Приглашаю на большой CTF-турнир по информационной безопасности

в 5:55, , рубрики: CRC, Блог компании КРОК, информационная безопасность, криптография, обучение, симулятор сети, турнир

image

Cyber Readiness Challenge (CRC) – это хак-квест, который компания Symantec проводит по всему миру. В этом году в России организацией занимаются CNews и Symantec. Мы, КРОК, — стратегический партнёр.

В прошлом году в России на онлайн-часть собралось 143 участника, которые в общей сложности потратили 3070 часов на то, чтобы попробовать совершить серию взломов в симуляторе сети крупной корпорации.

В этом году игры продолжаются. Расчехляйте Kali, подключайтесь по VPN к нашему симулятору и погружайтесь в игру. Первые уровни рассчитаны на обучение специалистов по информационной безопасности (то есть дадут вам опыт, если вы ещё не прошаренный профи). Последние флаги рассчитаны на суровых русских хакеров: дело в том, что в прошлом году наш соотечественник Влад последовательно вырвал онлайн-игру, оффлайн-турнир в Москве (с рекордом по скорости) и, чисто так напоследок, — турнир по региону EMEA в Ницце.

Что это будет?

15 августа в пятницу в 6:00 утра по Москве заработает виртуальная инфраструктура CRC — симулятор сети крупной компании. У вас будет набор заданий на оценку уязвимостей, разведку, извлечение информации и сокрытие следов проникновения. Набор заданий сочетает стандартную часть (сканирование портов, расшифровку и перебор паролей, атаки на сессии, работу с образами дисков, SQLi, CSRF/XSS, использование эксплоитов) и сюрпризы, например, в прошлом году были криптокоды XVI века и деанонимизация по мобильному устройству.

Симулятор сети остановится во вторник 19 августа в 18:00 по Москве. Опыт прошлого года, когда игра проводилась в рабочие дни, учтён. Теперь можно будет нормально выспаться во время хак-квеста. Обычно на игру достаточно 6-8 часов без учёта активного курения манов — такой большой срок сделан для того, чтобы участники могли последовательно изучать непонятные темы и брать флаги с ними в симуляторе.

Победители должны будут деанонимизироваться для получения призов. Кроме того, победителем не может стать человек, занявший призовое место в одном из Cyber Readiness Challenge за последние 5 лет (то есть Влад выпадает из конкуренции), сотрудники компаний-организаторов и связанных с ними компаний, сотрудники компаний-конкурентов Symantec, а также лица до 18 лет и лица, не проживающие на территории РФ. Участвовать для общего развития и из интереса можно, но шансов занять призовые места не будет.

Помимо призов трое финалистов СRС-онлайн отправятся в Москву на офлайн-соревнование. Победитель офлайна выиграет поездку в Лондон на крупнейшую технологическую конференцию Symantec Vision.

Пример простого задания

Нужно расшифровать строку:
LnR4ZXQgc2lodCBvdCBkZW5lcHBhaCBkcmlldyBnbmlodGVtb1MgIWVub2QgbGxldyB5cmVWCj09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09IFRSQVRTIFRYRVQgREVET0NORSA9PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09CiJlLml0IHNnZWVubGxoYSBDb253IGRvaW4gd2Vyc3dhbmUgdGh0ICBhaCJLOGhMSjhoMzdEMlpVbSIzZSBvZCBjaXN0aHQgcHVlIGFzbGUgcGVkcmR3YXJlZSAgYnRvciBkZW9ybiAiSQogPT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PSBETkUgVFhFVCBERURPQ05FID09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT0K

Решение

  1. Декодировать base64.
  2. Обратить строку любым инструментом, например, rev.
  3. Увидеть C[ret]ai!o в конце и предположить, что это Ciao! — затем поменять пары байт по всему сообщению.

Многоступенчатое задание посложнее (№2) уже есть на c2.cnews.ru.

Стоит ли играть?

Слово победителям прошлого года.

Влад Росков: «Идеал для новичков, хорошая разминка для прошаренных».
Андрей Леонов: «Я бы без зазрения совести посоветовал бы такой турнир тем, кто только начинает свой путь в области информационной безопасности. Это не значит, что турнир был простым. Но учитывая то, что задания в целом следовали одно из другого, и были подсказки, порой содержащие полностью ответ, то можно было обрести много новых знаний. Или понять где не хватило даже подсказок :)»
Виктор Алюшин: «Посоветовал бы абсолютно всем – от начинающих до профессиональных пинтестеров и просто тем, кто хочет попробовать себя в хакерстве. Для последних я бы посоветовал сделать пошаговые инструкции [особенно для Metasploit] скажем за 110% стоимости задания ;).»
Теймур Хейрхабаров: «Всем тем, кому не безразлична тема информационной безопасности, а в особенности её практическая сторона… Я впервые поучаствовал в подобном мероприятии».

Больше информации

Автор: dinabur

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js