Учащиеся самарских и поволжских вузов проверили свои силы в сфере информационной безопасности. В городе завершился отборочный этап соревнований VolgaCTF-2012, собравший 29 команд начинающих айтишников из регионов ПФО.
В Самаре завершился отборочный этап межрегиональных межвузовских открытых соревнований в области информационной безопасности VolgaCTF-2012. В киберсоревнованиях CaptureTheFlag (CTF) традиционно приняли участие студенческие команды из разных поволжских вузов.
Впервые соревнования VolgaCTF были проведены в октябре 2011 года на базе Самарского государственного аэрокосмического университета по инициативе и технической организации команды Koibasta. Тогда в соревновании приняли участие восемь команд из вузов Самарской области.
В нынешнем году киберсоревнования захватили большее число команд (их оказалось 29) и профессионалов-членов жюри.
Каждая команда получила от жюри сервер с предварительно установленным набором уязвимых сервисов. На стартовом этапе игры все серверы, доступ к которым получают команды, идентичны. В ходе соревнования участники должны были поддерживать сервисы своих серверов в рабочем состоянии, предотвращая попытки вторжения в них других команд, а также проводить аудит серверов противников. Задача – обнаружить уязвимости на своем сервере и попытаться ликвидировать их, при этом не нарушив работоспособности остальных сервисов. В то же время, используя знания о найденных в своей системе уязвимостях, команда может отыскать их у других команд. Если команда поддерживает свои сервисы в рабочем состоянии, она получает баллы от жюри. Также баллы начисляются за завоеванные у команд-соперников «флаги».
Поволжский этап соревнований стартовал 13 апреля в 18:00. Команды, включающие студентов из различных регионов Приволжского федерального округа, в течение двух суток тестировали свои знания об информационной безопасности и защите данных на практике. Жюри и игровые сервера соревнований расположились в малом конференц-зале межвузовского медиацентра при Самарском государственном аэрокосмическом университете. Организационную поддержку поволжскому этапу турнира оказали департамент информационных технологий и связи Самарской области, ассоциация руководителей служб информационной безопасности, самарские фонды и общественные организации, осуществляющие поддержку в развитии IT-технологий в регионе, а также ведущие технические вузы области.
По итогам двухдневной борьбы победителем стала команда rm-rf из Нижегородского государственного университета им.Лобачевского. Самару на соревнованиях представляли девять команд – делегаты ведущих городских вузов. Самый лучший результат среди самарских участников показала команда Abacus из Самарского государственного аэрокосмического университета имени академика С.П. Королева – ребята заняли восьмое место. Следом за ними десятку лучших замыкают еще две самарские команды – Magic Hat из СамГТУ и BAD Magic из СамГУ.
По оценке представителей команды-победителя rm-rf из Нижнего Новгорода, задания не были простыми, но зато были интересными. «Наиболее интересными оказались задачи на нахождение и эксплуатацию уязвимостей в web-сайтах, – делится участник. – Первой мишенью был пиратский блог, рассказывающий о рангах пиратского братства. Уже через пятнадцать минут команды-соперники внедрили код, скрывающий содержимое некоторых частей страницы. Это дало нам информацию о наличии XSS-уязвимостей. Позднее мы заметили, что блоги регулярно обновлялись, добавлялись новые топики. Хотя, скорее всего, информацию обновляла программа (как нам казалось). Мы решили попробовать эксплуатировать XSS-уязвимость и стандартными методами получить cookie пользователя с правами администратора. На поднятом в интернете снифере отображалась только информация о участниках других команд, но мы не сдались. Перенастроили XSS на IP-адрес внутри VPN и анализатор трафика обнаружил попытку подключения администратора. Ключ был взят!».
Участник команды СамГТУ Magic Hat Артем Писканов отметил, что по сравнению с прошлым годом, когда его команда также принимала участие в соревнованиях, уровень организации мероприятия значительно вырос. «Нас приятно удивило количество команд-участниц из различных городов. Сложность заданий возросла,а сами они стали более увлекательными и разнообразными. За каждое выполненное задание нам давали от 100 до 500 очков. Уровень сложности менялся в зависимости от количества очков. Соответственно, задания на 100-200 очков давались однозначно легче», – рассказал Артем Писканов.
По словам заместителя председателя правительства Самарской области, руководителя департамента информационных технологий и связи Станислава Казарина, подобные соревнования в игровой форме позволяют обратить внимание как будущих, так и действующих IT-специалистов на важнейшую проблему в сфере информационных технологий. «Мы хотим заставить всех задуматься и пересмотреть свое отношение к проблеме информационной безопасности. Мы следим за тем, чтобы на предприятиях работали хорошо подготовленные люди, которые отвечают за защиту информации. Для того, чтобы эта сфера деятельности пополнялась высокопрофессиональными кадрами, нужно популяризировать эту тему среди студентов самарских вузов». Также Станислав Казарин подчеркнул, что VolgaCTF дает возможность студентам продемонстрировать свою профессиональную компетентность и тем самым, возможно, обратить на себя внимание потенциальных работодателей. «Надеюсь, что подобные соревнования привлекут внимание коммерческих участников рынка информационной безопасности и они предоставят работу самым талантливым студентам – участникам Volga CTF», – резюмировал г-н Казарин.
Контекст:
'%20d='M12%2021.6a9.6%209.6%200%201%200%200-19.2%209.6%209.6%200%200%200%200%2019.2Z'/%3e%3cpath%20fill='url(%23b)'%20d='M11.814%2015.9s1.992-.006%202.676%201.578c.042.102.072.21.078.318.018.222-.138.45-.516.3-.606-.24-1.65-.36-2.238-.36-.588%200-1.626.12-2.238.36-.378.15-.534-.078-.516-.3a.989.989%200%200%201%20.078-.318c.69-1.584%202.676-1.578%202.676-1.578Z'/%3e%3cpath%20fill='url(%23c)'%20d='M8.868%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.414%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23d)'%20d='M8.502%2012.534c.54%200%20.99.552%201.122%201.302.108-.228.168-.504.168-.804%200-.774-.414-1.398-.924-1.398-.444%200-.816.468-.906%201.098a.868.868%200%200%201%20.54-.198Z'/%3e%3cpath%20fill='url(%23e)'%20d='M7.878%209.63c-.828%200-1.536.954-.612%201.098.924.144%202.604.942%203.318%201.494.054.066.264.042.246-.12%200-.624-1.944-2.472-2.952-2.472Z'/%3e%3cpath%20fill='url(%23f)'%20d='M11.814%2016.422s1.62-.006%202.73%201.242a.675.675%200%200%200-.06-.186c-.684-1.584-2.676-1.578-2.676-1.578s-1.992-.006-2.676%201.578c-.024.06-.042.12-.06.186%201.122-1.248%202.742-1.242%202.742-1.242Z'/%3e%3cpath%20fill='url(%23g)'%20d='M15.132%2014.436c.51%200%20.924-.626.924-1.398%200-.772-.414-1.398-.924-1.398s-.924.626-.924%201.398c0%20.772.413%201.398.924%201.398Z'/%3e%3cpath%20fill='url(%23h)'%20d='M15.498%2012.534c-.54%200-.99.552-1.122%201.302a1.886%201.886%200%200%201-.168-.804c0-.774.414-1.398.924-1.398.444%200%20.816.468.906%201.098a.868.868%200%200%200-.54-.198Z'/%3e%3cpath%20fill='url(%23i)'%20d='M16.122%209.63c.828%200%201.536.954.612%201.098-.924.144-2.604.942-3.318%201.494-.054.066-.264.042-.246-.12%200-.624%201.944-2.472%202.952-2.472Z'/%3e%3cdefs%3e%3clinearGradient%20id='d'%20x1='8.877'%20x2='8.877'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='e'%20x1='8.83'%20x2='8.83'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3clinearGradient%20id='f'%20x1='11.815'%20x2='11.815'%20y1='15.218'%20y2='16.729'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='h'%20x1='15.123'%20x2='15.123'%20y1='12.064'%20y2='13.315'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23512D00'/%3e%3c/linearGradient%3e%3clinearGradient%20id='i'%20x1='15.17'%20x2='15.17'%20y1='12.955'%20y2='10.055'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%233C2200'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/linearGradient%3e%3cradialGradient%20id='a'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(8.4154%20-4.79967%203.92104%206.87487%209.836%208.178)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23FF9214'/%3e%3cstop%20offset='1'%20stop-color='%23FF4E0D'/%3e%3c/radialGradient%3e%3cradialGradient%20id='b'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(2.10199%200%200%201.11973%2011.815%2017.023)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='c'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(.3772%201.3029%20-.84296%20.24404%208.585%2013.07)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3cradialGradient%20id='g'%20cx='0'%20cy='0'%20r='1'%20gradientTransform='matrix(-.3772%201.3029%20-.84296%20-.24404%2015.441%2013.047)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='.001'%20stop-color='%237A4400'/%3e%3cstop%20offset='1'%20stop-color='%23643800'/%3e%3c/radialGradient%3e%3c/defs%3e%3c/svg%3e)
