Захватили флаг и заработали 1 млн тенге. Как прошел турнир по информационной безопасности в Алматы 

26 апреля в КБТУ прошел масштабный CTF-турнир по информационной безопасности, организованный Банком ЦентрКредит. 10 сильнейших команд из Казахстана и Кыргызстана боролись за призовой фонд в 1 000 000 тенге, практиковались в реальных задачах и прокладывали путь в профессию. Digital Business побывал на ивенте и выяснил, какая тактика помогает занимать призовые места и что кроме денежного приза мотивирует участников.

«Больше 700 студентов в год изучают кибербезопасность»

Организаторы отметили, что одна из основных целей турнира — объединить студентов и сформировать сообщество, которое осознает важность информационной безопасности.

«Цель мероприятия — обратить внимание на то, что безопасная разработка сегодня очень важна, так как количество угроз растет, а скорость эксплуатации увеличивается. Поэтому сегодня важно не только защищать данные, но и знать, как безопасно разрабатывать программное обеспечение», — пояснил Дмитрий Шапошников, исполнительный директор по информационной безопасности Банка ЦентрКредит.

Сегодня кибербезопасность — одно из самых актуальных направлений в ИТ, и все больше студентов стремятся стать специалистами в этой области. 

«Для сравнения, в 2018 году в нашем университете было всего три дисциплины, связанные с кибербезопасностью, и им обучалось около 30-40 студентов ежегодно. Сейчас по этому направлению у нас более 10 дисциплин разного формата, и эти курсы прослушивают как минимум 700-800 студентов каждый год. Это говорит о высокой вовлеченности молодежи и спросе на специалистов из этой области. Сегодня будем акцентировать внимание на безопасной разработке — как сделать приложения устойчивыми к атакам. Я уверен, что это будет полезно для наших студентов», — рассказал Азамат Иманбаев, декан Школы информационных технологий и инженерии КБТУ.

Взломай или проиграй

Организаторы турнира обозначили соревновательный процесс как отличную возможность для студентов проверить свои знания и навыки на практике. Формат CTF (Capture the Flag – захват флага) подразумевает решение задач, связанных с обеспечением безопасности компьютерных систем. 

«CTF — это что-то вроде олимпиады по информационной безопасности. Участники должны взломать созданную инфраструктуру, в которой спрятаны флаги, решая различные задачи. Каждый флаг оценивается в зависимости от сложности задания. Это можно сравнить со спортивным программированием, где кто быстрее решит, тот и получает балл», — объясняет Темирлан Жаксылыков, заместитель декана Школы информационных технологий и инженерии.

В турнире участвовали 10 команд, отобранных из более чем 40 заявок. Эти команды представляют как отдельные университеты, так и сборные из нескольких учебных заведений. Состав участников разнообразен: и опытные игроки, и новички.

Команда FR13ENDS Team — одна из лучших в Казахстане. Участники  работают в крупных компаниях и занимаются информационной безопасностью более четырех лет. Они часто заявляются на подобные соревнования и пришли с намерением занять первое место.

«Эти мероприятия очень полезны для молодых специалистов. Уже много лет участвуем в турнирах, хотим развиваться, — говорит Алибек Ахметов, представитель команды, — Я уверен, что уровень тех, кто не участвует в соревнованиях, ниже. Мы постоянно учимся и практикуемся, что позволяет быть на шаг впереди. Команда ездит за границу на разные ивенты, и это помогает наладить полезные связи и понять современные тенденции в безопасности».

Mimicats — главные соперники команды FR13ENDS Team. У них особый подход: меняют состав участников, чтобы развивать каждого из них. Ребята поддерживают других казахстанских игроков и стараются, чтобы все были вовлечены в соревнования.

«У нас в сообществе более 25 человек, и мы делимся на пять команд. Каждый может участвовать, исходя из своего уровня подготовки», — говорит капитан Диас Ахметбеков, — Участие в соревнованиях дает им возможность получить практические знания». 

Диас поясняет: «В турнирах мы получаем задания, например, по взлому веб-приложения. Главное отличие от обычной работы в том, что в CTF уязвимость уже задана, и нам нужно просто ее найти. Это помогает развивать навыки и улучшать понимание хакерских техник».

Единственная девушка на турнире — Алтынай Кешкенебаева — студентка третьего курса Казахстанского-Британского технического университета (КБТУ). Она считает себя новичком в CTF-соревнованиях. Хотя Алтынай уже принимала участие в таких турнирах, но хочет получить больше опыта, чтобы стать специалистом в этой области. 

«Моя специализация — математическое и компьютерное моделирование. Пришла сюда, чтобы применить свои математические знания в решении задач, особенно в области криптографии, которая очень важна на CTF», — говорит Алтынай, добавляя, что участие в турнире — первый шаг к освоению информационной безопасности.

«В Казахстане не хватает открытости о взломах и инцидентах»

Приглашенные эксперты в области кибербезопасности поделились своими знаниями и опытом со студентами. Амир Акимбаев, генеральный директор компании TRIDS, специализирующейся на DevSecOps и AppSec, отметил, что организации все больше осознают значение безопасности в процессе разработки. Однако уровень знаний и открытости по вопросам информационной безопасности в стране все еще остается низким.

«В Казахстане не хватает информации о количестве взломов и краже средств. Это контрастирует с практикой в зарубежных странах, например, в США, где компании, зарегистрированные на фондовой бирже, обязаны регулярно предоставлять такую информацию. Это необходимо, чтобы акционеры могли видеть полную картину и оценивать риски», — пояснил Амир.

Он также добавил, что важно, чтобы больше организаций сообщали о взломах и инцидентах, так как это поможет создать более безопасную среду и привлечь новых специалистов.

Несмотря на недостаток открытости, интерес к информационной безопасности в Казахстане растет с каждым годом. Участники отмечают, что страна занимает сильную позицию в Центральной Азии.

Кто захватил флаг?

Общий призовой фонд турнира составил 1 млн тенге. В финал вышли три команды:

1-место: FR13ENDS Team из AITU и Satbaev University – 500 000 тенге;

2-место: Mimicats из КазНУ им. Аль-Фараби – 300 000 тенге;

3-место: Arrsi из Инновационного Технического Колледжа – 200 000 тенге.

Соревнование стало не только проверкой навыков участников, но и отличной возможностью проявить себя перед потенциальными работодателями. Самые активные участники получили специальные призы, а лучшие из них — приглашение на стажировку в Банк ЦентрКредит.