Подводим итоги HSE CTF
На протяжении шести часов 140 команд решали задачи в режиме нон-стоп. Организаторы выстроили весь турнир вокруг единой сюжетной линии: легенды о вороне, крадущей шпиль главного здания МГУ. Всего было 32 задания, объединенных общей тематикой. Участники искали флаги в веб-приложениях, взламывали бинарники (pwn), разбирались в чужом коде без исходников (reverse), ломали криптографические протоколы (crypto), анализировали цифровые артефакты (forensics), собирали данные из открытых источников (OSINT), а также работали с редкими для классических CTF направлениями — искусственный интеллект (AI) и средства защиты информации (SZI). Получилось восемь полноценных треков, которые покрывают весь спектр современного наступательного ИБ: от классического веба до защитных механизмов и машинного обучения.
На HSE CTF зарегистрировались 700 человек, в активную игру вступили 140 команд школьников и студентов. Команды были компактными — от одного до пяти человек. География охватила десятки образовательных учреждений России, а в некоторых командах были и участники из Беларуси. Среди студенческих команд были представители ведущих технических вузов, а школьники приехали из сильнейших физмат-лицеев и школ с углублённым изучением информатики.
Сразу после финиша соревновательной части состоялся доклад Андрея Левкина, руководителя продукта BI.ZONE Bug Bounty. Тема — «Как работает багбаунти?». Спикер рассказал об устройстве баг-хантинга, различиях между CTF и реальными программами вознаграждения за уязвимости, а также о том, почему багбаунти может стать логичным продолжением карьеры для тех, кто начинал с игровых тасков. Выступление собрало полный зал: участники, только что сложившие клавиатуры, сразу переключились на вопросы о монетизации навыков и взаимодействии с вендорами.
Далее состоялась церемония награждения команд-победителей. В школьном зачёте призовые места заняли:
• Слопопотамы
• pwn3dByKid$
• pwnedworld
В студенческом зачёте:
• Glavnoye Zdaniye
• Beavers0
• The power of Elijah
Победители получили денежные сертификаты, мерч от партнеров, памятные призы от ВШЭ и возможности стажировок в ведущих ИБ-компаниях.
HSE CTF состоялся при поддержке топовых компаний. Организаторы выражают благодарность SolidLab, Angara Security, Solar, Kaspersky, BI.ZONE Bug Bounty, Yandex Cloud, НСПК МИР и МИЭМ ВШЭ.
«Комьюнити CTF в эпоху повсеместного ИИ переживает не лучшее время – создавать задачи, которые не решаются актуальным опусом за первые 10 минут соревнования стало очень сложно и именно в это время мы решили восстановить традицию CTF в стенах МИЭМа, утраченную 8 лет назад. В результате, конечно, большинство задач было решено в первые полчаса соревнований, но опыт наших разработчиков спас ситуацию – итоговая таблица рейтинга смогла отразить разницу команд. Как и ожидалось, победили команды, сохранившие навыки ручного CTF и при этом сумевшие адаптироваться под современные тренды ИИ-агентов. Поэтому, в следующем году нашей команде будет еще сложнее – новые ИИ-модели могут добраться и до самых непростых гробов, поэтому сейчас я рассматриваю вариант с переходом мероприятия в полный оффлайн. А сейчас еще раз поздравляю команды-победителей – вы показали отличный уровень, на который стоит равняться.» - Антон Фахретдинов, главный организатор HSE CTF.