Студенты Вышки — в топ-10 финалистов POC CTF
Пятеро студентов Московского института электроники и математики им. А.Н. Тихонова (МИЭМ) ВШЭ вошли в десятку лучших финалистов крупного соревнования по кибербезопасности POC CTF. Участие в финале, состоявшемся в Сеуле (Республика Корея), приняли 50 студентов и специалистов. Они представляли ведущие мировые компании и университеты в области кибербезопасности из разных стран.
POC CTF — ежегодное международное соревнование в Южной Корее, проводимое на базе конференции Power of Community, которая объединяет представителей мирового сообщества в сфере кибербезопасности. POC CTF постоянно входит в топ-5 соревнований индивидуального зачета по версии агрегатора соревнований CTFTime.
Пятеро студентов 1-го курса образовательной программы «Информационная безопасность» МИЭМ вошли в топ-10 POC CTF: Михаил Ильин (4-е место), Александр Веденяпин (5-е место), Максим Никитин (6-е место), Максим Кусков (7-е место), Арсений Якубовский (10-е место). Соревнование проходило в формате CTF (capture the flag) по системе индивидуального зачета в режиме task-based.
Михаил Ильин — также чемпион России по спортивному программированию в дисциплине «Программирование систем информационной безопасности». Он отметил хорошую организацию международного события: «Задания распределили на два дня. Было много интересных, к которым требовался индивидуальный подход. Составители оставались всегда на связи и отвечали на все возникающие вопросы. В конце мероприятия всех нас пригласили на финал Black Hat MEA в Саудовской Аравии, второе по рейтингу соревнование в мире, куда мечтает поехать любой специалист, играющий в CTF. Мы получили много эмоций, установили новые контакты в международном сообществе».
Задания POC CTF были связаны с криптографией, эксплуатацией веб-уязвимостей и бинарных уязвимостей, информационной криминалистикой, reverse engineering (разбор логики работы приложения для обхода его нормальной работы).
Так, задание по эксплуатации веб-уязвимостей моделирует типичную уязвимость в веб-приложениях, когда участнику нужно обнаружить факт перезаписи критических файлов при запуске сервера. Используя знания о структуре Django-проекта, механизме загрузки WSGI и особенностях серверов приложений, необходимо внедрить короткий безопасный payload, который выполнит системные команды и передаст результат на внешний OAST-сервер. Такие задания актуальны, поскольку демонстрируют, как неочевидные ошибки в обработке путей и правах на файловую систему могут приводить к Remote Code Execution — одной из самых критичных и часто встречающихся уязвимостей в реальных веб-системах.
Задание на криптографию представляло собой типичную задачу по анализу побочных каналов (side-channel attack) — корреляционную атаку по мощности (CPA) на реализацию AES-128. Требуется по множеству энергетических трасс и известных открытых текстов восстановить секретный ключ шифрования, часть которого (начало и конец) заранее известна. Для решения используется модель Хэмминга и базовые методы статистического анализа, в частности корреляция Пирсона. Такие задания демонстрируют, как даже защищенные криптографические алгоритмы могут быть скомпрометированы из-за особенностей их физической реализации, что критически важно для оценки безопасности микроконтроллеров, плат с аппаратным шифрованием и IoT-устройств.
Еще одно задание, категории PWN (эксплуатация бинарных уязвимостей), было связано с использованием уязвимости в самодельной виртуальной машине с JIT-компиляцией. Задания такого типа требуют сочетания навыков обратной разработки, понимания внутреннего устройства JIT-компиляторов и практики низкоуровневой эксплуатации. Актуальность задания обусловлена тем, что в реальных системах все чаще появляются сложные интерпретаторы и виртуальные машины (от JavaScript-движков до смарт-контрактов), ошибки в которых приводят к критичным уязвимостям.
Несмотря на плотный график соревнований, наши студенты успели познакомиться со столицей Южной Кореи. «Культурную программу мы, по сути, собирали себе сами: вышло даже лучше, чем ожидал, — рассказал Арсений Якубовский. — В свободное время гуляли по Сеулу, посмотрели местные дворцы, зацепили центр, пару рынков и наелись всего подряд: ттокпокки, корейский BBQ, уличные снеки — невозможно было пройти мимо. В целом свободное время, несмотря на практически его отсутствие, прошло насыщенно и живо, Сеул оставил классное впечатление — и город, и люди, и атмосфера».
Все студенты, принявшие участие в финальной части соревнования, преподают в недавно появившейся в МИЭМ Академии CTF — инициативном проекте студентов и преподавателей МИЭМ. Многие участники академии являются победителями и призерами крупных российских соревнований по защите данных.
Вам также может быть интересно:
Студенты Вышки показали высокие результаты в престижных соревнованиях в формате CTF
В конце октября студенты Вышки отличились сразу в нескольких соревнованиях в области информационной безопасности в формате CTF. Пятеро студентов вошли в состав сборной Москвы, выигравшей чемпионат России по спортивному программированию. Еще три команды стали финалистами, победителями и призерами Кубка Урала UralCUP CTF и турнира Kuban CTF. Связующим хабом для формирования CTF-содружества студентов Вышки стала Академия CTF — инициативный проект, объединивший студентов и преподавателей.
Вышка и Банк России запустили совместную магистратуру по информационной безопасности
Открытие новой партнерской программы Банка России и Московского института электроники и математики им. А.Н. Тихонова НИУ ВШЭ «Информационная безопасность в кредитно-финансовой сфере» прошло в главном здании Банка России в Москве на Неглинной улице. Студентам прочитали первые лекции и познакомили с работой регулятора.
«Олимпиада открывает двери в университеты для наиболее талантливых юных кибербезопасников»
В апреле 2024 года были подведены итоги заключительного этапа Всероссийской олимпиады школьников (ВсОШ). Организационную, методическую и экспертную поддержку профиля «Информационная безопасность» вновь осуществлял МИЭМ НИУ ВШЭ. Созданная при его участии олимпиада открывает двери для школьников из CTF-сообщества в лучшие университеты страны.
НИУ ВШЭ и Банк России подготовят магистров по информационной безопасности
Московский институт электроники и математики им. А.Н. Тихонова НИУ ВШЭ и Банк России открывают новую магистерскую программу «Информационная безопасность в кредитно-финансовой сфере». Набор на программу уже стартовал — с 1 сентября 2024 года начнется обучение специалистов по информационной безопасности для банков и других организаций финансового сектора.
При участии МИЭМ ВШЭ впервые проводится ВсОШ по информбезопасности
Профиль «Информационная безопасность» вошел в состав Всероссийской олимпиады школьников (ВсОШ) по технологии. Недавно прошли региональные соревнования, в апреле в Республике Татарстан состоится заключительный этап олимпиады.
Беспрецедентные кибератаки: информбезопасность выходит на первое место для государства и бизнеса
Перемены, связанные с пандемией и тотальным санкционным режимом, привели к перестройке отечественной информационной отрасли, смене стратегии поведения ее участников. Где сосредоточены основные риски и как справляться с вызовами? Об этом шла речь на мастер-классе «Цифровая трансформация бизнеса в новой посткризисной реальности», организованном кафедрой теории и практики взаимодействия бизнеса и власти НИУ ВШЭ.
В Вышке открывается бакалаврская программа «Информационная безопасность»
Программа будет реализовываться в МИЭМ НИУ ВШЭ, первый набор на нее состоится уже в 2019 году. Об особенностях обучения на программе, а также перспективах выпускников рассказывает ее руководитель Федор Иванов.
Команда ВШЭ победила в финале студенческих межвузовских соревнований по информационной безопасности
10–11 ноября состоялся финал M*CTF — московских студенческих межвузовских соревнований по информационной безопасности. Победителем стала команда Shadow Servants, в которую входили студенты факультета компьютерных наук, МИЭМ и факультета бизнеса и менеджмента. Эта команда выигрывает на M*CTF уже третий раз подряд. Теперь их ждет следующий этап — Кубок CTF России–2018, который пройдет 30 ноября – 1 декабря на базе Инновационного Центра «Сколково».
Студенты программы «Управление информационной безопасностью» прошли обучение в компании Huawei в Китае
Студенты магистерской программы «Управление информационной безопасностью» Катерина Аринаркина, Эльдар Бейбутов, Евгений Гусев, Нина Осенмук и Аминат Тарчокова прошли обучение в компании Huawei в рамках глобальной программы «Seeds for the Future». Двухнедельный курс был посвящен изучению современных информационно-коммуникационных технологий, принципов защиты информации в ходе работы с ними, опыта обеспечения информационной безопасности в корпорации, имеющей обширную филиальную сеть по всему миру.
«Мы показываем связь между технологиями, юриспруденцией и управлением»
Как обеспечить информационную безопасность бизнеса? Почему управленческие решения в этой сфере не менее важны, чем внедрение новых компьютерных технологий? Об этом шла речь на международной конференции «Управление информационной безопасностью в современном обществе», уже в третий раз проходившей в стенах Вышки.