Киберзадачи в сеттинге Minecraft. Школьники в финале ВсоШ по инфобезу

Значимый прорыв формирует отрасль ИИ: InfoWatch 47 минут назад Киберзадачи в сеттинге Minecraft. Школьники в финале ВсоШ по инфобезу Простой 4 мин 1. 5K Блог компании InfoWatch Карьера в IT-индустрии Информационная безопасность * Учебный процесс в IT Конференции Ретроспектива Привет!

Недавно в Москве прошёл заключительный этап Всероссийской олимпиады школьников по информатике по профилю «Информационная безопасность», на сегодня это самое молодое направление олимпиады, которое уже успело стать самым технологичным. Призы для победителей — серьезные образовательные возможности, включая поступление в вуз без вступительных испытаний. InfoWatch уже много лет сотрудничает с МИЭМ НИУ ВШЭ, базовая кафедра компании в вузе открылась в 2017 году.

Технические детали

Ее создание стало отправной точкой для развития нашего образовательного направления и интеграции ИБ-экспертизы в учебные программы. В этой статье расскажем, как всё прошло и какие задачи решали ребята. В качестве локации выбрали гостиничный комплекс «Измайлово», который мог вместить желающих со всей страны — в этом году на олимпиаду приехали 244 школьника сразу из 44 регионов России.

Больше всего было ребят из Москвы (120 человек), области (17), Татарстана (16) и Питера (11). Олимпиада была поделена на два основных тура — проектный, на котором надо было представить свой проект по ИБ-тематике (давал 30% итогового балла), и практический (70%). Для МИЭМ ВШЭ это не просто какой-то партнёрский проект или удачная ежегодная коллаборация, институт участвует в развитии ИБ-профиля с 2022 года и всё это время активно вовлечен во все этапы олимпиады — от разработки и актуализации заданий до организации непосредственно соревновательной инфраструктуры.

Для этого раза МИЭМ подготовил собственную платформу на базе CTFd, на которой собрал более 100 задач по ИБ для учеников 9–11 классов. Впрочем, давайте сразу про задачи. Какие задачи решали в этом годуКак мы и написали выше, все задачи были объединены общим сеттингом Minecraft, который более чем знаком каждому школьнику.

Отраслевые последствия

А вот за привычным визуалом ребят ждали вполне себе взрослые проблемы — реальные подходы ко взлому инфраструктуры, которые используют злоумышленники, разбор классов уязвимостей, лучшие практики киберзащиты и многое другое. Сервис мониторинга Minecraft-серверов BlockWatchРебятам надо было тщательно изучить веб-интерфейс платформы, показывающей состояние кластеров и разворачивающей моды. Если первую часть задачи можно было решить просто благодаря внимательному изучению структуры сервиса и поиску скрытой консоли, то вторая была посложнее.

Надо было заметить небезопасную работу приложения с пользовательскими ссылками, используя Burp Suite. Так участник получал путь обращения ко внутреннему сервису (HTTP API ClickHouse) через SSRF-уязвимость и понимал, что привычная и удобная функция загрузки модов может быть куда более опасной, чем кажется на первый взгляд. Портал древнего городаДругая задача строилась вокруг анализа логики регистрации и обработки пользовательских данных.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.