Пятеро студентов Московского института электроники и математики им. А.Н. Тихонова (МИЭМ) ВШЭ вошли в десятку лучших финалистов крупного соревнования по кибербезопасности POC CTF. Участие в финале, состоявшемся в Сеуле (Республика Корея), приняли 50 студентов и специалистов. Они представляли ведущие мировые компании и университеты в области кибербезопасности из разных стран.

POC CTF — ежегодное международное соревнование в Южной Корее, проводимое на базе конференции Power of Community, которая объединяет представителей мирового сообщества в сфере кибербезопасности. POC CTF постоянно входит в топ-5 соревнований индивидуального зачета по версии агрегатора соревнований CTFTime.

Пятеро студентов 1-го курса образовательной программы «Информационная безопасность» МИЭМ вошли в топ-10 POC CTF: Михаил Ильин (4-е место), Александр Веденяпин (5-е место), Максим Никитин (6-е место), Максим Кусков (7-е место), Арсений Якубовский (10-е место). Соревнование проходило в формате CTF (capture the flag) по системе индивидуального зачета в режиме task-based.

Михаил Ильин — также чемпион России по спортивному программированию в дисциплине «Программирование систем информационной безопасности». Он отметил хорошую организацию международного события: «Задания распределили на два дня. Было много интересных, к которым требовался индивидуальный подход. Составители оставались всегда на связи и отвечали на все возникающие вопросы. В конце мероприятия всех нас пригласили на финал Black Hat MEA в Саудовской Аравии, второе по рейтингу соревнование в мире, куда мечтает поехать любой специалист, играющий в CTF. Мы получили много эмоций, установили новые контакты в международном сообществе».

Задания POC CTF были связаны с криптографией, эксплуатацией веб-уязвимостей и бинарных уязвимостей, информационной криминалистикой, reverse engineering (разбор логики работы приложения для обхода его нормальной работы).

Так, задание по эксплуатации веб-уязвимостей моделирует типичную уязвимость в веб-приложениях, когда участнику нужно обнаружить факт перезаписи критических файлов при запуске сервера. Используя знания о структуре Django-проекта, механизме загрузки WSGI и особенностях серверов приложений, необходимо внедрить короткий безопасный payload, который выполнит системные команды и передаст результат на внешний OAST-сервер. Такие задания актуальны, поскольку демонстрируют, как неочевидные ошибки в обработке путей и правах на файловую систему могут приводить к Remote Code Execution — одной из самых критичных и часто встречающихся уязвимостей в реальных веб-системах.

Задание на криптографию представляло собой типичную задачу по анализу побочных каналов (side-channel attack) — корреляционную атаку по мощности (CPA) на реализацию AES-128. Требуется по множеству энергетических трасс и известных открытых текстов восстановить секретный ключ шифрования, часть которого (начало и конец) заранее известна. Для решения используется модель Хэмминга и базовые методы статистического анализа, в частности корреляция Пирсона. Такие задания демонстрируют, как даже защищенные криптографические алгоритмы могут быть скомпрометированы из-за особенностей их физической реализации, что критически важно для оценки безопасности микроконтроллеров, плат с аппаратным шифрованием и IoT-устройств.

Еще одно задание, категории PWN (эксплуатация бинарных уязвимостей), было связано с использованием уязвимости в самодельной виртуальной машине с JIT-компиляцией. Задания такого типа требуют сочетания навыков обратной разработки, понимания внутреннего устройства JIT-компиляторов и практики низкоуровневой эксплуатации. Актуальность задания обусловлена тем, что в реальных системах все чаще появляются сложные интерпретаторы и виртуальные машины (от JavaScript-движков до смарт-контрактов), ошибки в которых приводят к критичным уязвимостям.

Несмотря на плотный график соревнований, наши студенты успели познакомиться со столицей Южной Кореи. «Культурную программу мы, по сути, собирали себе сами: вышло даже лучше, чем ожидал, — рассказал Арсений Якубовский. — В свободное время гуляли по Сеулу, посмотрели местные дворцы, зацепили центр, пару рынков и наелись всего подряд: ттокпокки, корейский BBQ, уличные снеки — невозможно было пройти мимо. В целом свободное время, несмотря на практически его отсутствие, прошло насыщенно и живо, Сеул оставил классное впечатление — и город, и люди, и атмосфера».

Все студенты, принявшие участие в финальной части соревнования, преподают в недавно появившейся в МИЭМ Академии CTF — инициативном проекте студентов и преподавателей МИЭМ. Многие участники академии являются победителями и призерами крупных российских соревнований по защите данных.