Как стать специалистом по кибербезопасности, играя в CTF

Правила игры

Что такое CTF. В переводе с английского capture the flag означает «захватить флаг». Так и есть, CTF — это соревнования, где команды решают прикладные задачи в области кибербезопасности, чтобы получить флаг — уникальную последовательность символов. Флаг (его отправляют в специальную платформу) подтверждает, что участники действительно взломали систему, нашли уязвимость алгоритма генерации ключа или выполнили какую-либо другую задачу.

Где проходит. CTF-турниры проводят как очно, так и онлайн. Очные встречи длятся не меньше семи часов, а онлайн-соревнования могут идти и сутки напролет — чтобы команды из разных часовых поясов были примерно в равных условиях.

Форматы часто совмещают: отборочные этапы проводят в сети, а в финале участники собираются на одной площадке. Именно так организован, например, американский DEF CON CTF, а в России — CTFZone.

Как соревнуются. CTF бывают двух видов. Первый — jeopardy: участникам предлагают набор задач разной «стоимости», как в телевикторине Jeopardy! на американском ТВ (наш аналог — «Своя игра»). За верное решение начисляют очки: чем сложнее задача, тем она дороже. Участники должны находить и эксплуатировать уязвимости в веб-приложениях и бинарных сервисах, администрировать операционные системы, разбираться в криптографии, программировании и уметь много чего другого.

Второй вид CTF-соревнований — attack/defense. На старте команды получают одинаковое количество очков и выделенный сервер с ресурсами. Задача — взламывать серверы соперников и защищать свои. Чтобы доказать взлом, нужно украсть с чужого сервера флаг — их загружает туда подготовленная организаторами автоматизированная платформа, которая эмулирует поведение обычного пользователя.

Зачем участвуют в CTF

CTF-турниры популярны среди людей самого разного возраста — от старшеклассников и студентов первого курса до состоявшихся профессионалов.

И неудивительно — участие в CTF, кроме удовольствия, дает немало возможностей:

• Получить новые знания и навыки в области компьютерной безопасности.
• Познакомиться с людьми, которые разделяют ваши интересы.
• Научиться работать в команде и правильно распределять время.
• Расширить круг профессионального общения. На CTF-турнирах можно встретить сотрудников большинства IT-компаний мира, а также независимых исследователей.
• Продемонстрировать свои знания и умения перед другими участниками. Среди них могут оказаться будущие коллеги.

Как подготовиться

• Заходите на ресурсы ringzer0ctf.com, www.root-me.org, websec.fr, pwnable.kr и решайте CTF-задачи. День, второй, третий. Чем больше, тем лучше.
• Изучите или еще раз просмотрите дерево знаний по кибербезопасности, которое подготовили ребята из SPbCTF.
• Ознакомьтесь с курсами для начинающих. Сейчас очень популярны КМБ (Курс молодого бойца) CTF, курс от «Хакердома».
• Прочитайте разборы заданий и статьи по теме. Их легко найти на технических ресурсах вроде Habr, CTFtime, а также в блогах игроков и команд.
• Не стесняйтесь общаться с участниками из успешных команд или разработчиками CTF, задавайте им вопросы.

На каких площадках себя проверить

CTF-соревнования проходят каждую неделю, а то и чаще. Расписание турниров удобно отслеживать на сайте CTFtime. Здесь же можно зарегистрироваться.

Самое авторитетное соревнование — DEF CON CTF. Первый турнир серии был проведен на хакерской конференции без малого 30 лет назад и дал начало всем CTF. Чтобы попасть на DEF CON, нужно выстоять в жестком онлайн-этапе или выиграть одно из престижных международных соревнований — сейчас в мире 6 таких отборочных турниров.

С 2019-го официальным отборочным турниром DEF CON CTF стал CTFZone, который в этом году прошел в конце апреля онлайн. Среди участников были команды из России, Китая, Италии, США, Польши, Японии. Обладатели первых трех мест получили денежные призы, а победитель, которым стала команда mslc из нашей страны,— еще и место в финале DEF CON CTF.

Еще два крутых российских соревнования — RuCTF и Volga СTF. Они собирают команды со всего мира, но с одним условием: в отборочном турнире могут принять участие все, а в финале — только студенты и вчерашние выпускники.

Как получить максимум

Киберспортивное хобби может стать отличным источником профессионального опыта. Чтобы все удалось, попробуйте следующее:

1. Как следует подготовьтесь к CTF-турниру:

• прямо сейчас начинайте решать CTF-задачи. Практика — первый и основной элемент подготовки;
• читайте все, что есть в интернете на тему безопасности, новых уязвимостей, техники эксплуатации, архитектуры;
• зарегистрируйтесь в специализированных пабликах и задавайте вопросы тем, кто в теме.

2. Зайдите на сайт CTFtime и выберите выходные, которые вы готовы просидеть за компьютером.

3. После соревнований обязательно посмотрите разборы заданий, которые вы пытались, но не смогли решить.

Фото на обложке и в материале: Unsplash