Правила соревнований

Student CTF — командные соревнования по компьютерной безопасности среди студентов Санкт-Петербурга. Организаторы — сообщество SPbCTF при поддержке Комитета по науке и высшей школе. Партнёры Student CTF 2020 — Университет ИТМО, Ростелеком Солар и Digital Security.

Capture The Flag

CTF — это соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Команды получают набор заданий на криптографию, анализ скомпилированного кода, веб-уязвимости, расследование инцидентов, и т.д. — на все те направления, с которыми работают профессионалы-безопасники.

В каждом задании перед командой стоит цель: например, найти уязвимость на специально подготовленном сайте и извлечь пароль администратора из базы данных. Успешно решив задание, команда получает флаг — секретную строчку вида spbctf{W3lc0M3_t0_t3h_G4M#}. Команда отправляет флаг в проверяющую систему и получает очки. Побеждает тот, кто набрал больше очков.

Чтобы выигрывать в CTF, нужно хорошо разбираться в компьютерных системах и технологиях.

Больше информации про соревнования CTF — в подборке SPbCTF для начинающих.

Формат соревнований

В этом году соревнования пройдут в два этапа.

Отборочный этап — Jeopardy CTF

Воскресенье, 15 ноября, 12:00–21:00 по Москве, онлайн

В отборочном этапе две отдельных лиги:

  • Официальный зачёт для команд, состоящих из 5–7 студентов вузов и колледжей Санкт-Петербурга. В одной команде могут быть студенты из разных учебных заведений, а количество команд от одного заведения не ограничено.
  • Свободное участие для команд не из Санкт-Петербурга или команд с другим числом участников.

Этап пройдет по правилам Jeopardy CTF. Команды получат 18 заданий из различных областей практической безопасности, сложностью от базовой до интересной.

Задания оцениваются динамически — чем больше команд решит задание, тем меньше очков оно принесет в итоге.

Финальный этап — Attack-Defense CTF

Воскресенье, 29 ноября, 12:00–21:00 по Москве, онлайн

В финал проходят по 10 лучших команд по итогам отборочных отдельно в каждой лиге. Официальные команды и команды вне зачёта соревнуются на одних и тех же заданиях, но в разделённых игровых сетях.

Финал пройдет по правилам Attack-Defense CTF. Команды получат в свое распоряжение одинаковые сервера со специально подготовленными игровыми сервисами. Участники ищут уязвимости в сервисах и пользуются ими для проникновения на серверы соперников, одновременно защищаясь от чужих атак.

Финалисты официального зачёта также смогут воспользоваться готовой инфраструктурой профессионального игрока в Attack-Defense:

  • Самим игровым сервером, запущенным в облаке организаторов
  • Настроенным менеджером эксплоитов DestructiveFarm
  • Анализатором трафика PackMon

За неделю до финала официальные участники получат доступ на тестовую площадку, где смогут освоиться с игрой и инструментами.

Призы

Участники в официальном зачёте по итогам соревнования награждаются:

  • Топ-3 по итогам финала — кубками и дипломами за I, II и III место
  • Все финалисты — именными сертификатами и памятными сувенирами

Правила

Запрещается

  • Играть в Jeopardy, как будто это Attack-Defense: удалять флаги, выводить из строя игровые задания. Организаторы обеспечивают, чтобы это не получалось, однако где-нибудь обязательно ошибутся. Вместо того чтобы злоупотребить ошибкой, сообщите о ней.
  • Помогать другим командам или самим клянчить помощь. Это соревнование — пусть каждый покажет, на что он способен.
  • Мешать организаторам: нагружать сервисы большим объемом трафика, троллить и флудить в чате, регистрировать фейковые команды.

Поощряется

  • Решать задания любым способом: гуглить, применять готовые инструменты, изобретать собственные, находить не задуманные авторами решения.
  • Быть хакером в настоящем значении этого слова: настолько хорошо разобраться в системе, что суметь сделать с ней что-то необычное.
  • Проявлять вершину собственных умений и получать от этого удовольствие.

‌Контакты

Если у вас возникли вопросы, связаться с организаторами можно в чате @studentctf или по почте spb@ctf.su.