Кафедра №42 «Криптология и кибербезопасность» НИЯУ МИФИ

Занимаемся исследованиями и разработками, готовим лучших специалистов в области наступательной безопасности, защиты информации и безопасной разработки

О нас

Наши сотрудники - эксперты в области компьютерной безопасности, реализующие амбициозные образовательные, исследовательские проекты
Наши преподаватели разрабатывают авторские курсы и проводят занятия в современных мультивендорных лабораториях
Наши студенты - победители всероссийских и международных CTF-соревнований и олимпиад по кибербезопасности

Программы

Бакалавриат

Реализуем уникальные программы по подготовке специалистов в области информационной безопасности. Наши выпускники работают над задачами, связанными с созданием продуктов для обеспечения технологической независимости, и развивают свои навыки и компетенции по комплексному обеспечению локальной и сетевой информационной безопасности.

Магистратура

В рамках магистратуры наши студенты углубляют свои знания в области кибербезопасности и осваивают современные криптографические, технические и правовые методы для решения задач обеспечения информационной безопасности. Студенты вырабатывают комплексный подход к обеспечению информационной безопасности, а также создают инновационные продукты на стыке специальностей.

Лаборатории

Наши студенты выполняют лабораторные и практические задания на современной IT-инфраструктуре, проводят исследования в области информационной безопасности в мультивендорных лабораториях.

Мультивендорная лаборатория по защите информации

Лаборатория сетевых технологий и кибербезопасности

Новости

Attack-Defense CTF от команд dtl & Rop runners

16 июля 2025 г.

В самой середине лета в МИФИ состоялось необычное представление, а именно — первое соревнование от коллаборации команд dtl & Rop runners в формате Attack-Defense CTF для учащихся и выпускников школ со всей России. Взламывали, защищались и просто проводили время в отличной компании 60 команд или в пересчете на уникальных участников — 196 школьников. Под куполом цифрового цирка в МИФИ очно расположились 46 участников, не считая 6 организаторов.

Соревнование длилось 6 игровых часов и за это время школьникам предстояло разбираться с пятью сервисами. Дух легендарного админства от Алексея Тарасова, участника команды dtl и студента 3 курса, продолжился и на этот раз. Ничего не скрываем и рассказываем подробнее про технические аспекты и эксперименты, которые были встречены и поставлены организаторами.

 

Функционал сервиса enchaintix содержал чат с поддержкой, в котором участники могли общаться с LLM. Под капотом сервиса находилась модель gemma-2-2b, развернутая на подключенном к игровой сети компьютере Дмитрия Логинова, участника команды dtl. Столкновение идеального мира с реальностью произошло прямо здесь: из-за значительного числа участвовавших команд нагрузка на модель оказалась гораздо больше, чем изначально предполагалось. С первыми же сплойтами модель перестала отвечать на запросы и соответствующий столбец борды окрасился в красный цвет. Организаторы приняли волевое решение по отключению части функционала чекеров, однако возможность эксплуатации уязвимостей в чате сервиса сохранялась до конца CTF.

 

"Добавление хоста, не являющегося жюрейкой, вулнбоксом или участником, в игровую сеть потребовало модификации сетевого устройства и инфраструктуры. К тому же, хотелось исправить некоторые недочеты с прошлых тренировочных CTF: 1) плохой throughput на ноде с VPN-сервером, 2) отсутствие сброса ttl на gateway, 3) потенциальные проблемы с резолвингом DNS хостов инфраструктуры с вулнбоксов.

Поэтому последние 24 часа перед A&D по традиции прошли в попытках заставить работать уже разломанную модификациями инфраструктуру. Примерно за два часа до старта внезапно обнаружилось, что отсутствует сетевая связность между командами и их вулнбоксами, причем даже в открытой сети.

Чуть позже стало ясно, что уже запущенный на серверах команд сервис enchaintix не может подключиться к LLM из-за ошибки в указанном адресе. Благо, все эти проблемы удалось решить и во время самого CTF никаких подтвержденных проблем с инфраструктурой (отказ LLM из-за нагрузки не считаем) не обнаружилось. Кажется, впервые за историю ивентов от dtl", — заявляет Алексей Тарасов.

 

Сэкономим ваше время и кратко расскажем про сервисы:

  • nevalashka — сервис с огромным количеством кода, основанный на Login System от некоего "Jpmaster77 a.k.a. The Grandmaster of C++", написанной в 2004 году. Сервис содержал несколько модификаций, добавлявших несложные уязвимости тут и там — достаточно было лишь аккуратно прочитать код. Несмотря на объем, этот сервис был решен первым и практически одновременно командами "Блаблабла" и "АКП ИНА". Некоторые из уязвимостей позволяли удалять флаги, а также полностью ломать сервис. Поэтому у большей части команд сервис находился в статусе CORRUPT на протяжении всей игры, а среди команд в топе скорборда происходила усердная борьба за флаги.
  • enchaintix — тот самый сервис с искусственным интеллектом в поддержке. Помимо prompt injection в чат, сервис содержал множество простых уязвимостей: 1) захардкоженый секрет для подписи сессий, 2) открытая в общую сеть база данных, 3) включенный debug-mode в Flask, 4) хорошо замаскированную SQL-иньекцию. Этот сервис решили вторым.
  • battlebots — сервис с бинарной уязвимостью, приводящей к получению исполнения произвольного кода в контейнерах соперников. Бинарную эксплуатацию осложнял тот факт, что сервис запускался в alpine контейнерах. В результате успешно написать сплойт на него смогли только команды "v3rb0s1ty" и "Pudge Fun Club". Правда только во второй половине игры.
  • flagbin — второй бинарный сервис, решенный лишь одной командой "v3rb0s1ty" на последних минутах игрового времени. Для его решения было необходимо найти в скомпилированном коде path traversal, после чего аккуратно прочитать флаги из оперативной памяти процесса, используя ее отображение на файловую систему в procfs.
  • crmka — :(. Сервис оказался не по зубам участникам. Решение сервиса предполагало объединение сразу двух уязвимостей — auth bypass + RCE via dynamic import. Единственный флаг, сданный командой "daywawe.", был получен в результате фишинга соперников, а не решением самого сервиса.

 

Тройка лидеров выглядит следующим образом:

🥇"v3rb0s1ty", Такин Роман, Карпов Семен, Черных Данила, Белоусов Николай, Павлючков Константин.
🥈"daywawe.", Галеев Исмаиль, Гуленок Тимофей, Васильев Алексей, Румянцев Артем, Сорокин Тимофей, Старчак Илья, Коротков Михаил, Филатов Глеб, Дударева Дарья, Калита Георгий, Огарева Анна, Белозеров Иван.
🥉"Блаблабла", Маляр Матвей, Лобачев Александр, Ковалева Варвара, Кириченко Семен, Буцких Всеволод, Смолева Наталия, Шемяков Евгений, Чернышов Арсений.

 

Выводы сделаны, опыт получен. Всем спасибо за игру!

Лаборатория «Поиск и анализ киберугроз»

04 июля 2025 г.

Научно-образовательная лаборатория создается на базе МИФИ в партнерстве с компанией BI.ZONE. Новое подразделение ИИКС будет поддерживать молодых преподавателей и начинающих исследователей из студенческой среды. Сотрудниками лаборатории станут выпускники и действующие преподаватели кафедры, которые имеют опыт в кибербезе, в частности, в BI.ZONE.

Работа лаборатории «Поиск и анализ киберугроз» со студентами будет нацелена на:
— исследовательские работы студентов магистратуры и старших курсов бакалавриата
— поддержку и развитие CTF-движения в МИФИ

О концепции и появлении идеи открытия лаборатории рассказали Поляков Алексей, руководитель отдела образовательных решений в BI.ZONE, эксперт по компьютерной криминалистике, преподаватель кафедры 42, и Блинников Павел, руководитель группы исследования уязвимостей в BI.ZONE, капитан CTF-команды SPRUSH:

“Лаборатория «Поиск и анализ киберугроз» — место, где твое искреннее увлечение кибербезопасностью может перерасти в исследовательскую работу. Даже выбрав конкретный аспект кибербеза, здесь у студента будет доступ к молодым экспертам из разных областей знаний”, — Алексей Поляков.

“Идея создания такой лаборатории появилась коллективно. Два года проведения CTF-кружка в НИЯУ МИФИ привели к мысли, что хотелось предоставить возможность студентам получить не только соревновательные знания, но и попробовать себя в исследованиях, востребованных в кибербезопасности”, — Павел Блинников.

 

Предложен новый протокол против атак навязывания

25 июня 2025 г.

Преподаватель кафедры Иван Сергеевич Сущев предложил теоретически стойкий протокол квантового распределения ключей. Результаты опубликованы в журнале APL Quantum.

➊ В отличие от традиционных решений, в протоколе используется бесконечное множество базисов для кодирования квантовых состояний
➋ Вероятность правильного измерения квантового состояния отлична от 0 даже при несовпадающих базисах, что существенно затрудняет проведение атак навязывания

Дополнительным преимуществом нового протокола является отсутствие необходимости постоянной калибровки взаимной ориентации базисов, что особенно полезно при его использовании в космических системах КРК, где передатчики и приемники постоянно меняют своё положение относительно друг друга. Протокол также перспективен для массовых систем передачи ключей, где требуются простота, низкая стоимость и масштабируемость решения.

МИФИ и Сириус: продолжается развитие сотрудничества

21 мая 2025 г.

Уже традиционно наши преподаватели проводят недельные интенсивы для магистров Научного центра Информационных технологий и искусственного интеллекта Научно-исследовательского университета «Сириус» на базе Диджитал Центра НИЯУ МИФИ - Госкорпорации «Росатом».

Сегодня подошла к завершению образовательная программа «Основы безопасности при разработке и внедрении программного обеспечения» под руководством ассистента кафедры Марка Карапетьянца.