Евгения Хрисанфова
Профессия кибербезопасника — одна из самых высокооплачиваемых в сфере IT. Но, несмотря на большие оклады, таких специалистов не хватает: глобальный дефицит составляет 3 млн, по оценкам Сбербанка.
Высокий спрос предъявляет и высокие требования. Чтобы им соответствовать, нужна не столько хорошая теоретическая подготовка, сколько большой практический опыт.
Хорошая новость в условиях самоизоляции: получить этот опыт можно не выходя из дома. В этом помогает участие в CTF — соревнованиях по кибербезопасности. О том, как все устроено, как подготовиться и где проверить свои силы, рассказывает Никита Вдовушкин, руководитель отдела комплексного аудита систем информационной безопасности BI.Zone.
Как стать специалистом по кибербезопасности, играя в CTF
Никита Вдовушкин
Правила игры
Что такое CTF. В переводе с английского capture the flag означает «захватить флаг». Так и есть, CTF — это соревнования, где команды решают прикладные задачи в области кибербезопасности, чтобы получить флаг — уникальную последовательность символов. Флаг (его отправляют в специальную платформу) подтверждает, что участники действительно взломали систему, нашли уязвимость алгоритма генерации ключа или выполнили какую-либо другую задачу.
Где проходит. CTF-турниры проводят как очно, так и онлайн. Очные встречи длятся не меньше семи часов, а онлайн-соревнования могут идти и сутки напролет — чтобы команды из разных часовых поясов были примерно в равных условиях.
Форматы часто совмещают: отборочные этапы проводят в сети, а в финале участники собираются на одной площадке. Именно так организован, например, американский DEF CON CTF, а в России — CTFZone.
Как соревнуются. CTF бывают двух видов. Первый — jeopardy: участникам предлагают набор задач разной «стоимости», как в телевикторине Jeopardy! на американском ТВ (наш аналог — «Своя игра»). За верное решение начисляют очки: чем сложнее задача, тем она дороже. Участники должны находить и эксплуатировать уязвимости в веб-приложениях и бинарных сервисах, администрировать операционные системы, разбираться в криптографии, программировании и уметь много чего другого.
Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.
Второй вид CTF-соревнований — attack/defense. На старте команды получают одинаковое количество очков и выделенный сервер с ресурсами. Задача — взламывать серверы соперников и защищать свои. Чтобы доказать взлом, нужно украсть с чужого сервера флаг — их загружает туда подготовленная организаторами автоматизированная платформа, которая эмулирует поведение обычного пользователя.
Зачем участвуют в CTF
CTF-турниры популярны среди людей самого разного возраста — от старшеклассников и студентов первого курса до состоявшихся профессионалов.
И неудивительно — участие в CTF, кроме удовольствия, дает немало возможностей:
-
Получить новые знания и навыки в области компьютерной безопасности.
Познакомиться с людьми, которые разделяют ваши интересы.
Научиться работать в команде и правильно распределять время.
Расширить круг профессионального общения. На CTF-турнирах можно встретить сотрудников большинства IT-компаний мира, а также независимых исследователей.
Продемонстрировать свои знания и умения перед другими участниками. Среди них могут оказаться будущие коллеги.
Как подготовиться
-
Заходите на ресурсы ringzer0ctf.com, www.root-me.org, websec.fr, pwnable.kr и решайте CTF-задачи. День, второй, третий. Чем больше, тем лучше.
Изучите или еще раз просмотрите дерево знаний по кибербезопасности, которое подготовили ребята из SPbCTF.
Ознакомьтесь с курсами для начинающих. Сейчас очень популярны КМБ (Курс молодого бойца) CTF, курс от «Хакердома».
Прочитайте разборы заданий и статьи по теме. Их легко найти на технических ресурсах вроде Habr, CTFtime, а также в блогах игроков и команд.
Не стесняйтесь общаться с участниками из успешных команд или разработчиками CTF, задавайте им вопросы.
На каких площадках себя проверить
CTF-соревнования проходят каждую неделю, а то и чаще. Расписание турниров удобно отслеживать на сайте CTFtime. Здесь же можно зарегистрироваться.
Самое авторитетное соревнование — DEF CON CTF. Первый турнир серии был проведен на хакерской конференции без малого 30 лет назад и дал начало всем CTF. Чтобы попасть на DEF CON, нужно выстоять в жестком онлайн-этапе или выиграть одно из престижных международных соревнований — сейчас в мире 6 таких отборочных турниров.
С 2019-го официальным отборочным турниром DEF CON CTF стал CTFZone, который в этом году прошел в конце апреля онлайн. Среди участников были команды из России, Китая, Италии, США, Польши, Японии. Обладатели первых трех мест получили денежные призы, а победитель, которым стала команда mslc из нашей страны,— еще и место в финале DEF CON CTF.
Еще два крутых российских соревнования — RuCTF и Volga СTF. Они собирают команды со всего мира, но с одним условием: в отборочном турнире могут принять участие все, а в финале — только студенты и вчерашние выпускники.
Как получить максимум
Киберспортивное хобби может стать отличным источником профессионального опыта. Чтобы все удалось, попробуйте следующее:
1. Как следует подготовьтесь к CTF-турниру:
-
прямо сейчас начинайте решать CTF-задачи. Практика — первый и основной элемент подготовки;
читайте все, что есть в интернете на тему безопасности, новых уязвимостей, техники эксплуатации, архитектуры;
зарегистрируйтесь в специализированных пабликах и задавайте вопросы тем, кто в теме.
2. Зайдите на сайт CTFtime и выберите выходные, которые вы готовы просидеть за компьютером.
3. После соревнований обязательно посмотрите разборы заданий, которые вы пытались, но не смогли решить.
Источник:
