22 June

Страх и ненависть в Лас-Вегасе, или История о том, как CTFZone стал квалифайером DEF CON CTF

BI.ZONE corporate blogInformation SecurityCTF

Дисклеймер


Этот рассказ не о путешествиях по Неваде под Red Hot Chili Peppers — Californication, не о гигантских казино Лас-Вегаса или вечеринках в небоскребе Mandalay Bay. Это история о том, как мы стали частью DEF CON CTF — самых старинных и крупных соревнований по кибербезопасности, которые проходят каждый год в Лас-Вегасе. Но обо всем по порядку.



Часть 1. DEF CON CTF, BalalaikaCr3w и вдохновение.


Часть 2. Первый CTFZone, бессонные ночи и Call for DEF CON CTF.


Часть 3. Первые попытки в DEF CON Qualifier, постапокалипсис и конференция OFFZONE.


Часть 4. Решающая попытка в DEF CON CTF и More Smoked Leet Chicken.



Часть 1. DEF CON CTF, BalalaikaCr3w и вдохновение


Перед началом нашей повести дадим короткую справку о том, что вообще такое CTF и почему DEF CON CTF — это круто.

CTF (Capture the flag) — соревнования по кибербезопасности, которые проводятся в формате игры. Команды сражаются, применяя весь свой арсенал знаний и навыков для добычи «флагов» (отсюда и название), а за «флаги» получают победные очки. Самый масштабный CTF проходит с 1993 года каждое лето в Лас-Вегасе в рамках конференции по кибербезопасности DEF CON. Попасть в финал DEF CON CTF можно через отборочный онлайн-тур, который проводится заранее, либо одержав победу в одном из CTF, который признан квалификационным этапом DEF CON CTF. И CTFZone 2020 как раз стал таким квалифайером.

Все началось в 2014 году, еще до создания BI.ZONE и тем более CTFZone. Мы играли в составе команды BalalaikaCr3w и как-то раз заняли третье место в PHDays CTF, который в те годы давал пропуск на финал DEF CON CTF. Команда, которая заняла первое место, уже проходила на DEF CON за счет победы в других соревнованиях, а ребята со вторым местом просто отказались от участия. Мы были следующими в очереди и таким образом получили возможность стать частью чуть ли не священного для каждого хакера события — DEF CON CTF.

У нас были 1 приглашение на финал DEF CON CTF, 7 билетов до Лас-Вегаса, 1 Ethernet-кабель с доступом к игровой сети, несколько розеток и столов для ноутбуков, а также бесконечный запас адреналина, азарта и скилов, которые хотелось показать. Не то чтобы это был необходимый комплект для победы в DEF CON CTF, но, когда начал играть в CTF, уже сложно остановиться...

Спустя пару месяцев мы прилетели в Лас-Вегас. Было волнительно, но только до тех пор, пока мы не оказались в комнате для CTF: приглушенный свет, на экранах — трешовые клипы, в центре зала — scoreboard, а вокруг — участники CTF со всего мира. Финал DEF CON CTF проходил в формате attack-defense: каждая команда получила одинаковые серверы с набором предустановленных сервисов. Участникам необходимо было обнаружить как можно больше уязвимостей в сервисах соперников и одновременно защитить собственную инфраструктуру.

К сожалению, все сервисы на DEF CON CTF упираются в бинарную эксплуатацию, и даже единственный веб-сервис нужно было ломать с помощью различных техник эксплуатации бинарей. В этих штуках мы были не очень сильны, поэтому слегка удивились, когда заняли 17-е место, а не почетное 20-е.



Команда BalalaikaCr3w на DEF CON CTF 2014

В целом было круто: мы получили хороший опыт, прокачали скилы, пообщались с ребятами из мирового комьюнити. Но самое важное — мы прониклись атмосферой DEF CON CTF. Пожалуй, последнее и послужило отправной точкой для создания собственного CTF с качественными финалами в лучших традициях DEF CON.

Часть 2. Первый CTFZone, бессонные ночи и Call for DEF CON CTF


Через пару лет с некоторыми ребятами из BalalaikaCr3w мы встретились уже на работе в BI.ZONE. В то время компания объединила многих ребят из комьюнити: кто-то в прошлом организовывал свои соревнования, кто-то был участником той или иной CTF-команды. Заручившись поддержкой BI.ZONE, мы решили рискнуть и сделать свой собственный CTF — CTFZone.



Сказали — сделали

Как вы поняли, над названием долго не думали, да и не это было главным. Мы наконец перешли от участия к организации.

«Форензика вся? Где дескрипшен реверса на 100? Почему опять лагает регистрация?!!» — накануне CTF подобные возгласы слышались с утра до вечера

Первый CTFZone мы провели в рамках конференции по кибербезопасности ZeroNights 17–18 ноября 2016 года. Соревнования были рассчитаны на индивидуальное участие и проходили онлайн в формате викторины Jeopardy — американского аналога «Своей игры». Участникам турнира выдавался набор заданий разной сложности, за правильное решение которых они получали очки. Чем сложнее было задание, тем больше баллов можно было за него получить.

На подготовку первого CTFZone ушло три месяца вперемешку с работой. Накануне старта, допиливая последние детали, мы уже понимали, что организовать свой CTF не так легко, как казалось на первый взгляд. Мы думали, что все упадет, а нас забросают гнилыми помидорами (или еще чем похуже).

Градус волнения, горения и ответственности повысился, когда мы увидели 540 зарегистрированных участников. Сразу, на первом соревновании! А потом повысился еще больше, когда мы открыли таски в 00:01 17 ноября и практически сразу же начали получать первые решения. Кто-то из участников остался решать CTF дома, кто-то прилетел на «Юпитер» в «Космосе» — один из залов ZeroNights, который был местом дислокации CTFZone 2016.



Так выглядел первый CTFZone в офлайне

Когда соревнования закончились, наконец можно было выдохнуть. За время проведения CTFZone нам удалось ни разу не уронить инфраструктуру. Более того, участники дали хороший фидбэк по таскам: над некоторыми из них они изрядно поломали голову. Тяжелее всего зашли задания на 500 и 1000 очков по OSINT, вебу, реверс-инжинирингу. Их решили всего несколько человек. А мы, в свою очередь, получили порцию адреналина, а также мотивацию двигаться дальше и делать еще круче.

Как участники многих CTF со стажем, мы понимали, что участие в таких соревнованиях — это не просто опыт. Это воспоминания, которые останутся с игроками на всю жизнь: гостиничный номер, куда набивается вся команда и целую ночь решает таски; улицы других городов, по которым участники блуждают ночью в поисках бара после соревнований; скрутки проводов по всей площадке, нервное напряжение и ступеньки, по которым победители взбегают на сцену для награждения. Мы хотели, чтобы наш CTF оставлял в сердцах участников такие же ощущения, — и с такими мыслями через несколько месяцев приступили к организации следующего CTFZone.

CTFZone 2017 уже состоял из двух полноценных этапов — отборочных соревнований и финала. Отборочный этап прошел онлайн в том же формате Jeopardy, а финалистов мы пригласили сразиться в attack-defense на конференции ZeroNights. Атмосфера была классная — ZeroNights в 2017 году превратилась в одну огромную диско-площадку из 80-х. Мы решили поддержать ретроконтекст: сделали зону с олдскульными игровыми автоматами для всех желающих, а зал, где проходил CTFZone, оформили в стиле ретровейва.

Финал получился истинно международный: к нам приехали десять команд из России, Германии, Польши, Китая и США. Для нас это был новый вызов, новый уровень ответственности. Борьба между участниками выдалась ожесточенной, нагрузка на сеть — огромной. Но, слава богам CTF, инфраструктура выдержала. На beer party, которую мы провели после соревнований, многие команды нас за это поблагодарили.



Ретровейв-финал CTFZone 2017 — почти диджитал-дискотека

После CTFZone 2017 мы узнали, что организаторы DEF CON объявили Call for DEF CON CTF и ищут новую команду для проведения соревнований. Не то чтобы мы были настолько в себе уверены, но решили, что раз уж инфраструктура не упала два раза подряд, то почему бы не попробовать и на олимп.

Организаторы DEF CON CTF раз в несколько лет ищут новую команду со свежими идеями для проведения CTF. Интересно, что до 2017 года они не делали это публично, но в тот раз решили призвать всех желающих поделиться предложениями. Мы подали заявку, где рассказали про наш опыт организации соревнований и технические возможности команды, а также расписали, какими мы видим соревнования (конечно, смелыми и невиданными ранее) и что нового в них привнесем.

Как можно было ожидать, мы не прошли. Организаторам наши идеи понравились, мы с ними много общались. Но подозреваем, что они все-таки побоялись рискнуть — до этого еще ни одна российская команда не организовывала DEF CON CTF. Географически мы были слишком далеко, да и языковой барьер создавал определенные трудности. Мы все хорошо говорим по-английски, but you know what I mean.

Однако была и хорошая новость: мы попали в шорт-лист Call for DEF CON CTF. Значит, из длинного списка заявок организаторы выбрали CTFZone и наши идеи. Это стало маленькой победой.

Часть 3. Первые попытки в DEF CON Qualifier, постапокалипсис и конференция OFFZONE


«Знать путь и пройти его — не одно и то же»

Получив отказ от организаторов DEF CON, мы решили, что русские не сдаются. Мы снова задались целью стать частью DEF CON CTF, но на этот раз в качестве квалификационного этапа соревнований. Как мы уже упоминали ранее, стать квалифайером DEF CON CTF — значит автоматически вывести победившую команду в финал DEF CON CTF в Лас-Вегасе.

Прежде чем начать делать CTFZone, мы участвовали в очень многих CTF-турнирах и на личном опыте пришли к выводу, что у команд из разных частей мира разные сильные стороны. Например, русскоговорящие участники лучше решают веб, а азиатские и американские команды сильнее в PWN. Мы поняли, что это интересно, и взяли эту гипотезу за стратегию, решив, что, если хотя бы один квалифайер будет организован в нашем регионе, это не только уравняет шансы участников на прохождение в финал, но и обеспечит абсолютный diversity среди квалификационных турниров.



О разнице в комьюнити и важности обмена опытом говорили не только мы

У нас получилось раздобыть почту организаторов DEF CON CTF — команды Overflow — и договориться с ними о встрече на следующей конференции в Лас-Вегасе. Ребята из Overflow — настоящие фанаты CTF. Многие из них — участники известной CTF-команды Shellphish из университета Санта-Барбары и сражались на DEF CON CTF бессчетное количество раз.

Мы встретились с ребятами и обсудили, кто как делает инфраструктуру, придумывает свои сервисы, поговорили о разнице подходов к организации в целом. Для нас было неожиданным, что ребята держат инфраструктуру для A/D в Kubernetes, а для них — что мы возим готовое железо для финалов в такси.

Мы поделились своими мыслями относительно разницы в комьюнити и важности назначения квалифайера DEF CON в нашем регионе. Выслушав наши доводы, ребята взяли паузу, чтобы подумать. Тема их зацепила: спустя некоторое время мы узнали, что в России был выбран CTF, который стал квалифайером DEF CON CTF. Но, к сожалению, это были не мы. Команда Overflow выбрала RuCTFE, один из давних и хорошо известных CTF в России. Возможно, наш CTFZone показался слишком молодым — или мы оказались слишком настойчивыми. Точной причины мы не знали, но старались не унывать. Подходило время следующего CTFZone.

К 2018 году мы поездили по мировым конференциям в качестве спикеров и участников, подружились со многими российскими и зарубежными комьюнити. Параллельно в BI.ZONE приходили новые люди с горящими глазами и желанием сделать что-то интересное и полезное. Медленно, но верно мы пришли к идее организации не просто соревнований, а собственной конференции — OFFZONE. Основным замыслом было сделать мероприятие в стиле no suites, only hardcore research. Повисеть в бэклоге задача не успела: в 2018 году конференция ZeroNights переехала в Санкт-Петербург, а нам необходима была площадка для CTFZone в Москве.

OFFZONE ознаменовал начало реально новой эпохи для нас. Практически каждый сотрудник компании был задействован в подготовке к OFFZONE — помимо основной работы и в свободное время. Кто-то колдовал над тасками для CTFZone, кто-то открыл в себе таланты ведущего, кто-то превратился в генератор креативных идей. Мы старались выложиться максимально, чтобы внести свой вклад в развитие комьюнити и сделать действительно полезную конференцию для всех неравнодушных к миру кибербезопасности. Мы очень хотели, чтобы все получилось так, как было задумано.

На подготовку у нас ушло чуть меньше трех месяцев. Первая международная конференция по практической кибербезопасности OFFZONE состоялась 15–16 ноября 2018 года. На два дня площадка Digital October превратилась в постапокалиптическое убежище, где можно было набить тату прямо во время конференции или сыграть в зомби-кикер.



Обладатели такой тату получают пожизненное право бесплатно посещать все конференции OFFZONE, пока мы не решим ее переименовать

Атмосфера OFFZONE 2018 впечатлила даже специального гостя конференции, представителя DC-Group Джейсона Стрита:



Мы очень хотели подарить ему кикер, но с самолетом это проблематично — договорились, что приедет еще

Эпицентром событий конференции стали соревнования CTFZone 2018, в которые прошли 10 лучших команд из таких стран, как Россия, Венгрия, Китай, Польша, Украина и Южная Корея. Финал был выдержан в классическом формате attack-defense: участники искали и эксплуатировали уязвимости в 5 сервисах. Мы постарались сделать сервисы таким образом, чтобы командам были полезны специалисты в любой из заявленных областей: реверс, бинарная эксплуатация, криптография, веб, поиск багов в железках.



Забавно, но практически на всех фотографиях мы получились со спины — видимо, наши лица после недели бессонных ночей отпугивали фотографов

В процессе подготовки мы понимали, что команды, которые давно играют в CTF, сложно удивить даже самыми необычными тасками: ребята многое повидали на своем пути. Поэтому нас слегка удивило, что части команд хватило инфраструктуры, которая не падала и не лагала. После CTFZone мы получили хороший фидбэк, и это стало лучшей наградой.

Часть 4. Решающая попытка в DEF CON CTF и More Smoked Leet Chicken


«Если я гореть не буду, если ты гореть не будешь, если мы гореть не будем, то кто тогда рассеет тьму...»

Стремление влиться в DEF CON CTF никуда не исчезло, и такой шанс выпал год спустя.

Осенью 2019-го мы узнали, что DEF CON СTF выбирает квалифайеров и, что самое интересное, делает это публично. Как и в случае с публичным отбором новых организаторов самого DEF CON CTF в 2017-м, это было впервые: раньше выбор квалифайеров проходил за закрытой дверью в режиме «совершенно секретно».

Мы заполнили заявку на сайте и очень хотели пройти в этот раз, но много об этом не думали: новость застала нас в разгаре подготовки к отборочным CTFZone 2020. Конец года, надо закрывать рабочие проекты, а в третью смену придумывать таски… мы с головой ушли в текучку.

И вот незадолго до онлайн-этапа соревнований один из членов команды скинул в общий телеграм-чат ссылку на пост в «Твиттере», где Overflow опубликовала список квалифайеров DEF CON CTF 28. Там был наш CTFZone.



Тот самый момент, когда организаторы CTF понимают: команды будут серьезно готовиться к отборочным

Итак, мы стали квалифайером. Надо сказать, мы чувствовали себя как перед первыми соревнованиями. Вроде бы уже был опыт, из года в год соревнования CTFZone проходили хорошо, но в этот раз пришло понимание, что теперь у нас просто нет права на ошибку.

В отборочных CTFZone 2020 приняли участие 1043 команды из самых разных уголков мира, даже из Зимбабве. Провести финал соревнований мы планировали стандартно, офлайн, в рамках уже третьего по счету OFFZONE. К сожалению, из-за эпидемии COVID-19 конференцию пришлось перенести до лучших времен, поэтому и финал CTFZone ушел в онлайн.

В финале было напряженно — столкнулись сильнейшие команды: More Smoked Leet Chicken, Bushwhackers, SUSLo.PAS, Mhackeroni, Dragon Sector, P4, Tea Deliverers, A*O*E, TSG, Perfect blue и другие. Спустя 24 часа ожесточенной битвы победу одержала российская команда More Smoked Leet Chicken, которая получила заветный билет на DEF CON CTF. А мы стали теми, кто предоставил такую возможность.



Вот так выглядит счастье для победителя CTFZone 2020

В финале DEF CON CTF ребятам из More Smoked Leet Chicken предстоит встретиться с бывалыми командами, с некоторыми из которых они уже сражались в разгаре CTFZone 2020. Известно, что две команды из Китая, Tea Deliverers и A*O*E, прошли в финал DEF CON CTF за счет победы в других квалифайерах.



Искренне желаем всем ребятам удачи — пусть победят сильнейшие!

Заключение (очень короткое)


После прочтения нашей долгой истории у кого-то может возникнуть вопрос: а зачем нам это? Наверное, тут все просто. Когда делаешь что-то на совесть, не жалея себя, и получаешь отличный фидбэк от опытных участников, которых все-таки получилось удивить тасками, хочется идти еще дальше.

Всегда ваша,
CTFZone team

#makectfgreatagain
Tags:ctfzonectfoffzonedefcon
Hubs: BI.ZONE corporate blog Information Security CTF
0
618 2
Leave a comment