...

пятница, 24 июля 2015 г.

[Из песочницы] SibirCTF 2015: как это было

imageУже второй год подряд в городе Томске проводятся соревнования по информационной безопасности SibirCTF. В этом году к нам приехало в два раза больше команд, чем в том году, чего мы, конечно же, не ожидали. Поэтому мы хотели бы рассказать об этом мероприятии хабрасообществу.

Кратко о событии


Уже второй год, весной, мы проводим соревнования по информационной безопасности SibirCTF при поддержки Томского государственного университета систем управления и радиоэлектроники (ТУСУР), Администрации Томской области, межрегиональной общественной организации «АРСИБ», Сибирского регионального отделения учебно-методического объединения (СибРОУМО) вузов России по образованию в области информационной безопасности.

Соревнования проводились с 22 по 23 мая в рамках мероприятий Форума молодых ученых U-NOVUS – 2015. Формат игры стал уже традиционный Attack-Defense. В этом году участвовало 14 команд из разных городов СФО: Новосибирск, Омск, Красноярск, Барнаул, Томск. К нам даже хотели приехать команды из Самары и Дальнего Востока, но у них почему-то не получилось. Впрочем, конкуренция была и так высокая.

image

Организация соревнований


image
Техническую часть соревнований уже второй год подряд взяла на себя команда keva. Команда состоит в основном из студентов и выпускников ТУСУРа. За создание сервисов, организацию и настройку сети, настройку жюрейной системы, а также другие технические вопросы отвечали 10 человек.

Вся работа началась за 3 месяца до проведения мероприятия. Было принято решение использовать жюрейную систему Екатеринбургской команды HackerDom (после проведения соревнования было принято решение ее больше не использовать). Каждой команде выдавался доступ к виртуальной машине, на которой были запущены игровые сервисы. Жюрейная система также была запущена на виртуальной машине.

Оборудование


Понадобилось много оборудования. Но желание оптимизировать бюджет дало свои плоды. В итоге обошлись одним сервером для виртуальных машин (в прошлом году их было 2: игровой и резервный). Конфигурация серверов такова: 2 четырех ядерных Xeon, 64 Гб ОЗУ, RAID массив на 8 Тб. В качестве головного маршрутизатора использовался Mikrotik RB1100X2AH. Агрегирующий коммутатор — Mikrotik серии CloudRouter Switch. В качестве коммутаторов доступа — россыпь различных D-link и 3Com. В прошлом году все коммутаторы и маршрутизаторы были Cisco (в этом году мы поддержали программу импортозамещения).

Сервисы


image
Основу любых соревнований CTF Attack-Defense составляют сервисы. Их качество, оригинальность во много определяют успех соревнований.

Подготовку сервисов мы начали за 3 месяца до старта. Нам хотелось сделать сервисы легкие в понимании (ведь уровень команд разный), но и достаточно сложные в нахождении и исправлении всех уязвимостей.

В итоге было принято решение разработать 4 сервиса: CryChat, O'Foody, CTFGram, EasyAs. Далее подробно о каждом из них.

CryChat

Сервис написан на языке PHP. Хотелось создать анонимный чат для двух пользователей для отсылки друг другу сообщений и файлов. Что актуально на сегодняшний день. Видео разбора сервиса:

O'Foody

Сервис написан на языке Perl. В сервисе присутствовало 4 уязвимости. Perl был выбран из-за высокой скорости разработки, а также из-за желание показать участникам, что на этом языке можно писать красивый код. В качестве БД использовался PostgreSQL. Видео разбора сервиса:

CTFGram

Сервис написан на языке Javascript. Основная идея сервиса аналог Instagram-a. Можно было регистрироваться, загружать свои фотографии, ставить лайки. Видео разбора сервиса:

EasyAs

Сервис написан на языке Python. Этот сервис предполагался как начальный и самый простой. Если вы посмотрите код, то поймете почему. Видео разбора сервиса:

Видео


Ролик от наших партнеров из АРСИБ:

Результаты


Результаты выглядят следующим образом:

image

  1. SuSlo.PAS
  2. Failers
  3. FTS
  4. Life
  5. Mustang
  6. OMAVIAT
  7. Sharlike
  8. SibirTSU
  9. Zanyato
  10. TIO
  11. Luck3rz
  12. Shikata ga nai
  13. Hell ZIP
  14. n57u n00bz

Команды Mustang и Shikata ga nai участвовали вне зачета.

SibirCTF 2016


В следующем году мы хотим многое сделать, у нас куча идей, новые форматы, приближенные к реальным ситуациям. Если у Вас есть какие-то предложения, то мы будем рады выслушать их.

Ждем вас в следующем году.

Ссылка на репозиторий: SibirCTF

Отдельное спасибо хотелось бы сказать АРСИБ за предоставленные фотографии.

P.S. Хотелось бы услышать мнение ХабраСообщества о сервисах, а также услышать впечатления от участников соревнования.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий