Команда КПІ імені Ігоря Сікорського 4n0M4lY перемогла в перших студентських змаганнях з кібербезпеки UA30CTF, які наприкінці лютого провела Державна служба спеціального зв'язку та захисту інформації України. Понад те, третє місце в ньому зайняла команда Silent Sparrow, до складу якої окрім представників КНЕ імені Вадима Гетьмана та Університету «Україна» також входили КПІшники. Крім того, команда київських політехніків посіла й четверте місце! Турнір було організовано за підтримки проєкту EU4DigitalUA, що фінансується ЄС, а участь у ньому взяли 156 студентів III-VI курсів із 22 закладів вищої освіти України.
Змагання проходили у форматі гри #Jeopardy CTF. Протягом шести годин команди вирішували 25 завдань як на логіку, так і на пошук та експлуатацію вразливостей, у поєднанні з вирішенням цікавих логічних завдань.
"Для нашої команди більшість завдань не видалися занадто складними, – розповів "Київському політехніку" капітан команди-переможниці студент 1-го курсу магістратури ФТІ Дмитро Мороз. – Звісно, деякі змушували подумати чи трошки помучитися, але більше половини точно не були аж такими важкими".
Здавалося б, усе це безумовно приємно, але чому так багато уваги приділили цьому турнірові ІТ-фахівці та представники медіа? Просто ігри студентів, які захоплюються сучасними технологіями. Але в дійсності все значно серйозніше. Бо деякі ігри дорослих людей є, насправді, інструментами для набуття та вдосконалення їхніх професійних навичок. За прикладами нині далеко не ходити – усі, напевно, чули про командно-штабні ігри, у яких відпрацьовуються стратегія і тактика дій військових підрозділів, частин і з'єднань. Ігри фахівців з кібербезпеки, під час яких ті набувають досвіду боротьби у віртуальному просторі, є менш відомими. Але вміти перемагати в битвах кібервійни не менш важливо, адже в нинішніх умовах навіть одна вдала мережева атака ворога може занурити в хаос об'єкти критичної інфраструктури і цілі галузі, послабити можливості бойового управління під час бойових дій і завдати багато іншої шкоди. Недарма ж, за даними Держспецзв'язку, торік у нашій країні Урядова команда реагування на комп'ютерні надзвичайні події зафіксувала 2 194 кіберінциденти та ще більшу кількість кібератак з боку рф. Тому під час таких ігор гравці не лише відпрацьовують навички з інформаційної безпеки, але й відточують вміння з активної безпеки.
Члени команди 4n0M4lY, як розповів її тренер, викладач Навчально-наукового фізико-технічного інституту Микола Ільїн, – це студенти ІІІ-V курсів ФТІ, які є учасниками створеного в інституті гуртка з інформаційної безпеки dcua-school. Політехніки, які виступили у складі інших команд, також відвідують або відвідували раніше цей гурток. До слова, брати участь у його роботі можуть студенти будь-яких факультетів університету – було б бажання. Саме на базі цього гуртка проводиться підготовка до змагань з інформаційної безпеки (CTF).
Що таке CTF? Це абревіатура від англійського словосполучення "Capture the flag" (захоплення прапора) – загальної назви групи бойових кіберігор. Ця назва відображає сутність віртуальних баталій: у контрольованому середовищі учасники мусять знайти вразливості, які допоможуть їм зламати ("хакнути") певну інформаційну систему або ресурс. Почесним трофеєм для команди-переможниці є ворожий "прапор" – насправді, певний секретний рядок символів довільного формату.
До речі, ім'я тренера нашим читачам уже знайоме: "КП" писав про нього у 2016 році, коли команду "білих хакерів" dcua, в якій він був капітаном і, водночас, тренером, визнали в міжнародному рейтингу CTFtime.org кращою з-поміж більш ніж 12 тисяч команд "білих хакерів" усього світу. Зауважимо, що починаючи з 2013 і аж до 2019 року вона стабільно посідала одне з почесних місць серед десятки кращих цього престижного рейтингу. Тобто, Миколі Ільїну не лише як провідному вітчизняному фахівцю з кібербезпеки, але і як надзвичайно досвідченому турнірному бійцю є чим поділитися з членами команди. А від них потрібно наполегливе оволодіння знаннями, тренування і практика у змаганнях "білих хакерів". Останнє, між іншим, чи не єдиний спосіб набути досвіду в легальній практиці нападу (клас "attack-defense"). Варто додати, що їхні турніри відбуваються щотижня у вихідні в режимі онлайн, і, за результатами кваліфікаційних етапів, у країнах-організаторах.
"Більша частина завдань на CTF моделюються за прикладами реальних вразливостей і відбитих атак. Турніри в CTF, якщо вдатися до аналогії, – це як вогнева підготовка особового складу на полігоні порівняно з бойовою роботою, – пояснює Микола Ільїн. – Тобто, полігонні стрільби – це не те ж саме, що відбувається під час реальних бойових дій, наприклад, під Бахмутом. Але без такої вогневої підготовки посилати людей у бій не можна. Реальний настріл, безперечно, ніщо не замінить – ні теорія, ні жодні відео тощо. Так само і з тренуваннями з інформаційної безпеки: тут проводяться навчання з активної безпеки, або, як її називають англійською, "offensive security". Іншими словами, виховуються фахівці нападу: вони проходять вишкіл у спеціально створених особливих умовах з метою набуття життєво необхідних на війні навичок. А далі навчатиме саме життя".
Після такої підготовки технічні спеціалісти спроможні виконувати різноманітні завдання, причому не лише захисту, але й нападу – скажімо, зламу якогось ворожого сайту чи спеціалізованої інформаційної системи.
Слід зауважити, що організатори змагань подбали і про нову інформацію для учасників, сказати б, з перших вуст: студенти мали можливість послухати лекції з кібербезпеки від провідних українських фахівців – сертифікованого фахівця CISSP CISA OSCP Володимира Стирана, CEO агенції "Мольфар" Артема Старосєка, керівниці Урядової команди реагування на комп'ютерні надзвичайні події України CERT-UA Євгенії Волівник та інших.
Після турніру його учасники разом з тренером провели аналіз завдань і представлених ними розв'язків. На думку Миколи Ільїна, проблеми, що їх довелося долати студентам, мали доволі високий рівень складності, тож вони дали можливість майбутнім, чи радше, молодим фахівцям з кіберзахисту використати більшість тих знань і вмінь, яких вони набули на заняттях в університеті й під час гурткових тренувань.
Майбутні захисники кіберпростору України мали 25 завдань і 6 годин на їх вирішення. Турнір у форматі Capture the flag передбачав практичні завдання з аналізу коду, пошуку й експлуатації вразливостей і завдання на логіку.
Перше місце здобула команда КПІшників — 4n0M4lY. Наші студенти були й у складі команди Silent Sparrow, яка виборола третє місце. Четверте місце також посіла команда київських політехніків.
Держспецзвʼязку наголошують на важливості таких турнірів для пошуку молодих спеціалістів і запобігання кібератакам. Лише за минулий рік зафіксовано 2194 кіберінциденти.
🎥 Про досягнення у сфері захисту даних — у сюжеті Еспресо TV.