5 часов киберучений
Белые хакеры из АмГУ рассказали о победе на российском форуме
На базе форума «Сахалин Security 2023» прошли киберучения по информационной безопасности CTF (Capture the Flag – захват флага. – Прим.ред.) в соревновательном формате. Студенты АмГУ собрали команду «Evil Corp» и одержали победу. Их конкурентами были специалисты из Новосибирска, Южно-Сахалинска и Томска. От нашего университета участие приняли студенты факультета среднего профобразования Артём Ванты, Иван Готальский и Владислав Слободенюк, а также выпускник факультета математики и информатики Владислав Подставников. Капитаном команды стал магистрант ФМиИ Евгений Маслаков.
Победить, не выходя из дома
Основная задача белых хакеров (это хакеры, сражающиеся на стороне добра) на соревнованиях по информационной безопасности (далее – ИБ) – захват флага (набора символов, который зашифровывают организаторы). Это могут быть обычные слова или данные университета, они спрятаны в звуках или файлах, угадать их невозможно. Для обнаружения флага, нужно найти уязвимость в задаче и придумать решение.
Учения проходили дистанционно, все участники выполняли задания из дома. И даже члены команды находились вдали друг от друга, но всё время на протяжении пяти часов соревнований общались по аудиосвязи. Кому-то может показаться, что пять часов работы без отрыва – это слишком долго. Но на самом деле этого времени участникам было слишком мало.
Учения проходили дистанционно, все участники выполняли задания из дома. И даже члены команды находились вдали друг от друга, но всё время на протяжении пяти часов соревнований общались по аудиосвязи. Кому-то может показаться, что пять часов работы без отрыва – это слишком долго. Но на самом деле этого времени участникам было слишком мало.
Почему соревнования на протяжении двух суток лучше?
– Времени не хватило, обычно на такие соревнования дают сутки-двое, а тут дали пять часов. Задачи были не совсем трудные, но все же чуть-чуть не хватило. Мы просто не самый максимум выжали из того, что там было, ещё 7-8 задач осталось нерешённых, – рассказал капитан команды Евгений Маслаков.
Евгений участвует в международных соревнования по ИБ уже более трёх лет. Обычно такие учения длятся на протяжении двух суток, но программисты не чувствуют усталости: азарт и воля к победе заставляют отложить сон и еду.
– Если кто-то чувствует, что уже нет идей, мыслей никаких, глаза в кучу, то спать идёт. Но, как правило, на сон есть буквально четыре часа. Ты в азарте, занят только этим, решаешь эту задачу, параллельно за другую берёшься, мысли о сне сами собой проходят, – говорит Евгений.
Евгений участвует в международных соревнования по ИБ уже более трёх лет. Обычно такие учения длятся на протяжении двух суток, но программисты не чувствуют усталости: азарт и воля к победе заставляют отложить сон и еду.
– Если кто-то чувствует, что уже нет идей, мыслей никаких, глаза в кучу, то спать идёт. Но, как правило, на сон есть буквально четыре часа. Ты в азарте, занят только этим, решаешь эту задачу, параллельно за другую берёшься, мысли о сне сами собой проходят, – говорит Евгений.
«Мы использовали ChatGPT»
Ранее Евгений не занимал первые места, причиной тому был недостаток опыта. Теперь задания кажутся ему лёгкими, ведь все эти годы он тренировался на киберучениях более высокого уровня с самыми сложными и запутанными задачами.
– Удавалось попадать в ТОП–10 или ТОП–20, но победа первая. Не совсем было понятно, как именно искать уязвимости, какие именно, какими инструментами пользоваться. Сейчас нейронные сети помогают, мы использовали ChatGPT для генерации кода. Мы увидели пиксели, и, чтобы вручную не писать, не вспоминать, как это всё делается, мы описали задачу, чат сгенерировал кусок кода, – вспоминает капитан «Evil Corp».
«Нет, никто не готовится»
Особой подготовки не понадобилось, все члены команды были уверены, что имеют хорошую базу.
– Время от времени что-то читаешь, какие-то статьи про новые уязвимости, песочницы (среда, в которой можно проводить эксперименты, «компьютер в компьютере». – Прим.ред.), где можно попробовать эти уязвимости, проэксплуатировать, а чтобы прям готовиться, нет, никто не готовится, – сказал Евгений.
Ранее Евгений не занимал первые места, причиной тому был недостаток опыта. Теперь задания кажутся ему лёгкими, ведь все эти годы он тренировался на киберучениях более высокого уровня с самыми сложными и запутанными задачами.
– Удавалось попадать в ТОП–10 или ТОП–20, но победа первая. Не совсем было понятно, как именно искать уязвимости, какие именно, какими инструментами пользоваться. Сейчас нейронные сети помогают, мы использовали ChatGPT для генерации кода. Мы увидели пиксели, и, чтобы вручную не писать, не вспоминать, как это всё делается, мы описали задачу, чат сгенерировал кусок кода, – вспоминает капитан «Evil Corp».
«Нет, никто не готовится»
Особой подготовки не понадобилось, все члены команды были уверены, что имеют хорошую базу.
– Время от времени что-то читаешь, какие-то статьи про новые уязвимости, песочницы (среда, в которой можно проводить эксперименты, «компьютер в компьютере». – Прим.ред.), где можно попробовать эти уязвимости, проэксплуатировать, а чтобы прям готовиться, нет, никто не готовится, – сказал Евгений.
«Товарищи целые разделы в одиночку делали»
В отличие от своего опытного товарища, Владислав Слободенюк, студент направления «Прикладная математика и информатика» факультета среднего профобразования АмГУ, попал на киберучения впервые. Для него пять часов работы тоже пролетели быстро. Его увлечение программированием подразумевает долгую работу за компьютером.
– Совсем не тяжело, мне не привыкать, я очень много времени провожу за компьютером, – считает студент. – Пять часов мы решали задания, не новая для меня обстановка.
Старшие товарищи решали много разных заданий самостоятельно, а младшим членам команды дали раздел. В разделе Владислав должен был найти флаги в двух задачах. Но парень честно признался, что получилось решить у него только одну.
– Те задания, которые я делал, местами были сложными, а местами лёгкими. Я на самом деле сделал одно задание, а второе не смог. У меня в команде товарищи целые разделы в одиночку делали, – рассказал Владислав.
Студент хочет и дальше участвовать в таких мероприятиях, со временем он наберётся знаний, опыта и привыкнет к формату соревнований.
Одна из особенностей киберучений – крупные денежные призы. Но «Evil Corp» свою награду ещё не получила. Хотя деньги и были заявлены как выигрыш, сумма не оговаривалась, поэтому белые хакеры не знают, на что могут рассчитывать в этот раз.
– Совсем не тяжело, мне не привыкать, я очень много времени провожу за компьютером, – считает студент. – Пять часов мы решали задания, не новая для меня обстановка.
Старшие товарищи решали много разных заданий самостоятельно, а младшим членам команды дали раздел. В разделе Владислав должен был найти флаги в двух задачах. Но парень честно признался, что получилось решить у него только одну.
– Те задания, которые я делал, местами были сложными, а местами лёгкими. Я на самом деле сделал одно задание, а второе не смог. У меня в команде товарищи целые разделы в одиночку делали, – рассказал Владислав.
Студент хочет и дальше участвовать в таких мероприятиях, со временем он наберётся знаний, опыта и привыкнет к формату соревнований.
Одна из особенностей киберучений – крупные денежные призы. Но «Evil Corp» свою награду ещё не получила. Хотя деньги и были заявлены как выигрыш, сумма не оговаривалась, поэтому белые хакеры не знают, на что могут рассчитывать в этот раз.
