Капибары, хаос и вымышленный город: как прошел Т-Capture the Flag

Тысячи ИТ-специалистов, шесть городов для офлайн-участия, десятки задач и один вымышленный город на грани цифрового хаоса.

Рассказываем, как прошло ежегодное соревнование по спортивному хакингу от Т-Банка — и почему теперь все говорят про Капибаровск.

Белый хакинг

T-Capture the Flag — ежегодное соревнование по компьютерной безопасности, которое проводит Т-Банк онлайн и офлайн в своих ИТ-хабах. В этом году присоединиться к состязанию очно можно было в Москве, Санкт-Петербурге, Екатеринбурге, Новосибирске, Казани и Иннополисе.

Участники целых два дня без перерывов решали задачи на криптографию, анализ скомпилированного кода, веб-уязвимости, расследование инцидентов – на все те направления, с которыми работают профессионалы-безопасники. В каждом задании нужно найти флаг – скрытую строку, зашитую в уязвимости или ошибке системы.

В отличие от классических CTF, наш турнир рассчитан не только на специалистов по ИБ, но и на широкую аудиторию ИТ-специалистов: разработчиков, QA, аналитиков, SRE и другие. Это не узкопрофильное соревнование, а площадка, где можно попробовать себя в роли исследователя, узнать о рисках в привычных инструментах и научиться думать как защитник и как атакующий одновременно. Сюжеты заданий основаны на историях про капибару – маскота соревнования.

Цифровой хаос в Капибаровске

В этом году по легенде T-CTF участники отправились в Капибаровск – вымышленный город, где все завязано на технологиях: от транспорта и еды до табло в аэропорту и городских баннеров. Но цифровую инфраструктуру захватили хакеры и в городе начался хаос. Мирные жители-капибары оказались бессильны: они не разбираются в коде и не могут починить систему.

Задачей участников было найти уязвимости, понять логику задач, восстановить сломанные сервисы и вернуть городу цифровой порядок.

Примеры задач

• Капицентр. В принтер капицентра попал вирус – и теперь распечатать документ или сделать копию паспорта просто невозможно. Вместо них принтер выдает только капибара-мемы. Надо помочь обезвредить вирус, чтобы капибары вернулись к делам.

• Капибургер. В меню бургерной — лимитированное блюдо: флаг. Но его цена в монетах зашкаливает. Придется разобраться в логике начислений и обойти защиту, чтобы не остаться с пустой коробкой.

• Капибарса. Футбольный клуб Капибаровска готовится к самой важной игре сезона. Сегодня последняя тренировка перед матчем. Но соперники решили ее сорвать — и заблокировали все шкафчики Капибарсы. Взломайте кодовые замки и достаньте капибарам их счастливые бутсы.

• Капибегущая строка. Хакеры взломали освещение жилого дома и пустили по нему бегущей строкой свои требования: миллион фруктов юдзу и вертолет. Выясни, что было в начале их требований.

Задания T-CTF были на разные темы: от взлома сайтов и настройки серверов до задач по шифрованию, анализу кода и восстановлению удаленных данных. За решение задач участники получали ачивки — специальные значки за разные достижения. Те, кто делился ими в соцсетях, могли получить фирменные призы с капибарами.

Участниками T-CTF в этом году стало более 9000 человек — от джунов до синьоров. Кто-то уже знал, как искать уязвимости и анализировать код, а кто-то только осваивал основы и учился распутывать логические и шифровальные задачи. Все они объединились в команды — от одного человека до трех.

Соревнования шли в двух лигах. Разница в уровне сложности заданий и призах, которые получили победители.

• Лига разработки — более 6000 человек, для тех, кто только погружается в инфобез и хочет посмотреть на систему «изнутри»;
• Лига безопасности — более 3000 участников, уже знакомых с CTF и задачами.

Формат остался гибридным: большинство подключались онлайн, но более 900 участников пришли на офлайн-площадки в ИТ-хабы Т-Банка. Там участники не только решали таски, но и ходили на мастер-классы, обсуждали подходы, обменивались идеями и просто погружались в атмосферу соревнования.

В этом году мы также усилили образовательный трек для тех, кто участвует в T-CTF впервые:

• адаптировали задачи для лиги разработки: они помогали понять основы информационной безопасности и погружали в мышление исследователя;

• провели онлайн-разбор сложной демо-задачи с тремя векторами решений. Первые 100 решивших получили годовую PRO-подписку Т-Банка;

• организовали мастер-классы на офлайн-площадках и онлайн. Наставники разбирали задачи вживую и рассказывали про используемые подходы и инструменты.

Т-Банк регулярно устраивает мероприятия для ИТ-сообщества: T-CTF, ИТ-Пикник, ИТ-каток, различные митапы. Все это сделано не только с целью нетворкинга и развлечения, но и чтобы создавать среду, где обучение, практика и интерес дополняют друг друга.

Победители T-CTF 2025

Лига безопасности:

• Большой хомяк выходного дня точка PAS (Новосибирск)
• [team Team] без Никиты Сычева (Москва)
• tralalero tralala (Новосибирск)

Лига разработки:

• neon enjoyers (Москва)
• happy_three_friends (Москва)
• nmikhailov (Новосибирск)

За первые места команды получили 360 000 руб. (Лига разработки) и 420 000 (Лига безопасности) руб. Остальные призеры также получили денежные призы.

Интерес к спортивному хакингу растет. Все больше участников хотят не просто «взламывать», а понимать, как устроены системы, учиться, развиваться и быть частью ИТ-коммьюнити.

Т-Банк продолжает проводить мероприятия, которые соединяют в себе нетворкинг, интерактивы и обучение, уже 16 августа мы снова проведем ИТ-Пикник в Коломенском, где будет насыщенная программа ИТ и научпоп лекториев, активности от ИТ-партнеров и большой лайнап. Регистрация откроется в июне на сайте.