В рамках международного форума Positive Hack Days IV, прошедшего в Москве 21 и 22 мая, по традиции состоялось хакерское соревнование Capture The Flag. На протяжении двух дней 10 команд из 6 стран мира взламывали сети соперников и отбивали их атаки.
Традиционно инфраструктура и задания Positive Hack Days CTF разрабатываются согласно общей легенде, которая является настоящей изюминкой соревнований. Во время прошлогоднего CTF участники перевоплотились в спасителей сказочного мира D’Errorim, которому угрожала гибель. Справившись с заданием, они осознали, что сражались не на той стороне, и теперь опасность грозит их собственному дому. Таким образом сюжетная линия объединяет PHDays III CTF, через отборочные соревнования CTF Quals, с финальной битвой во время PHDays IV.
Полный текст легенды соревнований — на сайте форума.
Принцип игры
Обычно соревнования CTF делятся на два типа — task-based, где главная задача заключается в решении подготовленных организаторами заданий, и attack & defence, когда команды должны защищать свои сети и атаковать системы соперников. Positive Hack Days CTF совмещает обе эти концепции, дополняя их индивидуальными игровыми механиками. В частности, помимо стандартных заданий («тасков») и сервисов, содержащих уязвимости, организаторы PHDays CTF разработали уникальные квесты — задания, которые имеют ограниченный срок жизни, а бонус за их выполнение зависит от количества справившихся команд.
Кроме того, каждый год организаторы дают участникам CTF возможность заработать дополнительные очки, приняв участие в конкурсах основной программы. В 2012 году команды искали флаги в специальном контейнере с мусором (dumpster diving), а на PHDays III заработать очки можно было, выбравшись из хакерского лабиринта.
На этот раз члены команд-участниц могли испытать свои силы в поиске уязвимостей в промышленных системах и протоколах в ходе состязания Critical Infrastructure Attack. Заработать дополнительные баллы удалось команде RDot.
Во второй день соревнований центральным заданием стал анализ защищенности терминала QIWI — для этого на площадке форума был установлен реальный, подключенный к сети терминал. Команды заранее получали копии установленного на нем программного обеспечения для анализа, а во время конкурса им был предоставлен полный физический доступ к терминалу (например, для подключения внешних устройств). Задачей участников был вывод денег (313 370 руб.) на специальный электронный кошелек. Ближе всех к победе в данном соревновании удалось подобраться команде More Smoked Leet Chicken.
Визуализация
Для того чтобы сделать соревнования еще зрелищнее, в прошлом году организаторы разработали специальную систему визуализации в стиле фэнтези. В этом году эта система была обновлена. С помощью специальных приложений для iOS и Android любой желающий мог следить за ходом битвы на экране своего смартфона (приложения-визуализаторы работают и сейчас, отображая ход сражения CTF в демо-режиме).
На площадке форума изображения транслировались на больших экранах.
Победители
Соревнования проходили в ожесточенной борьбе. На протяжении двух дней форума PHDays смена лидера проходила неоднократно: в тройке успели побывать команды intr3pids, More Smoked Leet Chicken, Dragon Sector, SecurityFirst, Reallynonamesfor, BalalaikaCr3w и Ufologists.
В конечном итоге победу одержала команда Dragon Sector, представляющая Польшу. Второе место заняли испанцы из int3pids, а третьими стали россияне из Balalaika Cr3w.
Каждый год в PHDays CTF принимают участие команды со всего мира — от США до Японии. На отборочных соревнованиях в этом году зарегистрировалось больше 600 команд.
PHDays CTF состоялся уже в четвертый раз: впервые соревнования прошли во время форума Positive Hack Days в 2011 году, тогда победителями стали участники американской команды PPP, в следующем году победила российская команда Leet More, а на PHDays III чемпионами стали Eindbazen из Голландии. После победы польской команды Dragon Sector можно утверждать, что оформилась настоящая традиция: каждый год побеждает какая-нибудь новая команда, представляющая новую страну.
Автор: ptsecurity