Короче, это случилось. Мы организуем свой CTF. Не где-то там на другом конце интернета, а прямо здесь — в стенах Воронежского института МВД России. Официально, с распоряжением, дипломами и всеми делами.

Что будет?

Полноценный Jeopardy CTF на платформе CTFd. Таски, флаги, scoreboard в реальном времени — всё как на настоящих соревнованиях, потому что это и есть настоящие соревнования.

Категории: — OSINT — разведка по открытым источникам — Forensics — цифровая криминалистика — Web Exploitation — ломаем веб — Cryptography — ломаем шифры — Reverse Engineering — ковыряем бинарники — Steganography — ищем то, что спрятано

От простых тасков, с которых можно начать, до штук, над которыми придётся посидеть. Каждому найдётся задачка по душе.

Когда?

4 апреля 2026 года. Один день, одна цель — набрать как можно больше очков.

Кто может участвовать?

Курсанты и слушатели юридического и радиотехнического факультетов. Можно соло, можно командой до 3 человек. Если у тебя есть друг, который шарит в крипте (не в биткоинах)), а ты хорош в вебе — самое время объединиться.

Как зарегистрироваться?

Заходишь на https://registration.sqwd.ru, указываешь название команды (или своё, если соло), состав и контакты. Всё. Приём заявок откроется 21 марта — ровно за 14 дней до конкурса. Закроется 28 марта в 22:00 МСК. Так что не откладывай на последний момент — окно не такое большое.

Что нужно для участия?

Компьютер с интернетом и браузер. Это минимум. А если хочешь зайти серьёзно — вот что пригодится: — Kali Linux или аналогичный дистрибутив — Wireshark, Autopsy — для форензики — Ghidra, IDA Free — для реверса — Python 3 + pycryptodome, pwntools — для крипто — Burp Suite Community — для веба

Можно использовать как свой ноутбук, так и машины в аудиториях.

А если я вообще ничего не понимаю?

Не проблема. Перед конкурсом пройдут подготовительные лекции — преподаватели кафедр информационной безопасности и компьютерной безопасности расскажут что к чему и покажут базовый инструментарий. Следите за анонсами — даты и расписание лекций опубликуем отдельно.

Что по призам?

Победители и призёры получают дипломы. А если решишь хотя бы один таск — сертификат участника. Но давайте честно: главный приз — это опыт и тот самый момент, когда после часа мучений ты всё-таки находишь флаг и чувствуешь себя гением))

Важные правила (чтобы потом не было сюрпризов): — Флагами и решениями не делимся. Ни с кем. Ни кусочком. — Ломаем только то, что указано в заданиях. Инфраструктуру платформы и чужие машины не трогаем. — DoS/DDoS — даже не думайте. — Нарушил правила — вычет баллов или дисквал. Решения оргкомитета окончательные.

Контакты для связи: — Почта: contact@sqwd.ru — Telegram-бот поддержки: @sqwd_support_bot — Наш канал: t.me/SqWD_TEAM

Это ваш шанс попробовать CTF вживую, в нормальных условиях, с поддержкой и без страха что-то сделать не так. Глупых вопросов не бывает — бывают те, кто не решился спросить.

Регистрируйтесь, зовите друзей, точите инструменты. Увидимся на платформе 🤝

РЕГЛАМЕНТ ПО ССЫЛКЕ

Окей, давайте по порядку. Вы зашли в канал, увидели какие-то непонятные аббревиатуры, слово «таск», скобочки-смайлики и подумали — «что тут вообще происходит?»

Без паники. Сейчас разложим всё по полочкам.

CTF — это что вообще?

CTF — Capture The Flag. Дословно — «захват флага». По сути — это соревнования по информационной безопасности. Но не в костюмах и галстуках, а скорее как хакерский спорт.

Смысл простой: тебе дают задания (таски), ты их решаешь и находишь так называемый «флаг» — обычно это строка вроде flag{s0m3_t3xt_h3r3}. Нашёл флаг — сдал — получил очки. У кого больше очков — тот и красавчик.

Звучит просто? Ну... на первый взгляд))

Форматы CTF

Их два основных, и они сильно отличаются друг от друга.

Jeopardy (жеопарди)

Самый распространённый формат, особенно для новичков. Работает как викторина — есть набор заданий разных категорий и сложности. Выбираешь таск, решаешь, сдаёшь флаг.

Никто тебя не атакует, никого не надо ломать в реальном времени — сидишь, думаешь, копаешь. Можно в своём темпе. Обычно длится от 24 до 48 часов.

Attack-Defense (аттак-дефенс)

А вот тут уже веселее. Каждой команде дают одинаковый сервер с набором сервисов. Задача двойная: защитить свои сервисы и одновременно ломать чужие. Нашёл уязвимость у соперника — украл флаг. Прозевал дыру у себя — флаги украли у тебя.

Это хардкор. Тут нужна координация, скорость и холодная голова. Обычно такой формат на финалах крупных соревнований.

Есть ещё гибриды

Некоторые CTF мешают оба формата или добавляют свои механики — king of the hill (захват и удержание серверов), attack-only и т.д. Но jeopardy и attack-defense — это база.

Категории заданий

В jeopardy-формате таски обычно разбиты по категориям. Вот основные — чтобы вы понимали что к чему.

Web

Уязвимости в веб-приложениях. SQL-инъекции, XSS, SSRF, обход аутентификации — всё то, из-за чего потом в новостях пишут «компания слила данные миллионов пользователей».

Порог входа один из самых низких — если хоть немного понимаете как работают сайты, уже можно пробовать.

Pwn (binary exploitation)

Эксплуатация бинарных уязвимостей. Переполнение буфера, use-after-free, ROP-цепочки... Если предыдущие слова звучат как заклинания — это нормально)) Pwn считается одной из самых сложных категорий, но и одной из самых уважаемых.

Тут нужно понимать как работает память, процессор, стек. Низкий уровень, хардкор, зато когда получаешь shell на удалённом сервере — ощущение непередаваемое.

Reverse (reverse engineering)

Обратная разработка. Тебе дают скомпилированную программу (бинарник), и нужно понять что она делает — без исходного кода. Декомпиляторы, дизассемблеры, дебаггеры — твои лучшие друзья.

Часто пересекается с pwn, но тут фокус именно на анализе, а не на эксплуатации.

Crypto

Криптография. Нет, не крипта в смысле биткоинов)) Тут ломают шифры, ищут уязвимости в криптографических протоколах, факторизуют числа, атакуют RSA, AES и прочие аббревиатуры.

Нужна математика — но не та, что в школе казалась бесполезной. Тут она внезапно обретает смысл.

Forensics

Цифровая криминалистика. Анализ дампов памяти, сетевого трафика, образов дисков, логов. Как детектив, только вместо отпечатков пальцев — пакеты и метаданные.

OSINT

Open Source Intelligence — разведка по открытым источникам. Найти человека по фотке, определить геолокацию по скриншоту, раскопать информацию из публичных данных. Категория, где Google и наблюдательность — главное оружие.

Misc

Всё остальное, что не вписалось в другие категории. Стеганография (спрятанные данные в картинках), программирование на скорость, странные головоломки... Misc — это всегда сюрприз.

Зачем люди этим занимаются?

Хороший вопрос. Причин хватает.

Это реальные навыки. CTF — это не просто игра. Всё, что ты тут изучаешь, напрямую применяется в работе: пентестинг, анализ защищённости, incident response, разработка безопасного ПО. Работодатели в сфере ИБ очень ценят CTF-опыт.

Это прокачка мышления. Каждый таск — это головоломка. Учишься думать нестандартно, искать то, что не видно на поверхности, не сдаваться когда ничего не работает. Эти навыки полезны вообще везде.

Это комьюнити. CTF-тусовка — одна из самых дружелюбных в IT. Люди делятся райтапами, помогают новичкам, организуют соревнования. После CTF часто публикуются разборы — можно учиться даже на тех тасках, которые не решил.

Это кайф. Серьёзно. Момент, когда после трёх часов мучений ты наконец находишь флаг — это чувство сравнимо разве что с прохождением сложного босса в Dark Souls. Только тут ты ещё и узнаёшь что-то полезное.

Как попасть в этот мир?

Порог входа есть, но он не такой высокий, как кажется. Вот минимум, с которого можно стартовать:

Базовый Linux. Большинство CTF-инструментов работают под Linux. Не обязательно быть гуру — достаточно уметь работать в терминале, понимать базовые команды и не бояться командной строки. Ubuntu или Kali Linux — хороший старт.

Базовое понимание сетей. Что такое IP, порт, HTTP-запрос, DNS. Не на уровне Cisco-сертификации — на уровне «примерно понимаю как данные ходят по сети».

Хотя бы один язык программирования. Python — идеальный выбор. На нём пишут скрипты для решения тасков, автоматизируют всё подряд и вообще он просто удобный.

Желание разбираться. Это, наверное, самое главное. Гуглить, читать, пробовать, ошибаться, снова пробовать. В CTF никто не рождается экспертом — все когда-то начинали с нуля.

Где тренироваться?

Вот несколько платформ, на которых можно начать прямо сейчас:

• picoCTF — идеально для старта. Задания от простого к сложному, хорошие подсказки, всё бесплатно. Если вы совсем новичок — начните отсюда.
• HackTheBox — виртуальные машины, которые нужно «взломать». Есть разные уровни сложности. Комьюнити огромное, райтапов полно.
• TryHackMe — похоже на HackTheBox, но с более структурированным обучением. Есть пошаговые «комнаты» по конкретным темам.
• CTFtime — агрегатор всех CTF-соревнований. Тут можно найти ближайшие ивенты, посмотреть рейтинг команд, найти райтапы.
• CryptoHack — если зацепила криптография. Интерактивные задания, от базы до продвинутого уровня.

Наша команда

Мы — SqWD. Мы участвуем в CTF, учимся, иногда побеждаем, иногда нет — но всегда выносим что-то полезное. В этом канале будем делиться всем этим: разборы тасков, полезные материалы, новости, анонсы.

Если после этого поста появились вопросы — кидайте в чат, разберёмся. Если появилось желание попробовать — тем более пишите, поможем начать.

Глупых вопросов не бывает. Бывают люди, которые боятся спросить и из-за этого не узнают крутых вещей.

Залетайте 🤝