Виктор Минин, АРСИБ: CTF стал понятной метрикой для работодателей

5 декабря прошли финальные очные этапы Кубка CTF России — одного из крупнейших российских турниров по кибербезопасности для школьников и студентов. На состязание зарегистрировалось рекордное количество ребят: суммарно 663 команды из 75 субъектов РФ.

Отборочный тур прошли 190 участников, это 10 команд в каждом из трех зачетов — школьном, академическом и смешанном. Поговорим с Виктором Мининым, бессменным лидером и соорганизатором Кубка, главой АРСИБ о том, как дети и подростки приходят к идее заниматься кибербезом, какую роль в этом играет CTF и как уже 9 лет удается сохранять энтузиазм, чтоб собирать тысячи участников, которые завтра будут ведущими специалистами в компаниях и госорганизациях.

Cyber Media: Сейчас о “белых хакерах” говорят с правительственных трибун. Это позитивная тенденция?

Виктор Минин: Думаю, что стричь всех под одну гребенку — идея не лучшая. Тревожно, что любого этичного хакера начинают сегодня считать потенциальным преступником по факту наличия навыка. Законодатели рассуждают в логике «раз хакер, значит, опасен, давайте их всех посчитаем, возьмем под контроль». Но у нас есть суд, который определяет, преступник человек или нет. Нельзя заранее относиться к целой группе специалистов как к угрозе. Это очень тонкая граница, и сейчас ее часто сдвигают в сторону недоверия.

Cyber Media: Вообще термин “белый хакер” имеет неоднозначный смысл. Что вкладывается в это понятие?

Виктор Минин: Когда только появились компьютеры, слово «хакер» было уважительным. Оно обозначало профессионала в своей сфере — специалиста, обладающего глубокими знаниями компьютерных систем и сетей. Человека, который разбирается в информационных технологиях, который решает проблемы нестандартными способами, умеет находить и обходить ограничения. Это была проекция компетенции, а не криминала.

Со временем все изменилось, появились так называемые «разноцветные шляпы». Киберкриминал, блэчеры, то есть “черные шляпы”, которым их навыки стали нужны, в основном, для заработка денег. “Серые” — это те, кто и нашим, и вашим. То есть не мыслят, как злоумышленники, но могут пойти против закона. И, наконец, “белые” или “этичные” хакеры.

Исконную позитивную коннотацию термин “хакер” почти утратил. Свою работу по этой части сделали СМИ. Когда случается кибератака, они пишут: «А вот, хакеры взломали». Есть такое понятие «медвежатник» — это специалист по взлому сейфов и замков, это законное аварийное вскрытие. Он помогает вам попасть в собственную квартиру, потому что вы забыли ключ. Но есть и другой сценарий — он за деньги открывает дверь, чтобы внутрь прошли преступники. В кибербезопасности так же: одни ищут уязвимости, чтобы их закрыть, другие, чтобы их продать.

Исконную позитивную коннотацию термин “хакер” почти утратил

Cyber Media: Когда вообще формат CTF пришел в Россию?

Виктор Минин: В Россию CTF пришел в 2006 году. Уже в 2009 у нас был свой международный турнир — RuCTF/RuCTFE. Он шел несколько лет и по уровню не уступал таким авторитетным турнирам, как iCTF и DEF CON. Это сразу показало, что в стране есть команда, которая умеет делать серьезные соревнования мирового уровня.

В доковидные годы вообще все развивалось стремительно. Только наша команда проводила больше 50 турниров в год. Потом пандемия нас «остудила», но именно тогда мы нашли другой формат – CTF нулевого уровня, кибертурниры, которые позволяют расширять воронку и заходить на это поле большему числу новичков.

Cyber Media: Девять лет это только Кубку, турниров CTF сейчас становится все больше — как можно охарактеризовать соревнования CTF в нашей стране? Есть ли какая-то иерархия?

Виктор Минин: Самое важное понимать, что CTF — это не массовая «олимпиада по информатике». Чтобы играть, нужно не только базовое айтишное мышление, но и особое отношение к задачам. Это многошаговые решения, умение разбирать системы руками. Главный фильтр — даже не знания, а желание этим заниматься.

Что касается иерархии. Мы начали строить инфраструктуру как пятиуровневую: городские турниры, региональные, федеральные, всероссийские и международные. В разных округах готовность разная, но сама идея была в том, чтобы у игрока был путь от локального турнира до крупных национальных и мировых площадок.

Cyber Media: В интервью Кибердеду (Андрей Масалович), ты говорил, что CTF напрямую связан с трудоустройством. Как именно?

Виктор Минин: Могу заверить, за 15 лет CTF стал понятной метрикой для работодателей. На HeadHunter и в вакансиях появилось упоминание CTF. Если ты приходишь на собеседование и говоришь, что играешь и что-то выигрывал, с тобой разговаривает уже не HR, а техническая команда. Они смотрят, как ты думаешь, тестируют, задачи дают, и твой ценник может вырасти прямо на интервью.

CTF — это не массовая «олимпиада по информатике»

Cyber Media: Какие компетенции дает несколько лет игры в CTF?

Виктор Минин: В среднем 3–5 лет игры дают знание порядка десяти языков программирования, уверенную работу с разными ОС, контейнеризацией, виртуализацией, облаками. Плюс постоянную тренировку в разборе незнакомых систем. Мы регулярно обновляем стеки, используем облачные решения, пробуем новые технологии. Для примера: для BRICS CTF в прошлом году отборочные задания были написаны на 13 языках программирования. Ну и конечно это командная работа: один в CTF — не воин.

Cyber Media: Насколько сильно CTF ушел в корпоративный сектор?

Виктор Минин: Сильно. Мы сами выступаем операторами для проведения корпоративных турниров. Я не могу перечислять компании, потому что для некоторых мы действительно по договору выполняем внутренние такие CTF-ки и эта информация под NDA. Но да, корпоративные CTF – это уже норма. Для корпоративного мира это модный инструмент, но осмысленный: они так и обучают, и отбирают людей. В некоторых компаниях, где высоко ценятся исследовательские навыки, любят разгадывать шифры, головоломки и все это в игровой форме — CTF это часть корпоративной культуры.

Cyber Media:  Есть ли конкуренция между операторами CTF?

Виктор Минин: Конечно. Хотим мы этого или нет, команды вырастают и некоторые хотят зарабатывать на CTF. Конкуренция началась примерно десять лет назад и по сей день продолжается. Хорошо ли это, плохо — не знаю. Самое главное, наверное, делать качественно. Иначе появляется проблема: некачественные турниры, которые называют себя «всероссийскими», берут деньги, а по уровню заданий не дотягивают до нашего школьного зачёта. Здесь нужна общая этика рынка, которой пока не хватает. Об этом должен говорить рынок кибербезопасности, сообщество. А оно у нас разобщено.

Cyber Media: Как вообще отличить качественный CTF?

Виктор Минин: Это наличие или отсутствие так называемых «угадаек». Или у нас есть термин, который четко говорит о том, что на турнире были «уцуцуги». Уцуцуга — это и есть та самая «угадайка», характеризующая, что «CTF-турнир так себе». Это задания, где нарушена логика, и игроку предлагают не решать задачу, а угадывать, что имел в виду автор. Такой турнир не учит думать, он обесценивает формат.

Качественные задания отличаются сложностью: чем сложнее таска, тем больше шагов надо сделать для того, чтобы прийти к решению. Причем это количество шагов — неочевидное.

Наша команда всегда старается сделать несколько уровней сложности: слабые, средние и сильные, так называемые «гробы». При этом на Кубке мы используем динамическую систему: изначально все задания равны по баллам. Скажем на Кубке по 1000.  А потом их стоимость падает. Чем больше заданий решили, тем меньше баллов получает участник, который, так скажем, предъявил флаги. И, соответственно, чем меньше решили, тем стоимость задания выше, то есть оно более сложное для участников.

Cyber Media: Как выбирать оператора турнира, если ты корпоративный заказчик?

Виктор Минин: Смотреть на опыт. На то, сколько турниров команда провела, на каких площадках играла. Если ребята выигрывали большие открытые турниры вроде PHDays, Bi.Zone, «Волги CTF» и других, проходили отборы и играли в финалах, это хороший сигнал. В стране есть несколько команд, которые стабильно делают качественные турниры, и это наш плюс на мировом рынке. Это показывает, что мы дееспособны в таких вопросах, в таком направлении, как Capture The Flag.

Cyber Media: Поговорим про Кубок. Как ежегодно стартует идея, легенда, большая ли команда работает над ним?

Виктор Минин: Легенды — это вообще интересная тема. Начиная с первого Кубка, мы старались вносить некую особенность. И хотя над нами немного «подтрунивали» участники рынка, мы всегда хотели делать Кубок в формате CTF-шоу. Что это значит? Хлеба — на это у нас есть призовой фонд. И зрелищ — на это у нас есть легенда.

Начнем со второго: для зрителя классический CTF скучен. Есть борда, цифры, команды что-то делают, но непосвященным непонятно, что происходит. Поэтому с первого Кубка мы придумываем легенду и визуализируем ее. Легенда объясняет, за что борются команды, и превращает турнир в историю, за которой интересно наблюдать.

Легенду придумывает группа из 5–6 человек, всегда вместе с технической командой, чтобы сюжет не расходился с самими тасками. Потом начинается визуализация: как это выглядит, какими образами показать происходящее на платформе. С нами работает профессиональная мангака — девушка-художница, которая каждый год рисует мангу по легенде. Мы ее печатаем, выкладываем на сайте, раздаем участникам. Это одна из отличительных черт Кубка.

Cyber Media: Так в чем состоит эта легенда?

Виктор Минин: В прошлом году это был компьютерный клуб с двумя уровнями: «внешний» для обычных ребят и «внутренний» — так называемая Цитадель для талантливых специалистов в кибербезопасности, где они ведут серьезные проекты, делают разработки по заказу. Клуб взломали, и задача игроков была понять, кто это сделал и кто предал.

В том году мы ввели в мангу персонажа — Софи — у нее есть реальный прототип, девушка, работающая на рынке кибербезопасности. Так вот Софи “застряла” в цифровом мире. На этом закончилась история в прошлом году. В этом году командам нужно спасти ее и вернуть обратно. Часть истории уже есть на сайте, остальное участники узнают в процессе.

Cyber Media: Зрелища обсудили, вернемся к “хлебу”. Кубок бесплатный для участников. Как это вообще работает финансово?

Виктор Минин: У нас принципиальная позиция – никогда не брать деньги с игроков. Более того, на первых четырех Кубках мы несколько раз оплачивали билеты командам из дальних регионов, чтобы победители могли приехать на финал. Мы рассматриваем это как инвестицию в ребят.

Cyber Media: Откуда появляется призовой фонд?

Виктор Минин: Благодаря партнерам. В том числе это представители старой школы CTF, которые сами прошли этот путь и понимают ценность турнира. В этом году призовой фонд – 750 тысяч рублей, он делится между тремя командами, занявшими первые места в трех зачетах.

Cyber Media: Что можно пожелать участникам?

Виктор Минин: Приходите, играйте в CTF, выигрывайте сам Кубок — это трофей почетнее денег. А если не успели в этом году, ждем вас в следующем, а пока — присоединяйтесь к трансляции. Будет интересно и красиво.