Мы не хотели это комментировать, но видимо придётся...

Тем временем про проходящий этап Кубка шутят уже все подряд. И совершенно неспроста

В среднем в чатах как-то так

Предлагаем на этот раз нашим коллегам из @CTFNews сделать опрос «как вам веб» и сообщить, что об этапе были среднеположительные отзывы.

Напомним аналитику первого этапа

Отметим, что таски получились довольно патриотичными — флаг в ArcCrypt (ревёрс на Brainfuck) команда FaKappa не нашла, зато нашла вот это

Патриотичность, видимо, ожидалась не только от разработчиков, но и от участников мероприятия.

В начале теста было суровое предупреждение, что повторные попытки блокируются по IP и cookies, так что шанс угадать только один.

Тем временем, сами того не осознавая, мы открыли ещё один филиал @ctfchat в комментариях под одной из последних записей.

Там прямо сейчас (и уже три часа как) разработчик таскового этапа спорит с участниками на тему адекватности тасков.

Присоединяйтесь!

А мы снова переносимся в Санкт-Петербург: там прямо сейчас идёт финал Student CTF — тоже в формате Attack-Defense (сейчас это видимо в тренде).

Пока он не успел упасть или запомниться людям уцуцугой, так что как-то даже скучно. Зато у них есть онлайн-трансляция, где авторы рассказывают решения тасков с отборов: youtu.be/4epkrgF0IHw

Организаторы Student CTF внедрили инновационные игровые механики: чтобы игроки не ждали райтапов после игры, райтапы публикуются прямо во время соревнования

Для координации третьего этапа кубка CTF России в формате attack/defense создали целых два чата (ссылки есть в распоряжении редакции).

Видимо, один для вопросов по стеге, а другой — по осинту.

UPD: выяснили, что один из чатов — канал. Основного канала кубка им, к сожалению, не хватило

Базовые концепции игры мы узнаем завтра, а вот базовые концепции тестирования соревнований мы познаём уже сейчас.

Осталось чуть больше 12 часов, и мы лишь можем пожелать ребятам удачи в поднимании соревнований и сладких снов! А что из этого выйдет, узнаем завтра с утра.

Тем временем, если в инфраструктуру мы ещё верим, то вера в хорошую организацию этого мероприятия была потеряна безвозвратно ещё в прошлых этапах — и пока нас не подводят

Игра начинается в 12:04. На часах 12:12, у некоторых команд до сих пор нет рабочих конфигов. И сейчас мы видим, до чего доводит плохая коммуникация команды разработчиков и организаторов

Случился ♿️🅵🅰️🅺🅰️🅿️🅿️♿️

Итак, подвёдем итоги уже третьего этапа по нашей версии. В этот раз наш опрос затронул лишь четыре сильнейших команды. Сервисы получили оценки от «средней» до «хорошей» — команды отметили, что их как раз рассчитали на 4 часа, потому что дольше играть было бы скучно. В любом случае, они были и они даже работали, что уже сильно радует.

Традиционно, много проблем было с организационной частью — сначала организаторы запутались в длительности игры, а потом и совсем всё перепутали — скинули конфиги не тем командам. В итоге две команды — SPRUSH и ♿️🅵🅰️🅺🅰️🅿️🅿️🅰️♿️ — увидели сервисы гораздо позже своих оппонентов.

Сеть была довольно необычной, и команды расстроились тому, что все детали рассказали всего за полчаса до её открытия. VPN работал довольно странно: у команд не получалось подключить необходимые тулзы на внешних машинах. Вместо NAT организаторы использовали балансер: он вышел необычным и интересным. Интересной особенностью было то, что он сам патчил некоторые мисконфиги — например, даже до открытой базы было не достучаться, поскольку можно было ходить только на порты сервисов.

Что мы имеем в результате? Attack-Defense был на порядок лучше прошлых этапов, однако, до лучшего соревнования в стране он не дотянул. Что ж, ждём уже действительно одно из лучших attack-defense соревнований в России — RuCTFE 2020 от Хакердома — и надеемся, что оно пройдёт гораздо более круто.

Тем временем, переносимся на гораздо более легендарное мероприятие — соревнование «ЭШЕЛОНИРОВАННАЯ ОБОРОНА 2020», которое проводится Министерством обороны на платформе «Киберпатриот».

Пока наши корреспонденты так и не смогли понять, что происходит, потому что потратили все три попытки сдачи флага из-за его формата.

Выяснилось, что нужно убрать фигурные скобки — об этом рассказывали участникам на вебинаре. Организаторы сообщили, что выделили этот факт жирным цветом и опубликовали запись вебинара.

Мы предлагаем поступить ещё более легендарно и публиковать серию тиктоков с правилами соревнований.

UPD: Организаторы пообещали обнулить попытки командам, которые сами виноваты и не смотрели вебинары.

Организаторы применили интересный подход: каждой команде (это jeopardy!) выделяется целый сегмент сети, который нужно пентестить. Доступ к нему осуществляется по VPN — прямо, как в HTB.

И всё было бы хорошо, но есть один маленький нюанс: у многих команд те же проблемы, что и вчера на кубке — конфиги и пароли от них перепутаны, поэтому некоторые игроки всё ещё не приступили к игре.

Платформа FBCTF, которая используется организаторами, не блещет стабильностью, и каждые несколько секунд выкидывает игроков из вебсокета. Подключение к VPN-сети только одно на команду из пяти человек — а, как вы знаете, OpenVPN в этом случае просто делает вид, что сервер вас отключил без объяснения причин.

Тем временем среди тасков находится много довольно необычных заданий на криптографию, где вместо флагов нужно сдавать вектора...