В минувшие выходные завершился четвёртый Кубок CTF России. Ранее мы писали об отборочном туре данного мероприятия, а теперь настало время осветить и остальные этапы.
Task-based, 28 ноября
Этап длился 10 часов, и за это время участникам предстояло решить всего 14 тасков. На этот раз фокус категорий сместился с бинарных заданий на то, что могли бы решить большинство команд из предыдущего тура: веб, осинт, криптография, форезика и misc, а также немного реверса. Разработкой занимались преимущественно члены команды Unicorn.
Но меньше — не значит лучше: всё, кроме веба (который оценили даже не любители данной категории), было довольно посредственного качества. Будь это отборочным этапом какого-нибудь регионального школьного турнира, возмутились бы единицы. Но когда на втором туре соревнования, на котором определяют лучшую академическую команду года, приходится решать не зубодробительную криптографию, а угадывать, что имел в виду автор, тысячи гневных комментариев участников вполне оправданы:
Как вам условие?
Божественная комедия? Божественное решение.
Спустя несколько часов после старта соревнования оказалось, что к таску была приложена строка с опечаткой.
Впрочем, проблемы прослеживались не только в криптографии без сурцов, но и в других категориях: уцуцуга смогла закрасться даже в реверс.
По завершению этапа градус накала был настолько велик, что организаторам пришлось публиковать постмортем.
Признавать ошибки нужно и важно, этим и займёмся. Почему же так вышло? Причины стары как мир: нехватка контроля разработчиков со стороны руководителей технической группы и недостаточно высокий уровень навыков самих разработчиков для соревнования заявленного масштаба. Не хотелось бы спускать всех собак на разработчиков, в конце-концов, их кто-то выбрал, позвал и не уследил за качеством изготовленных ими заданий. Стоит признать, что большая часть ответственности за качество всегда лежит на руководстве. Звучит исчерпывающе. Однако, иногда в чате соревнования были неправы и участники: да, ситуация вышла некрасивая, но ничто не является поводом для публичных оскорблений разработчиков и перехода на личности. Впрочем, резкие высказывания никто не ограничивал — и не ясно, то ли это модерация халтурит, то ли в свободу слова заигрались.
По итогам этапа скорборд выглядит следующим образом:
На следующий тур перешли топ-10 команд с самыми сильными экстрасенсорными способностями.
Attack-Defense, 5 декабря
За день до начала этапа мы предвкушали, что после завершения четырёхчасового контеста сможем написать про игру контрастов двух туров. Но и на третьем по счету этапе не удалось избежать организационных косяков.
Начнём с наименьшего. Разработкой этого этапа занималась команда Хакердом, использующая на своих соревнованиях весьма нетипичную для других контестов инфраструктуру сети. И, к сожалению, схему сети и другие подробности инфраструктуры участники этапа узнали лишь перед стартом. В идеальном мире такие вещи регламентируют, причем сильно заранее (держим в курсе — на сайте так и не появились никакие регламенты кроме отборочного тура), но не в этот раз.
Более серьезной ошибкой стали перепутанные наименования команд и контакты капитанов — и если мы, благодаря внимательности Романа Быкова, тимлида Хакердома, получили свои конфиги, а не данные для команды Импактный SUSlo.PAS, то команде ♿️🅵🅰️🅺🅰️🅿️🅿️🅰️♿️ повезло куда меньше: их архив ушёл капитану SPRUSH. Эта оплошность привела и к сдвигу игры, и к тому, что обе команды получили доступ к сервисам позже остальных.
Первый сервис ChessBase имел не очень удачный чекер, который не рандомил значение в заголовке User-Agent, а также получал не рандомизированные ответы от сервиса на функционал, в котором была уязвимость, что в итоге привело к тому, что патч можно было сделать в виде возвращения константой строки. Остальные сервисы нареканий не вызвали.
В финальный тур вышли топ-4 команды из скорборда предыдущего этапа. Мероприятие было очное, и проходило не в Сколково, как все предыдущие Кубки, а в павильоне "Умный город" на ВДНХ. Параллельно с игрой шла трансляция турнира.
Финал опять проходил в формате Attack/Defense, с предварительными двухчасовыми ласками в виде пентеста двух машин:
Все данные для начала игры в a/d находится на двух машинах. Ровно в 10:30 капитанам в личку прилетит скан nmap’a. Первая часть пароля от архива уже разослана. Вторая часть пароля будет находится на одной из атакуемых машин. На второй машине – архив с полной информацией о подключении к a/d (ключи, адреса, полезная информация). Чтобы его открыть нужно собрать пароль из двух частей. Что касается паролей, чтобы открыть архив нужно расшифровать с помощью первого пароля (который разослали) второй (который вы найдете) и совместить первый пароль с полученным после расшифровки.
Вне зависимости от ваших результатов в пентестах ровно в 12.30 капитанам придут полные пароли и файлы-архивы, со всей информацией. Соотвественно преимущество в a/d будет у тех, кто доберется до конфигов раньше. Пентест был общий и организаторы сказали, что команды могут производить деструктивные действия с целью усложнения решения задачи другой команде. В целом, такой подход немного нарушает базовую концепцию CTF, связанную с тем, что решение задачи одной командной не должно влиять на возможность решения этой же задачи другой командой.
Во второй части финала был A/D на 2 часа на не очень сложных сервисах. Сказать про него особо нечего, но в первом и втором сервисе чекер опять не рандомил User-Agent.
Итоговый скорборд:
Кубок — наш, а лучшей академической командой стала питерская ♿️🅵🅰️🅺🅰️🅿️🅿️🅰️♿️, с чем мы ребят и поздравляем!
Сэкономим время вашего просмотра на крутящийся кубок с трансляции и даём прямые ссылки на самые значимые вещи: представление команд-финалистов, мини-интервью с капитанами команд об их активности во время ковидных проказ, отдельно — интервью с Ваней Новиковым и обзор ближайших соревнований от ENZO, редактора CTF News. А если вы (как и мы) до сих пор не поняли, как относится сказка Льюиса Кэрролла к турниру по информационной безопасности, то советуем ознакомиться с представлением концепции от автора легенды, Ольги Зеленцовой.
