В 1993 году в Лас-Вегасе сотня молодых хакеров собралась на «вечеринку для своих». Никто из них не подозревал, что положил начало движению, которое изменит подход к обучению специалистов по информационной безопасности.
За 30 лет формат Capture The Flag прошел путь от неформальных встреч студентов до масштабных шоу с призами и многочисленными спонсорами. Он завоевал мир, но, похоже, скоро снова вернется в аудитории вузов.
Об истории этого движения расскажет директор по развитию Бастиона Алексей Гришин — член оргкомитета VolgaCTF, одного из трех крупнейших российских CTF-соревнований, и организатор более 40 хакерских ивентов.
Пара бурных ночей в Лас-Вегасе
История хакерских соревнований берет начало в 1993 году, когда Джефф Мосс, известный под псевдонимом «Dark Tangent», организовал первую хакерскую конференцию DEF CON в Лас-Вегасе.
По первости это должна была быть «вечеринка для своих» — участников канадского хакерского фидонета «Platinum Net». Но судьба распорядилась иначе: один из организаторов внезапно переехал и отказался от участия. 18-летний Джефф, недолго думая, взял бразды правления в свои руки.
«А почему бы не пригласить всех из канала #hack?» — подумал он. В итоге в июне 1993 года в Неваду съехалась целая сотня увлеченных хакеров.
Уже через год число участников удвоилось, и далее по нарастающей. Сейчас эта конференция стала одним из важнейших событий в мире ИБ.
Хакерские состязания были неотъемлемой частью DEF CON с самого начала. Однако официальный соревновательный формат CTF появился только на DEF CON 4 в 1996 году. Так зародилась традиция, которой уже больше 25 лет.
Первое время участники не столько взламывали серверы, сколько искали способы обойти правила самих соревнований.
Поначалу состязания были довольно хаотичными, но со временем их структура усложнялась. Появились независимые организаторы, которые занялись настройкой инфраструктуры и автоматизацией всех процессов, включая подсчет очков.
К DEF CON 10 формат прокачался до противостояния в стиле Red vs Blue: команды атаковали чужие сервисы и защищали свои. Организаторы добавили элемент неожиданности: до начала игры участники не знают ни алгоритм подсчета очков, ни структуру сети, ни используемые операционные системы.
В «меню» входят любые типы заданий — от классических SQL-инъекций и XSS до изысканных криптографических уязвимостей. Любителям олдскула предлагают фирменное переполнение буфера, а гурманам — тайминг-атаки и эксплойты кучи. Для полноты картины добавьте некорректные сетевые конструкции и самописные интерпретаторы. Список испытаний постепенно становится всё более изощренным: в 2023 году организаторы и вовсе замахнулись на космос, поставив перед участниками задачу взломать настоящий спутник.
С ростом популярности CTF организаторам пришлось внедрить систему отборочных туров по олимпийской системе. Теперь команды сначала соревнуются онлайн перед конференцией. Лучшие получают приглашение на очный финал.
2001–2009: iCTF и первые игры университетов
Не всё, что происходит в Вегасе, там и остается. Хакерские соревнования оказались настолько заразительными, что проникли в университеты.
В 2001 году профессор Джованни Винья с кафедры компьютерных наук UCSB решил разбавить теорию практикой, устроив локальные CTF для своих студентов. К 2003 году его инициатива выросла до масштабов Калифорнии, собрав 14 команд со всей Америки. А еще через год ивент стал международным: подтянулись европейские хакеры из Австрии, Германии, Италии и Норвегии. Так в названии появилась буква «i».
В iCTF каждая команда получает виртуальный сервер с набором уязвимых сервисов. Задача — держать сервисы на плаву, одновременно отбиваясь от чужих атак и пытаясь взломать соперников.
С 2009 года организаторы iCTF начали экспериментировать со сценариями. Сперва участники должны были взломать браузеры большой группы пользователей, украсть их деньги и создать ботнет. В другой раз команды объединились в борьбе против диктатора виртуальной Литии. Timing is everything — атаковать инфраструктуру разрешалось только в определенные моменты, привязанные к игровым событиям. За преждевременные атаки система безопасности отправляла команды в «бан».
К этому времени CTF-движение докатилось и до России, причем организованы первые игры были не в столицах, а на Урале.
2006–2009: первые студенческие игры в России
Первый российский CTF-турнир стартовал в мае 2006 года в Уральском государственном университете (ныне поглощен УрФУ). В битве сошлись домашняя команда из Екатеринбурга и объединенная сборная челябинских вузов (ЧелГУ + ЮУрГУ).
Турнир окрестили UralCTF, и он был олдскульным до мозга костей: никаких тебе автоматических флагов и подсчета очков — все вручную. Но формат настолько зашел участникам, что они решили сделать UralCTF регулярным — правда, поначалу только в IRL-режиме.
В 2008 году соревнования вышли на всероссийский уровень и превратились в RuCTF. Как ни странно, сайт со всей организационной информацией сохранился до наших дней.
Первый турнир собрал 9 команд из разных вузов страны. К следующему релизу количество участников почти удвоилось — уже 16 команд. Появился и талисман: бегущий человечек с флагом. До конца 2011 года руководителем команды организаторов был преподаватель матмеха УрГУ Илья Зеленчук.
Бегущий человечек стал памятным и знаковым символом, быстро заслужив признание в молодой и активно растущей тусовке студенческих ИБ команд. Памятных сувениров с соревнований в те года было очень мало. В моей памяти отложился яркий эпизод как мы возвращаясь из Екатеринбурга в родной ВУЗ в 2013 году разыгрывали в команде флэшку Transcend на 4 Gb в металлическом корпусе с гравированным лого. Играли мы тогда в настолку «Манчкин Фу» где мне каким-то чудом посчастливилось выиграть памятный сувенир, сохранившийся у меня до сих пор 😊
RuCTF работал в двухэтапном режиме: сначала онлайн-квалификация, потом оффлайн-финал.
Онлайн-отбор проходил в формате Task based — этакая «Своя игра» для гиков. Задания были разбиты по категориям и сложности.
Перечень испытаний постоянно обновлялся: некоторые модули (например, задачи по администрированию) отправились в /dev/null, другие держались в топе до временной приостановки состязаний. Полный changelog заданий за 2019–2020 можно откопать в архиве соревнований.
Очная часть проходила в формате Attack-Defense. Каждая команда получала по виртуалке-близнецу с предустановленным сервисом. Задача — классическая мультивекторная: найти уязвимости, пропатчить свою систему и захватить флаги соперников.
Игра делилась на раунды. Команды зарабатывали очки двумя способами: за успешную защиту своей инфраструктуры и за «похищенные» флаги противника.
В ранних версиях RuCTF существовала еще одна механика — «advisory». Команды не только хакали и патчили, но и документировали найденные уязвимости, словно авторы CVE. Жюри оценивало эти отчеты и начисляло дополнительные баллы. Причем чем дольше описание уязвимости оставалось нераскрытым, тем больше была награда.
Благодаря уже многим забытому «advisory» мы, впервые приехав на финал CTF-соревнований, смогли показать себя достойно (5 место).
В 2009 году RuCTF запустил международную версию — появился онлайн-формат для участников со всего мира. К турниру прикрутили пятидневную образовательную конференцию.
2010–2011: российские CTF выходят на новый уровень
2010 год стал поворотным для развития CTF в России. Подсмотрев опыт Екатеринбурга, многие вузы начали проводить собственные турниры. В этом же тренде моя команда в 2011 году задеплоила VolgaCTF — еще одну ветку в растущем древе российских CTF.
К этому моменту у некоторых хакерских соревнований появляются бюджеты. Гиганты инфобеза — Positive Technologies, LETA и Digital Security — быстро просекли фишку: соревнования = идеальный HR-pipeline для поиска талантов.
В столицах стартанули два ивента: московская Positive Hack Days и питерская ZeroNights. Классическое противостояние двух столиц, но, к сожалению, не совсем равное.
Развитие ИБ в России происходило неравномерно. В регионах спрос на ИБ-специалистов был ограничен. Многим выпускникам, в том числе мне, пришлось начинать с sudo-прав сисадмина. А вот московский рынок разогнался, как криптовалюта в 2017-м: Positive Hack набирала обороты, в то время как ZeroNights постепенно утратила влияние.
2012–2013: «собери их всех»
К 2012 году CTF-ивентов стало так много, что Эльдар Заитов (ныне шеф по безопасности инфраструктуры Яндекса) запустил CTFtime.org. Этакий хаб для комьюнити: здесь тебе и расписание турниров, и рейтинги команд, и результаты баталий.
Другим следствием роста стали попытки консолидации CTF-движения под эгидой «АРСИБ». Они пытались провести что-то вроде hostile takeover: обходили других организаторов, предлагая объединиться под единым флагом. По их замыслу, в Москве должно было проводиться крупное центральное мероприятие, которому подчинялись бы все остальные.
Идея превратить эту движуху в турнир с обязательными региональными и федеральными этапами хакерам не зашла. Децентрализованное p2p-взаимодействие между вузами процветало в лучших традициях торрентов. Ваш покорный слуга ежегодно посещал 4–5 CTF в разных ролях: как участник, гость и спикер. В 2012, например, побывал на UFOCTF в Ростове и BaltCTF в Калининграде. Всё работало без бюджетов, на чистом энтузиазме и кофеине. Молодые студенты набирались опыта и всем нравилось! Но на чистом энтузиазме всё не может жить вечно…
Централизация выглядела непривлекательно. Большинство соревнований опиралось на поддержку вузов, которые помогают с размещением студентов, питанием и общей организацией.
Хороший пример — VolgaCTF. Соревнование появилось благодаря инициативе Владислава Владимировича Казарина, тогдашнего министра Департамента информационных технологий и связи Самарской области. Перед правительством ставилась задача: оценить качество ИБ-образования в Самарском регионе.
Ситуация сложилась интересная: в Самаре открылись четыре вуза со специальностями по информационной безопасности, еще один — в Тольятти. Организаторы отправили приглашение на первую Volga CTF всем вузам с разрешением выставить до двух команд. Тольяттинцы в первый год отказались ехать, сославшись на «дальнюю дорогу», а потом ни разу не прошли отбор.
Еще одним фактором против децентрализации послужило то, что регионам было невыгодно проводить мероприятия более низкого уровня, чем у соседей. Наоборот, хотелось привлекать студентов со всей России, а в перспективе — и из других стран, а не ограничиваться региональным уровнем. Так что идея объединения российских CTF в одну пирамидальную структуру не влетела.
2014: CTF приходит в школы
Прошло 10 лет с тех пор, как ребята из SibCTF придумали хакерские соревнования для школьников. Сегодня это кажется очевидным решением, но тогда никто не проводил подобных мероприятий. Практика показала, что школьники могут играть в простые TaskBase, попутно погружаясь в направление ИБ.
Идея всем понравилась, разные вузы и организаторы пытались ее повторить, однако всё оказалось не так просто. Студенты в целом предоставлены самим себе, и никто (кроме деканата) им не указ: могут пойти в CTF играть, могут бить баклуши. Школьники зависят от родителей, педагогов и школьных принципов обучения: всё это определяет уровень компетенций ребят, которые приходят играть.
У нас на VolgaCTF, к примеру, идея не взлетела: команда из одного самарского лицея методично разносила в пух и прах остальных конкурсантов, и соревнования просто потеряли смысл.
Но время не стоит на месте: к 2018 году школьные CTF превратились в способ почувствовать себя студентом: можно и универ изнутри изучить, и со старшекурсниками потусить, и в местное комьюнити хакеров-энтузиастов влиться.
2015–2017: золотой век CTF в России
Эти годы стали настоящим расцветом российских CTF-соревнований. В этот период наши мероприятия приобрели международный размах: к нам приезжали специалисты из Китая, Японии, США, Германии и Польши. На VolgaCTF даже засветились команды из университетов Лиги Плюща. И знаете что? Оказалось, что гики везде одинаковые: умеют и код писать, и водку пить. Хотя, справедливости ради, разница в технологических подходах всё же ощущалась.
RuCTF пошел в народ — соревнования проводили в главном холле Ельцин Центра в Екатеринбурге. Любой посетитель ЕЦ мог посмотреть, как команды штурмуют защитные системы.
В то же время VolgaCTF перебирается из вузовских аудиторий в отель Holiday Inn. Приток финансирования и международных участников повсеместно меняет формат проведения соревнований:
внедряется автоматическая система подсчета баллов;
advisory уходит в прошлое из-за сложности объективной оценки;
в TaskBase появляется прогрессивная шкала оценивания;
а инфраструктуру переводят на Docker.
Правда, как часто бывает в период бурного роста, некоторые локальные соревнования, вроде UFOCTF и калининградского CTF, ушли со сцены.
2018–2020: появление киберполигонов
В 2017–2018 годах специалисты Positive Technologies выступили перед правительством с неожиданным заявлением: формат CTF морально устарел. Говорят что-то вроде: «Решать специально созданные задачи — неэффективно. Нужно тренироваться на реальных сервисах».
В качестве альтернативы они предлагают сделать киберполигон — виртуальную копию реальной инфраструктуры. Идея попала в цель, но проект поручили Ростелекому. И тут тоже получилась конкуренция. Positive Technologies не стали посыпать голову пеплом и запустили собственный проект — Standoff 365.
Но в этой игре мало создать продукт — нужно еще убедить рынок в его необходимости. Ростелеком сделал ставку на образовательный сектор, продвигая свое решение через университеты. А Positive Technologies пошли другим путем, опираясь на свой опыт проведения CityF (не путать с CTF — здесь City как «город»). Они делают физический макет города с действующей инфраструктурой, включая промышленные контроллеры и системы АСУ ТП.
В итоге формат CityF эволюционировал в полноценную кибербитву. На смену статичному макету города с мигающими индикаторами пришла динамичная платформа для противостояния «красных» и «синих» команд.
2022–2024: киберполигон vs CTF
Так мы получили два формата. Positive Technologies нашли свою нишу: они превратили киберполигон в коммерческий продукт, где специалисты по безопасности могут оттачивать навыки в условиях, максимально приближенных к реальным.
С одной стороны, платформа работает как огромный honeypot, собирающий данные о техниках атак. Эту информацию с интересом изучают компании-производители защитного ПО.
Компании платят за возможность отправить свои SOC-команды на цифровой полигон. Positive Technologies помогает настроить защитную инфраструктуру с использованием своих продуктов.
А что же «красные» команды? О, они получают самую твердую валюту в IT — хайп: после регулярных выступлений на Standoff 365 от заказов на пентесты нет отбоя.
В итоге все довольны: «синие» учатся, «красные» пиарятся, PT собирает данные и продает решения. Получается очень жизнеспособная модель.
В то же время классические CTF получают удар за ударом. Сначала COVID-19 разогнал команды по домам. ZeroNights отменился, большинство ивентов ушли в онлайн. Разве что VolgaCTF нашли выход: уменьшили масштаб и раздавали маски пачками.
2021-й дал слабую надежду — некоторые организаторы даже умудрялись привозить иностранных спикеров. Но февраль 2022-го опустил железный занавес на всю эту историю. Теперь «международным» считается соревнование, которому удалось заманить команду из Казахстана.
Однако я не думаю, что киберполигоны убьют CTF. Разделение на образовательные CTF и киберполигоны — естественный результат развития отрасли. Помните стереотип, что ИБ-специалисты учатся на хакерских форумах? Ну так вот, CTF — это наша легальная песочница для взлома. И пока киберполигоны хвастаются своей «реалистичностью», на CTF качают базовые навыки. Как спортзал и силовой экстрим. В спортзале ты оттачиваешь технику с легкими весами, прежде чем выйти на серьезные нагрузки. Так и здесь: сначала учебные задачи CTF, потом реальные сценарии на киберполигоне.
Похоже, будущее за «двухэтажной» моделью: внизу — уютные CTF-тусовки, где новички учатся азам под присмотром экспертов, а наверху — навороченные киберполигоны для бизнес-среды, где профи показывают работодателям свое мастерство.
Для тех, кто знает меня давно, не будет новостью, что CTF для меня — это в первую очередь крутой и сильно геймифицированный вариант обучения, а уже во вторую — командообразующий\соревновательный процесс. Безумно приятно, что за 15 лет формат CTF стал тиражируемыми и популярным, а так же прочно укоренился в ВУЗах, им привлекают абитуриентов. Благодаря CTF студенты собираются после пар и учатся работать вместе. Киберполигоны же стали яркими конференционными событиями для купных коммерческих компаний, развлечение крупных корпораций…
И знаете что? Это работает. Потому что даже в эпоху стриминговых сервисов уличные музыканты никуда не делись. Просто одни играют ради интереса, для души, а другие — для чартов! 🎸
PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
