10 лет в CTF

Мне свойственна сентиментальность, поэтому не могу не зафиксировать это.

Ровно 10 лет назад я в составе команды Shadow Servants поехал в МГУ играть Moscow CTF School 2014. Я помню, что ни на что особо не рассчитывал, но так уж получилось, что мы тогда заняли первое место. И началось...

С тех пор было началась долгая и тернистая история меня как CTF-ера.

В целом мой опыт в CTF сейчас можно разбить на 3 части: игрок, тренер и организатор.

Игрок

Я успел поиграть в двух прекрасных командах Shadow Servants и C4T BuT S4D. У нас были взлеты и падения, но мы выиграли много соревнований. Нет, серьезно: если собрать все рюкзаки добытые мной за призовые места на CTF, то я мог бы заполнить комнату. С CBS мы вышли на международный уровень и даже заработали настоящих призовых денег (и я бы сказал неплохо).

Игра в CTF дала мне много крутых hard-скиллов и вечный trust-issue по отношению к примерно любой технологии/библиотеке.

Сам себе задам важный вопрос: "Не надоело ли мне играть ?". Ответ на момент написания статьи: надоело. К сожалению, фана соревнования приносят всё меньше, а играть ночами и не спать становится всё сложнее — и далее произошло выгорание. Причём проблема эта не только у меня. Буду ли я играть дальше? Скорее всего да, но всё меньше и меньше (в основном AD-шки).

И мне от этого совсем не грустно, ведь за эти 10 лет кажется, было всё. Единственный незакрытый гештальт: я так и не выиграл RuCTF. CBS выиграл RuCTF 2023, но я уже был в эмиграции и не мог присутствовать при этом легендарном событии.

Ну и да, в 2023-ем году наша команда стала топ-2 командой в мировом рейтинге, и мне очень приятно понимать, что в этом был мой вклад.

Путешественник

Отмечу это отдельно. Благодаря CTF-у я побывал в очень многих новых местах. Началось всё с городов в России, а закончилось несколькими континентами.

На текущий момент список примерно такой: Екатеринбург (RuCTF one love), Самара (Volga CTF), Иннополис и Казань (InnoCTF), Адлер (Сириус), Бухарест (DefCamp CTF), Дубай (ADDA CTF), Эр-Рияд (BlackHat MEA), Стокгольм (Midnight Sun), Малага (Google CTF), Лас-Вегас (DEFCON CTF).

И страшно признаться, но возможностей было больше. В некоторые моменты уже просто не было времени и сил куда-то опять лететь.

Тренер

Нельзя пропустить этот этап: преподавание CTF-а в Школе Программистов.

Я посвятил этому несколько лет своей жизни и много бессонных ночей. Для первой смены летнего лагеря мы с Колей буквально написали платформу для AD-соревнований, а сколько было разных тасков и квестов, ооо...

Я получал много благодарности за курсы, которые сам придумал и делал. За смены в летнем лагере, за интересные задачи, за того, что смог кого-то заинтересовать заниматься этим дальше.

Все еще нахожусь в лёгком шоке, когда понимаю, как много крутых текущих игроков в RU-сообществе прошли через мои курсы и задачки.

В 2021-м году я провел свою последнюю летнюю смену и пару по CTF в ШП, отдал накопленные задачи и сервера следующему поколению и уехал жить на остров. Я безмерно благодарен Школе Программистов и Сергею Валерьевичу лично за те несколько лет, за предоставленные возможности и доверие к нам.

Это было круто.

Организатор

Когда ты много играешь в CTF, то рано или поздно задумаешься о том, что можно сделать свою задачу. Когда ты много участвуешь в соревнованиях, то задумаешься о том, что можно сделать свои соревнования. А будучи преподавателем мне приходилось постоянно делать новые тренировочные задачи, контесты и даже оффлайн-олимпиады. Можно сказать, что я набил руку.

В последствии я начал делать задачки и организовывать многие крупные открытые соревнования. В этот список входят Кубок CTF России, BRICS+ CTF, EduCTF, Google CTF, Stay ~ CTF, ламповый Shadow CTF School и конечно легендарные тренировки CBS.

Что мы только не проходили: DDOS, прокладку сетей ночью, сломанные компьютеры, Сколково (у меня есть история как я там чуть не умер), сетевые проблемы, доделывание задач до и даже во время соревнований.

Мы с текущей командой разработчиков CBS можем вполне написать книгу о том, как нужно и не нужно делать соревнования и как делать для них хорошие задания.

Важно отметить, что работа над такими проектами и организация мероприятий дело нервное, неблагодарное и тяжёлое. И я очень ценю людей, с которыми я получал такой опыт. Это буквально испытание, которое вы проходите вместе. Как говорится, с такими людьми можно и в разведку.

У меня накоплено еще множество историй о сложных ситуациях, смешных и не очень факапах и может, когда-нибудь я о них напишу.

Отдельно признаюсь что делать CTF я устал.

Я в основном говорю про задачи и сервисы на CTF. Мне лень считать, но кажется если посчитать все задачи и сервисы, которые я делал для соревнований, то получится больше сотни, и это не считая учебных. Честно будет признаться, что я просто "исписался". Когда ты все меньше и меньше играешь, то просто неоткуда брать идеи. С работы идей особо не унесешь, потому-что я программист-ML'щик, а не безопасник. При этом я могу сказать, что в моем портфолио есть очень крутые задачки и сервисы: сложные и идейные (zeroda'и и не только). Вот и получается, что придумывать новую идею для задачи так сложно: ты хочешь сделать что-то прикольное и качественное, что будет на уровне с твоими предыдущими идеями, а сроки горят и соревнования уже завтра. Конечно, это не может не фрустировать.

При этом, в целом я рад, что смог поделать много соревнований, получал крутой фидбэк на свои задачи и помогал делать большие соревнования.

CTF — это дружба

Название этого абзаца сейчас стригерило огромное количество CTF-еров.

Но спустя столько лет я лишь могу подтвердить этот тезис. Своих со-командников я легко могу назвать друзьями. И я знаю, что эти люди могут не только играть в соревнования про безопасность, но и делать реально крутые вещи. А еще с ними можно хорошо провести время на квесте или за игрой в свояк. И я надеюсь что мы сделаем еще много крутых вещей вместе.

Кроме своей команды я встретил много классных людей в этом сообществе, и уверен, что пересекусь с этими людьми дальше.

Закончу этот юбилейный пост благодарностями. Я не буду перечислять всех людей, потому-что боюсь кого-то забыть или сдеанонить. Спасибо вам за 10 лет, Shadow Servants, C4T BuT S4D, MSHP CTF и все все все.