Кейс чемпионата «Кибербезопасность в финансах»: как CTF-формат помог найти лучших среди 800 участников

Автор На чтение 13 мин Просмотров 104 Опубликовано

Банк России провел студенческий IT-чемпионат «Кибербезопасность в финансах». Отборочный этап в формате CTF, совмещенном с решением аналитического кейса, прошел на Codenrock. Более 800 участников искали флаги, изучали и дорабатывали манифест безопасности, чтобы получить приглашение на финал соревнования. Подробнее о том, как прошли все этапы чемпионата – в этом кейсе. 

Об организаторе

Банк России – мегарегулятор финансовой системы страны. Его основные задачи включают защиту и обеспечение устойчивости рубля, развитие национальной платежной системы, надзор и регулирование организаций кредитно-финансовой сферы и защиту прав и интересов потребителей.

Просветительские проекты Банка России, направленные на поддержку молодых специалистов и развитие их навыков в сфере информационной безопасности – инвестиция в будущее финансовой безопасности страны.

Содержание
  1. Чемпионат: главное
  2. Задачи первого этапа 
  3. Подготовка и проведение
  4. Промежуточный этап
  5. Финал чемпионата
  6. Форум «Кибербезопасность в финансах»
  7. Отзывы участников
  8. Чемпионат «Кибербезопасность в финансах» в вопросах и ответах

Чемпионат: главное

Соревнование прошло в гибридном формате. В программе отборочного онлайн-тура были поиск флагов в CTF-задачах и решение аналитической задачи. 10 лучших команд посетили Молодежную программу Уральского форума «Кибербезопасность в финансах», где презентовали решения кейсов от ведущих банков и IT-компаний страны, а также сразились на киберполигоне.

Молодежная программа форума «Кибербезопасность в финансах», день 2

Главные цифры чемпионата:

  • 866 участников зарегистрировались.
  • 184 команды сформировано.
  • 98 решений представлено.
  • 90 вузов, студенты которых приняли участие в соревновании.
  • 10 команд получили приглашение в финал.
  • 3 команды заняли призовые места в защите кейсов. 
  • 1 команда стала победителем киберполигона. 
  • 1 000 000 рублей – призовой фонд чемпионата.

Задачи первого этапа 

Во время отборочного этапа командам предстояло выполнить два задания – решить 4 классических CTF-задачи и еще одну аналитическую в формате кейса, доработав манифест безопасности. 

Соревнование по поиску флагов прошло в стандартном Jeopardy-формате – участники получили несколько сервисов, страниц и файлов, в которых нужно найти определенный набор символов. За решение первых трех задач команда получала по одному баллу, а за последнюю, самую сложную – два.

Были представлены задания разных типов:

  1. WEB – поиск флагов в веб-сервисах, используя уязвимости. 
  2. REV – обнаружение набора символов в файлах, которые необходимо проанализировать методами реверс-инжиниринга. 
Молодежная программа форума «Кибербезопасность в финансах», день 1

Подробнее о задачах

  1. Команда получает IP-адрес. При попытке открыть сайт возникает сообщение о технических работах. Сервис загружает изображение из директории, которая уязвима к атаке Path Traversal ֪– используя последовательность «../», участник может подняться на уровень выше и получить доступ за пределы корневой папки сайта. Искомый флаг находится в файле /social.php.
  2. Команда получает IP-адрес. При переходе по нему скачивается архив c игрой «Колобок», написанной на C#, в котором лежит исполняемый exe-файл и несколько dll-библиотек. Анализ с помощью декомпилятора ILSpy позволит получить исходный код приложения и обнаружить функцию с красноречивым названием GenerateFlagText(), которая дешифрует флаг. Участникам остается найти, с какими параметрами вызывается метод, и переписать его. 
  3. Команда получает IP-адрес. По ссылке открывается форма создания банковской выписки. Введенное название документа проходит проверку только на фронтэнде, поэтому сайт уязвим к SSTI-атаке, которая позволяет подменить данные. Если вместо имени выписки ввести запрос {{ ‘’.__class__ .__mro__[1].__subclasses__()}}, то можно получить все классы, доступные для вызова, в том числе Popen, который используется для системных команд. Участник получает возможность выполнить произвольную команду на сервере (Remote Code Execution), найти там файл .flag и прочитать его содержимое.
  4. Команда получает IP-адрес. По нему открывается «Жабий форум» с информацией о различных лягушках. По умолчанию все описания скрыты. После регистрации в качестве пользователя станет возможно просмотреть текст во всех категориях, кроме «Легендарной жабы». Цель участников – понять, что доступ ко всем описаниям есть только у администратора, и отправить запрос, который заставит сайт отрисовать страницу от лица админа и прислать результат, в котором скрыт флаг. 
Молодежная программа форума «Кибербезопасность в финансах», день 1

Параллельно с решением CTF-задач командам предстояло выполнить аналитическое задание – изучить манифест по информационной безопасности вымышленной информации и предложить улучшенный вариант. На этом этапе участники могли продемонстрировать свои знания и навыки по анализу и структурированию информации и подготовке концепции решения. Командам было необходимо:

  • Разобраться в структуре манифеста.
  • Выявить проблемы, связанные с безопасностью.
  • Предположить, как злоумышленники могут ими воспользоваться.
  • Предложить векторы атак. 
  • Дать свои экспертные предложения по исправлению уязвимостей.

Итоговый результат – отчет в формате презентации, в котором:

  1. Описать векторы атак – по одному на каждый слайд. 
  2. После каждого вектора оформить советы по закрытию уязвимостей в процессах и ПО организации.
  3. Подготовить общие рекомендации по улучшению защиты информации предприятия.

Отчет команд оценивала команда экспертов Банка России и выставляла баллы, которые суммировались с результатами решения CTF-задач. 

Подготовка и проведение

Отборочный этап чемпионата «Кибербезопасность в финансах» проходил в формате CTF впервые. Чтобы совместить захват флага с классической подготовкой кейса и автоматизировать оценку решений, Банк России выбрал Codenrock – платформа позволяет проводить IT-соревнования, алгоритмические турниры, CTF и кейс-чемпионаты с гибкими правилами и разными типами заданий. 

Страница соревнования

Как это работает:

  1. На платформе создается страница мероприятия. 
  2. Участники могут регистрироваться и объединяться в команды.
  3. Эксперты Codenrock готовят и загружают задания. 
  4. После открытия соревнования конкурсанты получают доступ к описанию задач. 
  5. CTF оценивается автоматически: когда участник вводит правильный набор символов в окно для ответа, его команде начисляются баллы. 
  6. За решения аналитической задачи эксперты голосуют на платформе по заранее созданным критериям – выставляют баллы в специальной форме. Их оценка суммируется с результатами поиска флагов. 
  7. Платформа формирует по сумме баллов финальный лидерборд, который позволяет отобрать лучшие команды и разослать им личные приглашения на следующий этап чемпионата. 

В результате мероприятие собрало более 800 участников из 90 вузов России, которые объединились в 184 команды и представили 98 решений. 

Выбор задач на странице соревнования

Какие инструменты Codenrock помогли провести отборочный этап чемпионата:

Работа экспертов. Специалисты по кибербезопасности и методологи платформы подготовили задачи для проведения классического CTF. Цель – разработать задания, которые будут знакомы постоянным участникам таких соревнований, и при этом окажутся достаточно интересными, чтобы мотивировать присоединиться к чемпионату. Кроме того, эксперты написали аналитический кейс, который позволил бы проверить теоретические и системные знания команд по безопасности. 

Специалисты настроили платформу для проведения CTF, загрузили задачи и задали условия автоматической проверки вводимых флагов и начисления баллов. Для аналитического задания были разработаны критерии оценки и подключена система для привлечения экспертов Банка России к голосованию за решения. 

CTF-задача на платформе

Рекламная кампания. Команда Codenrock подготовила и реализовала маркетинговую стратегию проекта для поиска специалистов по кибербезопасности, соответствующих критериям студенческого IT-чемпионата. Какие инструменты использовались:

  1. Адаптирован фирменный стиль форума под рекламные материалы для продвижения соревновательного этапа. 
  2. Публикация анонсов и рассылок для собственной аудитории в 100 000 человек. 
  3. Размещение информации о соревновании в профильных студенческих сообществах, посвященных кибербезопасности. 
  4. Таргетированная реклама для привлечения участников, которые знают и любят формат CTF.
  5. Вовлекающий контент: статья про особенности CTF и киберполигонов, посты для чата, подогревающие интерес к мероприятию. 

Кроме того, на чемпионате действовала реферальная программа для привлечения и вовлечения участников. Как она работает:

  1. Администратор страницы на платформе включает и настраивает программу. 
  2. Конкурсанты получают уведомление о возможности выиграть призы за приглашение друзей, знакомых и коллег. Участники могут получить уникальную ссылку с персональным идентификатором прямо на странице мероприятия. 
  3. Платформа автоматически анализирует, кто перешел по ссылке и зарегистрировался, и после старта соревнования формирует список победителей по определенным критериям. При подведении итогов учитываются только люди, которые перешли по ссылке и подтвердили участие в хакатоне, чтобы избежать накруток. 
Баннер для анонса реферальной программы

Участники чемпионата «Кибербезопасность в финансах» активно приглашали своих коллег и знакомых – 29 человек отправили ссылки на регистрацию, по которым к мероприятию присоединились 50 новых специалистов. Самые активные конкурсанты получили в награду подарочные сертификаты на маркетплейсы. 

Помощь кураторов. После регистрации каждая команда получает персонального куратора. Он напоминает о важных датах и этапах мероприятия, отвечает на технические вопросы и поддерживает мотивацию в течение соревнования.   

Для живого общения у участников чемпионата был Telegram-чат: они могли получать важные оповещения, развлекательный контент, мемы, а также знакомиться и объединяться в команды. Дополнительный инструмент коммуникации – email-рассылки, которые позволяют таргетированно направлять уведомления, например, напомнить участникам-одиночкам о необходимости вступить в команду. 

Работа кураторов сформировала сильное студенческое сообщество специалистов по кибербезопасности, что особенно было важно для чемпионата, который проходил в несколько этапов, отдаленных друг от друга по времени. 

Подведение итогов. Платформа не только позволяет автоматизировать определение финалистов. Организаторам доступна вся статистика прошедшего мероприятия:

  • распределение участников по возрастам, навыкам, уровню и городам; 
  • вузы, в которых учатся студенты;
  • периоды максимальной активности; 
  • источники регистрации.

Все решения, которые команды загружают в процессе работы, хранятся в репозитории, интегрированном с GitLab SelfHost – организатор никогда не потеряет доступ к проектам участников. 

Промежуточный этап

Отборочный тур завершился 9 декабря, а открытие Молодежной программы форума «Кибербезопасность в финансах» было запланировано на 17 февраля. Скучать в эти два месяца лучшим командам не пришлось: их ожидала подготовка решений кейсов к презентации в финале чемпионата, а также лекции и мастер-классы. 

Задания для финалистов подготовили ведущие банки и технологические компании России. 

Альфа-банк представил кейс про одну из самых перспективных и одновременно сложных задач современности – создание правил безопасного использования искусственного интеллекта. Участникам предстояло разработать стратегию, которая поможет внедрить ИИ в финтех. 

Компания «Солар» предложила финалистам разработать концепцию мониторинга киберрисков – ключевого инструмента для защиты цифровых активов и предотвращения угроз в реальном времени.

Кейс Совкомбанка хорошо знаком многим айтишникам и другим специалистам, которые могут выполнять свои задачи удаленно. Участникам предстояло создать концепцию системы безопасности при дистанционной работе сотрудников банка.

Т-Банк представил кейс, посвященный одной из самых острых тем последних лет – предотвращению банковского мошенничества. В задаче финалистам предстояло разработать стратегию повышения киберкультуры клиентов, чтобы помочь им защитить свои финансы и данные.

Компания Т1 предложила финалистам поработать над передовой концепцией — созданием самообучающейся системы защиты сетевой инфраструктуры на основе искусственного интеллекта, которая может быть внедрена в банках России.

Кейсы были разделены среди 10 финалистов случайным образом, по две команды на каждое задание. Банк России организовал для участников программу онлайн-подготовки к чемпионату:

  • Три онлайн мастер-класса по презентации кейсов от Сергея Шафоростова, методиста и разработчика образовательных программ.
  • Три подготовительных вебинара для участия в киберполигоне.
  • Два чекпоинта с кейсодержателями для каждой команды. Эксперты консультировали финалистов по решению задач. 

Также в течение этого времени с командами на связи были кураторы Codenrock, которые отвечали на организационные вопросы.

Финал чемпионата

Молодежная программа форума «Кибербезопасность в финансах» прошла с 17 по 21 февраля. Чемпионат стал центральным событием мероприятия – 10 команд представили свои решения по кейсам, которые готовили на протяжении двух месяцев. 

Молодежная программа форума «Кибербезопасность в финансах», день 2

В первые дни состоялся полуфинал – две команды, получившие одно и то же задание от кейсодержателей, в формате дуэли определяли, кто лучше справился с задачей и сможет пройти дальше. Во время финальной защиты  презентации участников на большой сцене оценивали эксперты финансового и IT-сектора:   

  • Эльвира Набиуллина, председатель Центрального банка России.  
  • Герман Зубарев, заместитель председателя Банка России.  
  • Татьяна Тихонова, директор Департамента кадровой политики Банка России.  
  • Зульфия Кахруманова, заместитель председателя Банка России.  
  • Дмитрий Дубынин, генеральный директор НСПК.  
  • Станислав Близнюк, президент Т-Технологий.  
  • Виталий Задорожный, директор по информационным технологиям Альфа-Банка.  
  • Алексей Фетисов, генеральный директор Холдинга Т1.

Победителями стали: 

🥇 1 место – команда «Центральный Бланк» (СевГУ, СГУ, ТУСУР, НИНХ).

Награждение команды «Центральный Бланк»

🥈 2 место – команда «Кибербухгалтеры» (НИУ ИТМО).

Награждение команды «Кибербухгалтеры»

🥉 3 место – команда GR3B0B3M4S3N (СПбГУТ и НИУ ИТМО).

Награждение команды GR3B0B3M4S3N

Еще одно яркое событие Молодежной программы – шестичасовой киберполигон, где участники примерили на себя роль «детективов» мира кибербезопасности. Перед ними развернулась трехмерная визуализация города Неонополис с полноценной сетевой инфраструктурой: банком, кинотеатром, стадионом и другими важными объектами.    

«Злоумышленники» периодически проводили атаки на различные элементы: от изменения цен на билеты в кинотеатре до кражи средств из банка. Задача участников – расследовать инциденты и предоставить точный пошаговый отчет действий хакеров: какими уязвимостями они воспользовались, через какие системы проникли и какие инструменты применили.   

Победитель киберполигона:

🥇 1 место – команда EXE.1sior (ДВФУ).

Награждение команды EXE.1sior

Для всех участников форума была доступна образовательная программа с лекциями, мастер-классами и интерактивами – более 10 секций от партнеров мероприятия: Т1, Совкомбанк, Альфа-Банк, Т-Банк, «Солар», а также НСПК, «Инфотэкс», BI.Zone и ВТБ.  

Особый интерес вызвала лекция Евгения Соловьева, заместителя директора департамента инноваций АО «НСПК». В докладе на тему «Все о платежных системах. От хараппской цивилизации до наших дней» он рассказал, что общего у ордена тамплиеров и современных платежных систем, а также почему сегодняшние финансовые инструменты устроены именно так. 

Также для участников была организована экскурсия в музей военной техники в Верхней Пышме.

Форум «Кибербезопасность в финансах»

Уральский форум «Кибербезопасность в финансах», организованный Банком России, состоялся уже в третий раз. В 2025 году мероприятие собрало более 1600 специалистов. 

Пленарное заседание «Противостояние кибермошенничеству: консолидация усилий»

В программе форума – более 40 тематических секций и мастер-классов. Эксперты обсудили способы повышения киберустойчивости финансового рынка, использование ИИ в банковском секторе и проблему поиска специалистов в сфере кибербезопасности. На дискуссионных сессиях участники обсудили успешные примеры импортозамещения и задачи по созданию устойчивой экосистемы безопасности.   

Главным событием стало пленарное заседание «Противостояние кибермошенничеству: консолидация усилий». Модератором выступила Эльвира Набиуллина. Спикеры – министр цифрового развития Максут Шадаев, замглава МВД Андрей Храпов и сооснователи «Лаборатории Касперского» Евгений и Наталья Касперские.   

Пленарное заседание «Противостояние кибермошенничеству: консолидация усилий»

Форум завершился Демо-днем, организованным Банком России, Минцифры и АНО «Цифровая экономика». Газпромбанк представил опыт перехода на российские базы данных, ВТБ – кейс миграции на микросервисную архитектуру, а Сбер и Т-Банк рассказали об отраслевых полигонах. Отечественные разработчики показали свои технологии в действии.   

Отзывы участников

Задание нашей команде понравилось, особенно аналитическая задача. Такой тип задач встречается нечасто, в отличие от CTF, где основная цель – находить и эксплуатировать конкретные уязвимости. Здесь акцент делается на системное решение и требовалась общая картина в голове – это плюс.

В целом отборочный этап получился очень приятным. Мы параллельно участвовали в Чемпионате России по спортивному программированию, и даже измотанные после финала, мы смогли принять участие и получить хорошие баллы. 

Команда Capibaras

Чемпионат «Кибербезопасность в финансах» в вопросах и ответах

Как прошел студенческий IT-чемпионат «Кибербезопасность в финансах»?
Студенческий IT-чемпионат «Кибербезопасность в финансах» прошел в гибридном формате. На отборочном этапе команды решали CTF-задачи и выполняли аналитическое задание. 10 лучших команд получили приглашение на офлайн-финал соревнования. В течение 2 месяцев они готовились к презентации решений кейсов перед жюри, а также к состязанию на киберполигон.
Как CTF помог опередить лучшие команды?
CTF (Capture The Flag) – формат IT-соревнований, в котором участникам необходимо захватывать флаги, используя свои знания о кибератаках и уязвимостях. Он позволяет определить, насколько команды владеют практическими навыками анализа рисков и предотвращения угроз. На чемпионате «Кибербезопасность в финансах» участники решали 4 задачи по правилам CTF, а заработанные баллы суммировались с результатами решения аналитического задания, которое оценивали эксперты.
Как лучшие команды готовились к чемпионату?
10 финалистов, которые успешно справились с CTF и аналитическим заданием, получили один из кейсов от Альфа-Банка, Т-Банка, Совкомбанка, Т1 и «Солар». Командам предстояло за два месяца подготовить концепцию решения на заданную тему, связанную с кибербезопасностью и защитой данных. Кроме того, у участников была возможность посетить чекпоинты с кейсодержателями и мастер-классы по созданию презентаций и победе в киберполигоне.
Как прошел финал IT-чемпионата «Кибербезопасность в финансах»?
Финал чемпионата прошел в рамках молодежной программы Уральского форума «Кибербезопасность в финансах». 10 команд представили свои проекты на большой сцене. Защиту оценивало жюри из числа ведущих экспертов, включая председателя Центрального банка России Эльвиру Набиуллину, заместителя председателя Банка России Германа Зубарева, а также представителей крупнейших компаний IT- и банковского сектора. На шестичасовом киберполигоне команды расследовали инциденты в виртуальном городе Неонополис.
Какие темы обсуждались на Уральском форуме «Кибербезопасность в финансах»?
Форум включал насыщенную деловую программу: более 40 тематических секций, мастер-классов и дискуссий. Эксперты обсудили вопросы повышения киберустойчивости финансового рынка, использование искусственного интеллекта в банковском секторе и импортозамещение.
Codenrock CTF кейс кибербезопасность киберполигон соревнование чемпионат


    Оставьте заявку, мы подберем для вас лучшие решения для работы с ИТ-сообществом

    Будьте в курсе лучших кейсов хакатонов, ML-турниров, CTF и соревнований по спортивному программированию на Codenrock
    Добавить комментарий