Clever Geek Handbook

SibirCTF 2015:どうだったか

画像 2年連続で、トムスク市はSibirCTFの情報セキュリティコンテストを開催します。 今年は、今年の2倍のチームが来ましたが、もちろん予想していませんでした。 したがって、我々はこの出来事についてhabrasocietyに伝えたいと思います。



イベントについて簡単に



2年目、春に、私たちは情報セキュリティコンペティションSibirCTFを開催しました。これは、トムスク州立制御システム無線大学(TUSUR)、トムスク地域管理局、地域間公共機関ARSIB、ロシアの大学の教育および方法協会(SibROUMO)の支援を受けています情報セキュリティの分野における教育。



コンテストは、5月22日から23日にかけて、Forum of Young Scientists U-NOVUS-2015の一環として開催されました。このゲームの形式は、すでに従来の攻撃防御になっています。 今年、シベリア連邦管区のさまざまな都市から14チームが参加しました:ノボシビルスク、オムスク、クラスノヤルスク、バルナウル、トムスク。 サマラと極東のチームも私たちのところに来たいと思っていましたが、何らかの理由で成功しませんでした。 しかし、競争はすでに非常に高かった。



画像



大会の組織



画像

2年連続で、kevaチームは競技の技術的な部分を引き受けました。 チームは主にTUSURの学生と卒業生で構成されています。 サービスの作成、ネットワークの構成および構成、ju審員システムのセットアップ、およびその他の技術的な質問について、10人が回答しました。



すべての作業は、イベントの3か月前に始まりました。 エカテリンブルクのチームHackerDomの審査員制度を使用することが決定されました(競技後、それを使用しないことが決定されました)。 各チームには、ゲームサービスが開始された仮想マシンへのアクセスが許可されました。 審査員システムも仮想マシンで実行されていました。



装備品



多くの機器が必要でした。 しかし、予算を最適化したいという願望は実を結びました。 その結果、仮想マシン用に1つのサーバーを管理しました(昨年は、ゲームとバックアップの2つがありました)。 サーバー構成は次のとおりです。2つのクアッドコアXeon、64 GBのRAM、8 TBのRAIDアレイ。 ヘッドルーターがMikrotik RB1100X2AHを使用したため。 集約スイッチ-Mikrotik CloudRouterスイッチシリーズ。 アクセススイッチとして-さまざまなDリンクと3Comの分散。 昨年、すべてのスイッチとルーターはシスコでした(今年は輸入代替プログラムをサポートしました)。



サービス



画像

CTF攻撃と防御の競争の基盤はサービスです。 その品質、多くの点での独創性は、競争の成功を決定します。



開始の3か月前にサービスの準備を開始しました。 サービスを理解しやすくしたかったのですが(コマンドのレベルが異なるため)、すべての脆弱性を見つけて修正するのは非常に複雑でした。



その結果、CryChat、O'Foody、CTFGram、EasyAsの4つのサービスを開発することになりました。 それらのそれぞれについての詳細。



クリチャ


サービスはPHPで記述されています。 2人のユーザーがメッセージとファイルを相互に送信するための匿名チャットを作成したかったのです。 今日関連するもの。 ビデオ解析サービス:







オフーディー


サービスはPerlで書かれています。 このサービスには4つの脆弱性がありました。 開発速度が速いことと、この言語で美しいコードを書くことができることを参加者に見せたいという願望のために、Perlが選ばれました。 PostgreSQLがデータベースとして使用されました。 ビデオ解析サービス:







CTFGram


サービスはJavascriptで書かれています。 このサービスの主なアイデアは、Instagram-aの類似物です。 登録、写真のアップロードなどができます。 ビデオ解析サービス:







Easyas


このサービスはPythonで書かれています。 このサービスは、最初の最も簡単なサービスであると想定されていました。 コードを見ると、その理由が理解できます。 ビデオ解析サービス:







映像



ARSIBのパートナーからのビデオ:







結果



結果は次のとおりです。



画像

  1. SuSlo.PAS
  2. 失敗者
  3. Fts
  4. 人生
  5. マスタング
  6. オマビアット
  7. シャーライク
  8. シビルツ
  9. ざんやと
  10. ティオ
  12. 四方がいない
  13. ヘルジップ
  14. n57u n00bz


マスタングと志賀がいないチームはオフセットされました。



SibirCTF 2016



来年、私たちは多くのことをしたいと考えています。実際の状況に近いアイデア、新しいフォーマットがたくさんあります。 何か提案があれば、私たちはそれらを聞いて喜んでいるでしょう。



また来年。



リポジトリへのリンク: SibirCTF



提供された写真についてARSIBに感謝します。



PSサービスについてのHabrコミュニティの意見を聞きたいだけでなく、コンテストの参加者の印象も聞きたいです。


More articles:


All Articles