поддержки Томского государственного университета систем управления и радиоэлектроники (ТУСУР), Администрации Томской области, межрегиональной общественной организации «АРСИБ», Сибирского регионального отделения учебно-методического объединения (СибРОУМО) вузов России по образованию в области информационной безопасности.
Соревнования проводились с 22 по 23 мая в рамках мероприятий Форума молодых ученых U-NOVUS – 2015. Формат игры стал уже традиционный Attack-Defense. В этом году участвовало 14 команд из разных городов СФО: Новосибирск, Омск, Красноярск, Барнаул, Томск. К нам даже хотели приехать команды из Самары и Дальнего Востока, но у них почему-то не получилось. Впрочем, конкуренция была и так высокая.
Техническую часть соревнований уже второй год подряд взяла на себя команда keva. Команда состоит в основном из студентов и выпускников ТУСУРа. За создание сервисов, организацию и настройку сети, настройку жюрейной системы, а также другие технические вопросы отвечали 10 человек.
Вся работа началась за 3 месяца до проведения мероприятия. Было принято решение использовать жюрейную систему Екатеринбургской команды HackerDom (после проведения соревнования было принято решение ее больше не использовать). Каждой команде выдавался доступ к виртуальной машине, на которой были запущены игровые сервисы. Жюрейная система также была запущена на виртуальной машине.
Понадобилось много оборудования. Но желание оптимизировать бюджет дало свои плоды. В итоге обошлись одним сервером для виртуальных машин (в прошлом году их было 2: игровой и резервный). Конфигурация серверов такова: 2 четырехядерных Xeon, 64 Гб ОЗУ, RAID массив на 8 Тб. В качестве головного маршрутизатора использовался Mikrotik RB1100X2AH. Агрегирующий коммутатор — Mikrotik серии CloudRouter Switch. В качестве коммутаторов доступа — россыпь различных D-link и 3Com. В прошлом году все коммутаторы и маршрутизаторы были Cisco (в этом году мы поддержали программу импортозамещения).
Основу любых соревнований CTF Attack-Defense составляют сервисы. Их качество, оригинальность во много определяют успех соревнований.
Подготовку сервисов мы начали за 3 месяца до старта. Нам хотелось сделать сервисы легкие в понимании (ведь уровень команд разный), но и достаточно сложные в нахождении и исправлении всех уязвимостей.
В итоге было принято решение разработать 4 сервиса: CryChat, O'Foody, CTFGram, EasyAs. Далее подробно о каждом из них.
Сервис написан на языке PHP. Хотелось создать анонимный чат для двух пользователей для отсылки друг другу сообщений и файлов. Что актуально на сегодняшний день. Видео разбора сервиса:
Сервис написан на языке Perl. В сервисе присутствовало 4 уязвимости. Perl был выбран из-за высокой скорости разработки, а также из-за желание показать участникам, что на этом языке можно писать красивый код. В качестве БД использовался PostgreSQL. Видео разбора сервиса:
Сервис написан на языке Javascript. Основная идея сервиса аналог Instagram-a. Можно было регистрироваться, загружать свои фотографии, ставить лайки. Видео разбора сервиса:
Сервис написан на языке Python. Этот сервис предполагался как начальный и самый простой. Если вы посмотрите код, то поймете почему. Видео разбора сервиса:
Ролик от наших партнеров из АРСИБ:
Результаты выглядят следующим образом:
Команды Mustang и Shikata ga nai участвовали вне зачета.
В следующем году мы хотим многое сделать, у нас куча идей, новые форматы, приближенные к реальным ситуациям. Если у Вас есть какие-то предложения, то мы будем рады выслушать их.
Ждем вас в следующем году.
Ссылка на репозиторий: SibirCTF
Отдельное спасибо хотелось бы сказать АРСИБ за предоставленные фотографии.
P.S. Хотелось бы услышать мнение ХабраСообщества о сервисах, а также услышать впечатления от участников соревнования.
Кратко о событии
Уже второй год, весной, мы проводим соревнования по информационной безопасности SibirCTF при поддержки Томского государственного университета систем управления и радиоэлектроники (ТУСУР), Администрации Томской области, межрегиональной общественной организации «АРСИБ», Сибирского регионального отделения учебно-методического объединения (СибРОУМО) вузов России по образованию в области информационной безопасности.
Соревнования проводились с 22 по 23 мая в рамках мероприятий Форума молодых ученых U-NOVUS – 2015. Формат игры стал уже традиционный Attack-Defense. В этом году участвовало 14 команд из разных городов СФО: Новосибирск, Омск, Красноярск, Барнаул, Томск. К нам даже хотели приехать команды из Самары и Дальнего Востока, но у них почему-то не получилось. Впрочем, конкуренция была и так высокая.
Организация соревнований
Техническую часть соревнований уже второй год подряд взяла на себя команда keva. Команда состоит в основном из студентов и выпускников ТУСУРа. За создание сервисов, организацию и настройку сети, настройку жюрейной системы, а также другие технические вопросы отвечали 10 человек.
Вся работа началась за 3 месяца до проведения мероприятия. Было принято решение использовать жюрейную систему Екатеринбургской команды HackerDom (после проведения соревнования было принято решение ее больше не использовать). Каждой команде выдавался доступ к виртуальной машине, на которой были запущены игровые сервисы. Жюрейная система также была запущена на виртуальной машине.
Оборудование
Понадобилось много оборудования. Но желание оптимизировать бюджет дало свои плоды. В итоге обошлись одним сервером для виртуальных машин (в прошлом году их было 2: игровой и резервный). Конфигурация серверов такова: 2 четырехядерных Xeon, 64 Гб ОЗУ, RAID массив на 8 Тб. В качестве головного маршрутизатора использовался Mikrotik RB1100X2AH. Агрегирующий коммутатор — Mikrotik серии CloudRouter Switch. В качестве коммутаторов доступа — россыпь различных D-link и 3Com. В прошлом году все коммутаторы и маршрутизаторы были Cisco (в этом году мы поддержали программу импортозамещения).
Сервисы
Основу любых соревнований CTF Attack-Defense составляют сервисы. Их качество, оригинальность во много определяют успех соревнований.
Подготовку сервисов мы начали за 3 месяца до старта. Нам хотелось сделать сервисы легкие в понимании (ведь уровень команд разный), но и достаточно сложные в нахождении и исправлении всех уязвимостей.
В итоге было принято решение разработать 4 сервиса: CryChat, O'Foody, CTFGram, EasyAs. Далее подробно о каждом из них.
CryChat
Сервис написан на языке PHP. Хотелось создать анонимный чат для двух пользователей для отсылки друг другу сообщений и файлов. Что актуально на сегодняшний день. Видео разбора сервиса:
O'Foody
Сервис написан на языке Perl. В сервисе присутствовало 4 уязвимости. Perl был выбран из-за высокой скорости разработки, а также из-за желание показать участникам, что на этом языке можно писать красивый код. В качестве БД использовался PostgreSQL. Видео разбора сервиса:
CTFGram
Сервис написан на языке Javascript. Основная идея сервиса аналог Instagram-a. Можно было регистрироваться, загружать свои фотографии, ставить лайки. Видео разбора сервиса:
EasyAs
Сервис написан на языке Python. Этот сервис предполагался как начальный и самый простой. Если вы посмотрите код, то поймете почему. Видео разбора сервиса:
Видео
Ролик от наших партнеров из АРСИБ:
Результаты
Результаты выглядят следующим образом:
- SuSlo.PAS
- Failers
- FTS
- Life
- Mustang
- OMAVIAT
- Sharlike
- SibirTSU
- Zanyato
- TIO
- Luck3rz
- Shikata ga nai
- Hell ZIP
- n57u n00bz
Команды Mustang и Shikata ga nai участвовали вне зачета.
SibirCTF 2016
В следующем году мы хотим многое сделать, у нас куча идей, новые форматы, приближенные к реальным ситуациям. Если у Вас есть какие-то предложения, то мы будем рады выслушать их.
Ждем вас в следующем году.
Ссылка на репозиторий: SibirCTF
Отдельное спасибо хотелось бы сказать АРСИБ за предоставленные фотографии.
P.S. Хотелось бы услышать мнение ХабраСообщества о сервисах, а также услышать впечатления от участников соревнования.