128 дней. Круглый стол RuCTF: итоги и последствия

Этот текст можно использовать в соответствии с условиями лицензии Creative Commons Attribution-ShareAlike 4.0 International.

Ежегодно в рамках международных соревнований RuCTF проводится круглый стол, который традиционно собирал капитанов команд. На этом мероприятии обсуждались разные темы, более или менее важные для российского студенческого CTF-сообщества. Каждый год эти мероприятия вызывали достаточно малый интерес, и проводились исключительно по той причине, что присутствие капитанов было «обязательным».

Однако, проблемы в сообществе действительно были, и в 2018 году был достигнут апогей г***оцтфов — вероятно, каждое второе мероприятие, особенно из Плана¹, проводилось так, что после них любое желание играть в CTF просто отпадало — таски переиспользовались, инфраструктура работала плохо, большое количество уцуцуги², скучные таски и в целом плохое отношение к участникам.

На этом фоне в @ctfchat регулярно разгорались жаркие обсуждения про то, кто виноват в происходящем, и что с этим делать. Много говорили про АРСИБ³, называя его источником многих проблем. Важной особенностью этих дискуссий была однобокость — лишь изредка в дискуссию вступали люди, аффилированные с АРСИБом. Ещё больше накал эмоций увеличился после проведения мероприятия «spb CTF 2018» и конфликта Влада Роскова⁴ и Виктора Минина⁵.

Викентий Котвицкий⁶ предложил реформировать круглый стол, изменив его формат на более расположенный к дискуссии. Обсуждение состоялось 26 апреля. Круглый стол прошел в обновленном формате: 2 часа обсуждений, прямая трансляция, мемы, лозунги и многое другое.

Прошло уже несколько месяцев, и теперь мы можем порассуждать о том, изменилось ли что-нибудь за это время? Давайте разберем все темы круглого стола и поймем, что уже произошло, а что нет.

Всё (не) идёт по плану

За эти 128 дней, на самом деле, было не так много соревнований. Но уже сейчас можно заметить, что среди организаторов мы видим не только привычных нам «сотрудников АРСИБа», но и совершенно другие лица. YauzaCTF, Real CTF, ctf.moscow, CTFZONE, CyBRICS, PASECA CTF, Кибервызов Ростелекома — все эти соревнования проведены независимыми командами без какой-либо централизации и «закукоживания», о котором так много говорили на круглом столе.

Поскольку соревнования разрабатывались независимо, таски и сервисы на были совершенно разнообразными, и это важно. Однако, не всё прошло гладко — некоторые из этих соревнований падали; что-то работало не так, как задумано. Остается надеяться, что следующие CTF от этих организаторов пройдут лучше :)

Стоит заметить, что ставшая уже мемом фраза «CTF — это Минин» ещё долго будет жить в сердцах людей. Например, в далёком Ханты-Мансийском автономном округе правительство региона в официальном пресс-релизе называет «Кубок CTF» как «CTF 2019», будто бы это мероприятие — единственный CTF.

Новости

Досталось и CTF News, позиционирующему себя как главному новостному порталу о CTF в России. И сразу заметно, что именно в этом направлении круглый стол дал толчок сообществу.

Во-первых, благодаря Николаю Ткаченко, Викентию Котвицкому и многим другим людям, появилась альтернатива — Telegram-канал @CTFNudes, в котором игроки известных российских студенческих команд рассказывают о проходящих мероприятиях в России и за её рубежом. Работа в канале ведется намного более неформально: редакторов больше 15 человек, да и любой человек может зайти в Открытую редакцию и предложить свой пост. Увы, есть и минус: у канала нет человека, который бы занимался им постоянно, поэтому иногда активность на длительные периоды пропадает.

Во-вторых, CTF News также немного изменился в лучшую сторону: нельзя не заметить, что теперь он, хоть и понемногу, но начал освещать и проекты, не связанные с АРСИБом: про большинство вышеупомянутых мероприятий у них были новости. Однако, до идеала далеко. Главный редактор так и не решился рассказать про VolgaCTF и ctf.moscow, хоть и, по словам представителей АРСИБа, постоянно следит за их новостями. Да и АРСИБ-то не торопится исправлять свои ошибки: как они почему-то считали сообщество SPbCTF своим проектом, так и продолжают считать.

Опыт

Порадовали разработчики QCTF, которые после длительного ожидания опубликовали постмортем по итогам QCTF Starter 2018.2, прошедшего (точнее, пролежавшего) в декабре прошлого года. Очень важно рассказывать не только про успешные мероприятия, но и про неудачные. Такие тексты помогают другим людям понять, как может упасть CTF, и не допускать таких же ошибок самим.

Не все мысли с круглого стола находят своё применение: например, предложенная Виктором Мининым идея «Школы организаторов CTF» так и не была реализована ни в каком виде: возможно, никто не хочет брать на себя проведение такого сложного мероприятия. А может быть, команды просто не хотят делиться своими фирменными секретами.

С одной стороны, это хорошо: каждая команда сама создаёт велосипеды и проводит соревнования, придерживаясь своего взгляда на то, как должен проходить хороший CTF. С другой стороны, цена этому — нерабочие жюрейки, непроработанные таски и испорченное настроение.

Attack-Defense

В силу того, что хорошие Attack-Defense-соревнования в России должны быть занесены в Красную Книгу, не можем пройти мимо предложений Николая Ткаченко про реформацию соревнований данного вида. Однако, тут и говорить нечего — за 128 дней в России не было ни XSS, ни хороших формул очков. Играть с формулами пробовали только организаторы RealCTF, но, увы, ни чекеров, ни сетки, ни очков команды не увидели.

Что дальше?

Понятное дело, что круглым столом все разногласия в сообществе не решить. Сразу после таких мероприятий даже кажется, что все остались при своём, а время потрачено зря. Срачи в чатиках не прекращаются, и, в преддверии продолжающего приближаться «CTF 2019», вряд ли утихнут в ближайшее время.

Однако, остаётся надеяться, что рано или поздно организаторы всех соревнований станут более ответственно подходить к подготовке своих мероприятий, ведь именно это влияет на имидж таких соревнований как в бизнес-сфере в плане поиска спонсоров, так и среди потенциальных участников.

Никита Сычев, 1 сентября 2019 года