# Ak Bars Digital CTF 2019 18-19 декабря, в Ак Барс Цифровые Технологии прошло соревнование CTF организованное для работников Ак Барса Цифровые Технологии и Ак Барс Банка. Итак, небольшой отчет о прошедшем мероприятии. Начнем с того, что такое CTF — (Capture The Flag) соревнования по Информационной Безопасности, где главной целью является захват флагов (секретных строк), спрятанных в различных заданиях. Участникам предстояло решить 30 задач в следующих категориях: * **web** — задачи на взлом и поиск уязвимостей в веб-приложениях * **forensic** — задачи по поиску скрытых в файлах и дампах секретов * **mobile** — реверс мобильных приложений * **crypto** — решение задач на шифрование и кодирование/декодирование информации * **network** — сетевая разведка и поиск уязвимостей в сетях * **misc** — задачи на эксплуатацию программных уязвимостей Каждая задача, в зависимости от сложности, давала командам от 50 до 500 очков. Всего в соревнованиях зарегистрировалось и участвовало 15 команд, от 1 до 4 человек в каждой. Всего — 32 участника, среди которых были разработчики, QA-инженеры, аналитики, SRE-инженеры и Специалисты по ИБ. За отведенные 33 часа, учаcтники смогли решить 26 задач из 31.  Перед соревнованием, участникам для разогрева была предоставлена "нулевая задача", в которой нужно было подключиться к открытому порту сервера и с помощью утилиты netcat скачать zip файл. Внутри zip файла находилась картинка, в метаданных которой была ссылка на телеграм-канал, в котором уже был флаг. Самая простая задача тербовала для решения открыть исходный код страницы и найти скрытый элемент с флагом. Одной из самых сложных была задача на взлом веб-приложения написанном на .Net, в которой была RCE-уязвимость в десериализации объектов. На разборе задач организаторы поделились с учатниками способом решения. ## Итоги Все 33 часа между командами наблюдалась сильная конкуренция, некоторые из участников не прекращали решать задачи ночью, ради захвата первенства. *Статистику получения баллов за решение задач можно увидеть на графике:*  Итак, ТОП-10 команд по итогу соревнований выглядит так:  ### Победители 3 место получила команда **ДАпоИБ** - представители Департамента Информационной Безопасности Банка. Несмотря на отсутствие опыта разработки, они смогли решить большую часть задач. 2 место получила команда **iddqi**. 1 место заняла команда **12 обезъян**. Они решили одни из самых сложных задач, вырвав победу за 3 часа до окончания соревнований. Первые три места были награждены ценным призами: * 1 место - приставки Nintendo Switch (для хорошего отдыха) * 2 место - наушники с шумоподавлением Sony h.ear on2 (для концентрации в офисе) * 3 место - защищенные рюкзаки Bobby Design и жесткие диски на 1 ТБ. Остальные участники получили памятные призы - флешки на 128 гигабайт. ## Послесловие Главной задачей соревнований стало не просто узнать кто лучше разбирается в Информационной Безопасности и Информационных Технологиях - а вызвать интерес к сфере безопасности, отвлечь от рутины и заставить думать нестандартно. Отзывы сами говорят за себя: > Я устал за эти 2 дня, но было круто! Чувствуешь себя как мистер робот)😎 (с) > Это было очень здорово, мозги реально кипели! (с) Очень надеемся, что соревнования в следующем году пройдут интереснее и смогут привлечь еще больше участников!