Привет, Хабр, Давно не виделись! Я - Никита, студент Бонча и инженер в «Газинформсервис» (подробнее обо мне в этой статье). Предлагаю немного ближе познакомиться c миром ИБ, а именно кибер-соревнованиями. В этом материале кратко расскажу как я стал участвовать в битвах и какие ресурсы можно использовать для подготовки к ним.

Hack me, если сможешь

Как обычно начнем с начала. Немного обучившись теории по тестированию на проникновение и попрактиковавшись на площадке TryHackMe, мне захотелось проверить свои силы на реальном объекте. Благо, в вузе мне и моему другу эту возможность предоставили. Нам разрешили протестировать сайт кафедры и, если мы добьёмся какого-нибудь результата, рассказать об этом заведующему.

После недель проверки поддоменов, директорий, сервисов, поднятых на сайте и других методов и техник, мы с другом нашли некоторую уязвимость (подробности, к сожалению или к счастью, рассказывать не буду, кстати, сейчас она уже закрыта). Протестировав её и поняв, что ожидаемого нами результата удалось добиться, мы пошли делиться этой новостью с заведующим кафедрой. Мы пришли с отчетом об обнаруженной уязвимости (достаточно формальным, но всё-таки). Описали проделанную работу и последствия от эксплуатации уязвимости. В итоге она была устранена, а нам предложили поучаствовать в “хакерском” соревновании.

Здесь стоит отметить! Пентестить сайт вуза без согласования с администрацией ни в коем случае не стоит при желании провести подобное мероприятие обязательно согласуйте свои действия с владельцами ресурсов, самовольничать 100% не стоит. Во-первых, в некоторых ситуациях будет невозможно доказать, что делали вы это исходя из научного интереса, во-вторых - подобные тесты могу причинить реальный ущерб организации (финансовые, репутационные потери) ответственность за которые возложат на вас (Уголовный Кодекс ещё никто не отменял).

Итак, мы вместе с командой из 4-х человек (да, кстати, подобные мероприятия — это ещё и новые знакомства) стали участвовать во всех подряд турнирах, тестировать киберполигоны различных компаний и что-то даже выигрывать.

Переломным для меня моментом стало участие в летней школе ИБ, о которой я расскажу уже в следующей статье, а также объясню, как это мероприятие повлияло на мою карьеру.

Немного теории о форматах проведения и площадках

Существует бесконечное множество направлений, форматов, площадок для проведения подобных мероприятий. Расскажу о тех, с которыми чаще всего я сталкивался

CTF (Capture the flag) — формат задания в области кибербезопасности, которые часто встречаются на соревнованиях для специалистов по информационной безопасности (матёрых и начинающих). В рамках CTF-соревнований участники решают разнообразные задачи, связанные с поиском уязвимостей, атаками, криптографией, стеганографией, веб-уязвимостями и многими другими аспектами ИБ. Уровень сложности таких соревнований может быть абсолютно разным - от step-by-step решений до ip-адреса машины без какой-либо дополнительной информации.

Главная задача – получить «флаг». Флаги —  это уникальный код или строка, которые нужно обнаружить. Участнику предоставляется свобода (в рамках правил соревнования) решения задач, которые предстоит решить для захвата флага.

Флаги обычно начинаются с ключевого слова (например, “flag” или “ctf”), а его содержимым является уникальная последовательность символов. Например, флаг может выглядеть как “flag{th1s_1s_th3_fl4g}”. Они являются некими “чекпоинтами” для того, чтобы понимать, насколько продвинулся участник. В подобных соревнованиях оценивается скорость прохождения, иногда оригинальность (хотя при встрече со сложными задачами желательно их хоть как-то решить).

Помимо задач на “взламывание”, довольно часто проводятся турниры по расследованию кибер-инцидентов (форензике), одним из недавних таких мероприятий, в котором я принимал участие со своей командой, были киберучения “Кибер Северо-Запад 2023”. Нам удалось занять первое место на региональном этапе, четвертое место и награду за “Самое оперативное обнаружение и регистрацию компьютерных инцидентов” на всеросссийском этапе.

Подробнее о различных форматах проведения соревнований можно почитать здесь

Кстати, моим тиммейтам (ныне ещё и коллегам) этот опыт пригодился в прохождении тестового задания при приёме на работу.

Киберполигон – виртуальная площадка, имитирующая реальную инфраструктуру для проведения практических учений и тренировок в области ИБ. На нём можно оттачивать свои навыки тестирования на проникновение с одной стороны и обнаружения с дальнейшим предотвращением вторжений - с другой. Именно на киберполигоне вы имеете полную свободу выбора действий для решения поставленных задач, а что может быть интереснее, чем карт-бланш в информационной среде? Благодаря киберполигонам я познакомился с IPS/IDS системами, журналами аудитов, анализаторами сетевого трафика и множеством других полезных для себя вещей, к чему не притрагивался до этого (я ведь еще только на 3м курсе).

Если у вас есть возможность поучаствовать в тестировании или в соревновании на киберполигоне, то мой совет - дерзайте, это будет большим плюсом для вашего резюме и личного развития!

Как подготовиться к первой в жизни кибер-битве

Как многие (в том числе и я) говорят: “Одной теорией не отделаешься, тут нужна практика”. Для начала могу порекомендовать пройти (или хотя-бы посмотреть) комнаты с фундаментальными материалами из моей прошлой статьи. Параллельно или последовательно, это зависит уже от вашего вкуса, можно начать проходить первые “машины”, вот некоторые из них:

TryHackMe | Investigating Windows – комната посвящена расследованию заранее скомпрометированной Windows-машины

TryHackMe | Basic Pentesting – step-by-step Linux-машина для взлома, для начала – самое то!

Также полезным будет прохождение модулей на Web Security Academy: Free Online Training from PortSwigger, там собраны интересные “лабы” с веб-уязвимостями.

Из “отечественных” платформ могу посоветовать https://codeby.games/, там вы сможете найти задачи на любой вкус!

Мотивация в час ночи

Возьму на себя роль того самого мотиватора перед сном. Если у вас есть возможность поучаствовать в каком-либо соревновании, то мой совет - дерзайте, это будет большим плюсом для вашего резюме и личного развития!

Для достижения успеха стоит использовать любые возможности (в рамках закона, конечно), даже если особого смысла в них вы на старте не видите, поверьте, оглядываясь назад, вы поймёте, что это было не зря. Развивайтесь, соревнуйтесь и используйте каждый шанс для изучения чего-то нового, пейте молоко (аллергикам можно безлактозное). Увидимся в новых статьях, до встречи!