Кибер-соревнования для начинающих этичных хакеров
Привет, Хабр, Давно не виделись! Я — Никита, студент Бонча и инженер в «Газинформсервис» (подробнее обо мне в этойстатье). Предлагаю немного ближе познакомиться c миром ИБ, а именно кибер-соревнованиями. В этом материале кратко расскажу как я стал участвовать в битвах и какие ресурсы можно использовать для подготовки к ним.
Hack me, если сможешь
Как обычно начнем с начала. Немного обучившись теории по тестированию на проникновение и попрактиковавшись на площадке TryHackMe, мне захотелось проверить свои силы на реальном объекте. Благо, в вузе мне и моему другу эту возможность предоставили. Нам разрешили протестировать сайт кафедры и, если мы добьёмся какого-нибудь результата, рассказать об этом заведующему.
После недель проверки поддоменов, директорий, сервисов, поднятых на сайте и других методов и техник, мы с другом нашли некоторую уязвимость (подробности, к сожалению или к счастью, рассказывать не буду, кстати, сейчас она уже закрыта). Протестировав её и поняв, что ожидаемого нами результата удалось добиться, мы пошли делиться этой новостью с заведующим кафедрой. Мы пришли с отчетом об обнаруженной уязвимости (достаточно формальным, но всё-таки). Описали проделанную работу и последствия от эксплуатации уязвимости. В итоге она была устранена, а нам предложили поучаствовать в «хакерском» соревновании.
Здесь стоит отметить! Пентестить сайт вуза без согласования с администрацией ни в коем случае не стоит при желании провести подобное мероприятие обязательно согласуйте свои действия с владельцами ресурсов, самовольничать 100% не стоит. Во-первых, в некоторых ситуациях будет невозможно доказать, что делали вы это исходя из научного интереса, во-вторых — подобные тесты могу причинить реальный ущерб организации (финансовые, репутационные потери) ответственность за которые возложат на вас (Уголовный Кодекс ещё никто не отменял).
Итак, мы вместе с командой из 4-х человек (да, кстати, подобные мероприятия — это ещё и новые знакомства) стали участвовать во всех подряд турнирах, тестировать киберполигоны различных компаний и что-то даже выигрывать.
Переломным для меня моментом стало участие в летней школе ИБ, о которой я расскажу уже в следующей статье, а также объясню, как это мероприятие повлияло на мою карьеру.
Немного теории о форматах проведения и площадках
Существует бесконечное множество направлений, форматов, площадок для проведения подобных мероприятий, подробнее можно почитать здесь, выбрать подходящий для себя вариант, уверяю вас, что-нибудь вам точно приглянется.
Расскажу о тех, с которыми чаще всего я сталкивался
CTF (Capture the flag) — формат задания в области кибербезопасности, которые часто встречаются на соревнованиях для специалистов по информационной безопасности (матёрых и начинающих). В рамках CTF-соревнований участники решают разнообразные задачи, связанные с поиском уязвимостей, атаками, криптографией, стеганографией, веб-уязвимостями и многими другими аспектами ИБ. Уровень сложности таких соревнований может быть абсолютно разным — от step-by-step решений до ip-адреса машины без какой-либо дополнительной информации.
Главная задача — получить «флаг». Флаги — это уникальный код или строка, которые нужно обнаружить. Участнику предоставляется свобода (в рамках правил соревнования) решения задач, которые предстоит решить для захвата флага.
Флаги обычно начинаются с ключевого слова (например, «flag» или «ctf»), а его содержимым является уникальная последовательность символов. Например, флаг может выглядеть как «flag{th1s_1s_th3_fl4g}». Они являются некими «чекпоинтами» для того, чтобы понимать, насколько продвинулся участник. В подобных соревнованиях оценивается скорость прохождения, иногда оригинальность (хотя при встрече со сложными задачами желательно их хоть как-то решить).
Помимо задач на «взламывание», довольно часто проводятся турниры по расследованию кибер-инцидентов (форензике), одним из недавних таких мероприятий, в котором я принимал участие со своей командой, были киберучения «Кибер Северо-Запад 2023». Нам удалось занять первое место на региональном этапе, четвертое место и награду за «Самое оперативное обнаружение и регистрацию компьютерных инцидентов» на всеросссийском этапе.
Кстати, моим тиммейтам (ныне ещё и коллегам) этот опыт пригодился в прохождении тестового задания при приёме на работу.
Киберполигон — виртуальная площадка, имитирующая реальную инфраструктуру для проведения практических учений и тренировок в области ИБ. На нём можно оттачивать свои навыки тестирования на проникновение с одной стороны и обнаружения с дальнейшим предотвращением вторжений — с другой. Именно на киберполигоне вы имеете полную свободу выбора действий для решения поставленных задач, а что может быть интереснее, чем карт-бланш в информационной среде? Благодаря киберполигонам я познакомился с IPS/IDS системами, журналами аудитов, анализаторами сетевого трафика и множеством других полезных для себя вещей, к чему не притрагивался до этого (я ведь еще только на 3 м курсе).
Если у вас есть возможность поучаствовать в тестировании или в соревновании на киберполигоне, то мой совет — дерзайте, это будет большим плюсом для вашего резюме и личного развития!
Как подготовиться к первой в жизни кибер-битве
Как многие (в том числе и я) говорят: «Одной теорией не отделаешься, тут нужна практика». Для начала могу порекомендовать пройти (или хотя-бы посмотреть) комнаты с фундаментальными материалами из моей прошлой статьи. Параллельно или последовательно, это зависит уже от вашего вкуса, можно начать проходить первые «машины», вот некоторые из них:
TryHackMe | Investigating Windows — комната посвящена расследованию заранее скомпрометированной Windows-машины
TryHackMe | Basic Pentesting — step-by-step Linux-машина для взлома, для начала — самое то!
Также полезным будет прохождение модулей на Web Security Academy: Free Online Training from PortSwigger, там собраны интересные «лабы» с веб-уязвимостями.
Из «отечественных» платформ могу посоветовать https://codeby.games/, там вы сможете найти задачи на любой вкус!
Мотивация в час ночи
Возьму на себя роль того самого мотиватора перед сном. Если у вас есть возможность поучаствовать в каком-либо соревновании, то мой совет — дерзайте, это будет большим плюсом для вашего резюме и личного развития!
Для достижения успеха стоит использовать любые возможности (в рамках закона, конечно), даже если особого смысла в них вы на старте не видите, поверьте, оглядываясь назад, вы поймёте, что это было не зря. Развивайтесь, соревнуйтесь и используйте каждый шанс для изучения чего-то нового, пейте молоко (аллергикам можно безлактозное). Увидимся в новых статьях, до встречи!
