IX Международная студенческая научная конференция Студенческий научный форум - 2017
ВЛИЯНИЕ ХАКЕРСКИХ СОРЕВНОВАНИЙ НА ПРОЦЕСС ПОДГОТОВКИ СПЕЦИАЛИСТА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Capture the flag (от англ. - захват флага) — командная игра, целью которой является поиск и сбор наибольшего количества «флагов» за отведенное время. Под «флагом» здесь понимается информация, полученная в результате успешного выполнения задания, успешной реализации атаки на инфраструктуру противника или же отражения атаки противника на свою инфраструктуру.
В зависимости от способа получения флага CTF можно классифицировать следующим образом:
1) CTF, основанное на решении заданий (task-based);
2) CTF, целью которой является поддержание работоспособности собственных сервисов, успешное отражение атак команд-противников и реализация собственных атак на их инфраструктуру (attack-defense или classic);
3) CTF смешанного типа, сочетающие в себе задачи двух предыдущих видов (mixed);
4) CTF, целью которой является взлом систем, закрепление в них и защита от перехвата управления системами, которые через определенный промежуток времени откатываются на начальное состояние (king of the hill).
Прошедшая игра относилась к первому типу соревнований. Выбор в пользу task-based СTF был обусловлен, в первую очередь, сжатыми сроками подготовки к проведению мероприятия, а также другими организационными моментами. Стоит пояснить, что выдача заданий в task-based CTF не похожа на математическую олимпиаду. Участники не решают задачи с абстракциями, а работают с реальными объектами доступными по сети. Причем часть заданий действительно связана с взломом реальных сервисов и систем. Только команды атакуют не друг друга, а инфраструктуру, развернутую на стороне организатора.
Именно работа с реальными объектами позволяет студентам приоткрыть «раковину» в которой они находятся на протяжении практически всего учебного процесса и взглянуть на картину, близкую к ситуациям с которыми сталкиваются специалисты по информационной безопасности и администраторы безопасности, в частности. Это не теоретическое занятие, а скорее проверка в бою тех знаний которые были получены ранее. Задания, примеры которых нельзя найти в учебниках, самостоятельных или расчетно-графических работах.
В то же время, СTF способен заставить студента вспомнить и использовать свои знания полученные на лекциях, практиках и в ходе лабораторных работ.
Часть задачи может заключаться в правильной интерпретации условия задания. В данном случае, отсутствие четкой формализации может подстегнуть студента и «заставить работать» не только полученные ранее знания, но и интуицию. Часто в процессе решения участники могут перебрать множество способов решения задания. Многие задачи могут иметь сразу несколько способов решения.
Азарт, возникающий у студента при решении заданий CTF способен возродить интерес к различным связанным дисциплинам у учащегося, обычно «плывущего по течению» во время учебы. Среди таких предметов могут быть дисциплины, связанные с программно-аппаратной защитой информации, программированием, архитектурой вычислительных сетей, криптографией и криптоанализом, теорией информации, компьютерной криминалистикой и т.д.
Это может стать для учащегося новым увлечением, превратить учебу не только в нечто необходимое для устройства на работу, но и в свое «хобби».
С другой стороны, заставлять студентов участвовать в подобных мероприятиях также неправильно. Поэтому помимо того, что участие должно быть «по желанию», у студентов также должен быть стимул. Будь то какие-либо преференции на зачете по определенному предмету, либо допуск до более крупных соревнований (регионального, федерального или международного масштаба) путем конкурсного формирования команды. Участие в соревнованиях подобных масштабов должно быть не долгом студента, а привилегией, предоставленной ему преподавателем, кафедрой, факультетом, университетом.
Одной из целей организаторов должно быть привлечение не только студентов, регулярно участвующих в CTF, и преуспевающих студентов, но и учащихся, не отличающихся особой тягой к образованию. Например, в данном случае, компания-организатор предусмотрела призы в материальном эквиваленте для победителей и призеров соревнования.
Конечно, все понимают, что для многих студентов именно эта составляющая может стать наиболее важной. Однако, главное — привлечь наибольшее количество участников. Студенты не отличающиеся тягой к образованию, возможно, найдут для себя мотивацию к получению высшего образования. Есть примеры, когда учащиеся пересматривали своё отношение к учебе. Поначалу не добиваясь больших успехов в подобных соревнованиях, они разбирали условия и решения заданий и попутно накапливали знания, преподаваемые в университете.
Как уже отмечалось, CTF как и любая игра должна иметь хорошую и проработанную легенду. Причем все задания должны быть тщательно вплетены в общую концепцию и сюжет. Это является ещё одним методом для популяризации соревнования и привлечения новых людей. Соревнование не должно переставать создавать атмосферу игры на всем своем протяжении. Этот фактор также может положительно отразиться на тяге студентов к учебе.
Для нынешнего поколения студентов очень важна игровая составляющая в процессе учебы. CTF, в свою очередь, является ярким представителем формы образовательной игры.
Кроме того, CTF – это, чаще всего, командная игра. Например, в упомянутом выше мероприятии принимали участие команды численностью до пяти человек. Организаторы не устанавливали никаких правил по строгому разграничению составов команд по курсам и группам. Однако, мы заметили следующую особенность — студенты групп одного потока достаточно легко объединялись в команды, а команд состоящих из студентов разных курсов не было. Это может быть обусловлено естественной изоляцией студентов разных потоков в процессе получения высшего образования. Однако, после проведения CTF стало известно, что команды на следующие игры начинают формироваться уже из студентов разных курсов.
Ещё один положительный эффект от образовательных игр — развитие коммуникативных навыков у студентов и умения работать в команде. Отличным примером может служить распределение призовых мест среди команд-участниц. В команде, занявшей первое место, было всего два человека. Оба участника команды помогали друг другу и вместе, внеся практически равный вклад в победу, смогли добиться наилучшего результата (20 решенных заданий из 22). В свою очередь, в команде, пришедшей на финиш второй и состоявшей из трех человек, был явный лидер. Студент, решивший наибольшее количество заданий (17 из 22) среди всех в индивидуальном зачете, не смог обогнать победителей в общем зачете, поскольку члены его команды решили только два задания. Близкая к этому картина сложилась и в команде, занявшей третье место. Неправильное распределение заданий, низкие навыки работы в команде сыграли свое дело, несмотря на высокую индивидуальную подготовку участников. Несмотря на разбиение заданий по категориям, многие задания для своего решения требовали применения знаний из других областей. Здесь также могла понадобиться работа в команде. Следует отметить, что CTF – отличная возможность для ребят научиться командной работе и примерить на себя роль капитана, способного верно распределить задания и зоны ответственности и помочь членам команды.
Многие подобные соревнования проводятся дистанционно и, упомянутый выше, UFACTF не стал исключением. Мероприятие проводилось в выходной для студентов день и им не нужно было собираться в университете, участвовать вполне можно было из дома. Кроме того, срок проведения мероприятия был растянут на весь день (с 10:00 утра до 24:00). Это позволяет студентам в спокойном режиме решать задания с возможностью отвлечься на важные дела. Тем не менее, интрига с каждым часом только нарастала. И это несмотря на то, что доступ к заданиям открывался постепенно (но одновременно всем командам) до 18:00. Это было сделано для того, чтобы все команды попытались решить все задания, а не решали только самые простые. Кроме того, если мы замечали, что команды долго не могут решить какое-либо задание мы открывали доступ к подсказкам, не дающим прямых ответов, но способным навести участников на возможный путь решения задачи либо её этапа. Иногда мы открывали подсказки для заданий, которые решили только две команды. Это подстегивало лидирующие команды к решению оставшихся заданий и давало шанс отстающим.
Нельзя обойти стороной и вопрос информационной этики. Почему CTF, чаще всего, ассоциируется с хакерством? Это не стоит отрицать. CTF - один из видов хакерских конкурсов, наряду с хакерскими квестами и некоторыми хакатонами. Что стоит за понятием «хакер» - отдельная тема для рассмотрения, которой мы сейчас не будем касаться. Понятие практически полностью изменило свой смысл с течением времени, и теперь этим словом называют «компьютерных» взломщиков, программистов, намеренно обходящих системы защиты информации, эксплуатирующих уязвимости в информационных системах и т.д. Для того, чтобы обеспечить защищенность информации, необходимо понимать как её могут получить злоумышленники. Для информационной безопасности — это крайне животрепещущий вопрос. После применения всех необходимых организационных мер, установки и настройки всех технических систем и средств для максимального снижения риска реализации всех актуальных угроз необходимо периодически проводить аудит информационной безопасности для выявления новых слабых мест в системе защиты информации. Частью такого аудита может быть «пентест» (pentest, penetration testing – тестирование на проникновение) — взлом информационной системы с разрешения заказчика с целью поиска актуальных уязвимостей и слабых мест в системе защиты. Аналогично, при проведении CTF организатор дает право участникам производить оговоренные действия (взлом, эксплуатация уязвимостей, перехват управления информационной системой) только на определенной инфраструктуре (web-ресурсы, сервисы, сервера, сетевое оборудование и т.д.), принадлежащей организатору. Другими словами, квалифицированный специалист по информационной безопасности должен уметь, если не взламывать системы, то по крайней мере грамотно проводить расследование инцидентов и быть в курсе хакерского инструментария и методик. А для того чтобы студенты, обучающиеся по данному профилю, оставались на «светлой стороне» - во всех университетах, готовящих таких специалистов преподают правовые основы информационной безопасности, рассказывающие о законодательстве, нормативно-правовых актах, мерах ответственности за нарушение КоАП и УК РФ, а также неотвратимости наказания.
Подводя итоги, необходимо отметить, что организация соревнований подобного типа крайне важна для подготовки специалиста. CTF – представляет собой соревновательную игру, в которой необходимо использовать знания, полученные на теоретических и практических занятиях. Кроме того, зачастую для прохождения CTF от студента требуется способность к самообучению, которой так не хватает многим студентам. Но соревнование может разбудить интерес к самообучению, тем самым повлияв на процесс получения высшего образования. Помимо всех перечисленных достоинств, это отличная возможность проявить себя перед организаторами соревнования. По итогам соревнований организаторы могут предложить студенту место прохождения учебной, производственной или преддипломной практики, пригласить его на стажировку или даже на работу. У студента также появляется масса вариантов тем для написания выпускной квалификационной работы.
Сейчас существует множество образовательных соревнований по другим дисциплинам и специальностям, которые также обладают большинством перечисленных достоинств, характерных для CTF. Данное направление, безусловно, будет развиваться большими темпами, если высшие учебные заведения будут привлекать студентов к участию в этих соревнованиях, а также более тесно сотрудничать с компаниями и сообществами, которые организуют подобные мероприятия. Что касается CTF, существуют интернет-порталы, занимающиеся ведением расписаний онлайн-соревнований, которые проводятся практически каждую неделю.
Литература:
1. История и результаты UFA CTF-2016: [Электронный ресурс]. 2016. URL: http://ufactf.ru (дата обращения: 08.12.2016).
2. Интернет-портал на котором ведется расписание большинства онлайн-соревнований - CTF Time: [Электронный ресурс]. URL: https://ctftime.org (дата обращения: 16.12.2016).