Импортоопережение добралось и до Санкт-Петербурга — в этот раз переходящее знамя организаторов CTF от Комитета по науке и высшей школе снова перешло к новым лицам.

В этом году организаторы решили не только переименовать соревнование в «Студент CTF» (до 2022 года оно называлось Student CTF), но и переосмыслить само понятие CTF.

Что из этого получилось — смотрите (а точнее, слушайте) в видеоролике.

Источник: видео «CTF 2023 promo», пользователь channel32432104, rutube

Итак, Студент CFT (если судить по описанию трансляции) начался.

Соревнование проходит в формате «jeopardy stream»: жюри ровно в 12:00 пожелало удачи в стриме на RuTube и запустило прямую трансляцию CTFd.

По правилам Студент CTF, которые есть в распоряжении редакции, все команды «обязаны зарегистрироваться» до 12:10, иначе их участие будет аннулировано.

Однако, ссылки на борду нигде нет. Неужели организаторы решили дисквалифицировать всех и сэкономить на проведении финала?

Что ж, 12:10 — по всей видимости, регистрация завершена.

Желаем удачи всем нулю командам!

Итак, первый CTF в мире со встроенной anti-DDoS-защитой

Длительность данного соревнования определяется организаторами в динамическом режиме: несмотря на открытие борды в 12:11, соревнование не завершилось ни в 21:00, ни в 21:11

Первая попытка завершить Студент CTF случилась ещё два часа назад — около 19:00. Выяснилось, что не все команды успели закетчить зе-флаги (о флагах, кстати, чуть позже), поэтому под натиском комментариев борду открыли.

В этот раз, видимо, борду закрыли уже окончательно.

А как вы думаете, как лучше завершать соревнования: путём голосования участников или в любую минуту с вероятностью 0,5%?

Что ж, организаторы объявили об окончании соревнования всего лишь через 5 минут после закрытия борды — и обещают разборы тасков после финала.

Наша редакция опережает время, поэтому прямо сейчас — разбор категории PWN со Студент CTF 2023.

Многие задания были в формате white-box, что позволило командам наглядно изучить принципы работы алгоритма. Как пример — сложное задание из категории crypto на знание алгоритма RSA.

К сожалению, сервера, на котором можно было протестировать свой эксплойт, предоставлено не было.

Если в команде нет эксперта по white-box, не беда — всегда можно попрактиковаться в изучении однонаправленных хеш-функций.

Выбор широк — задание на взлом хеша (на скриншоте), на перебор пароля от RAR-архива или на расшифровку AES без ключа.

Тем временем организаторы сначала выключили реакции в канале, а после того, как клоунов стали ставить в комментариях, выключили и их.

Наша редакция успела запечатлеть скриншот системы регистрации на Студент CTF — она находилась именно в этих комментариях.

UPD: Это не система регистрации: организаторы сказали, что всем командам необходимо указать эти данные в комментариях. Подробнее

610 ботов, поставившие 💩, вы этим что хотели сказать? Просто интересно

ОПРОВЕРЖЕНИЕ

В редакцию обратился человек, которому поступила жалоба лиц, представившихся организаторами Студент CTF. Мы внимательно изучили жалобу и обнаружили некорректные сообщения в нашем канале.

Редакция канала «Kappa CTF» опровергает недостоверные сведения о соревнованиях «Студент CTF»:

1. В заметке https://news.1rj.ru/str/kappactf/1259 утверждалось, что организаторы предоставили 2 задания категории pwn. На самом деле заданий было не меньше шести, однако все задания содержали исходный код с флагом.

2. В заметке https://news.1rj.ru/str/kappactf/1263 утверждалось, что система регистрации находилась в Telegram. Однако выяснилось, что регистрация была через онлайн-форму, а организаторы просто зачем-то попросили всех участников написать ФИО и название команды в комментариях.

Приносим извинения нашим читателям и организаторам соревнований.

Мы уже думали, что всё, но оказалось не всё.

Райтап на задание, практически построчно совпадающее с одним из сегодняшних криптотасков, написан командой b1os из Индии — и почему-то он загружен на GitHub два года назад. Даже не знаем, как так вышло:

https://github.com/teambi0s/InCTFi/tree/master/2021/Crypto/Lost%20Baggage

Там же, в директории Right Now Generator, участникам сегодняшнего соревнования встретится ещё один знакомый сниппет кода.

Тем временем начался отбоочный этап «Кубка CTF России».

Нам остаётся только догадываться, что происходит: на скорборде показываются некие «text'ы» в триальной версии, судя по всему, игры по киберзахвату Лахта-Центров 2.

Связано ли это с тем, что партнёр кубка — Газпром?

Вместо тысячи постов

Комментарий организаторов RuCTF

У нас, конечно, были проблемы, и мы будем над ними работать)

Но я напомню, что у нас нет ни партнёров, ни бюджетов, мы делаем соревнование на чистом энтузиазме, и делаем как можем, релизим что получается

В РФ вообще мало кто делает крупные AD, на которые приходят международные команды, сейчас уже почти никто. Но мы пока остались, и мы стараемся

Тем временем цтф-коммьюнити посетила полиция неконструктивных отзывов — в @codeby_games_chat всерьёз предлагают заблокировать команду FaKappa за «неконструктивные отзывы», а конструктивные — проверить.

Вместе с тем, когда один из авторов отзывов пришёл написать конструктивный фидбек (как мы все знаем, в комментарий на цтфтайме влезает всего-то сотня-другая символов), разумеется, его заблокировали.

Стоит ли показывать комментарии самих организаторов Codeby Games к другим мероприятиям :)

Новый формат шоу в CTF придумали в Саудовской Аравии на Black Hat MEA — за деструктивные атаки на инфраструктуру организаторы включают воду с потолка на 8 раундов