Новости

Что случается дважды в год начиная с 3 курса? Защиты студенческих научно-исследовательских работ!

В зимнюю сессию была представлена без малого сотня научно-исследовательских работ (НИР). Для студентов 3 курса бакалавриата и первого года магистратуры это была первая НИР, для других студентов – уже третья.

Первая НИР – исследование предметной области, моделирование объектов и процессов, первые шаги к разработке собственного решения. Сложность стартовой НИР в том, что исследователю необходимо определить для себя область интересов, выбрать научного руководителя и под его руководством составить технологическую дорожную карту реализации выпускной квалификационной работы, которая станет итогом выполнения всех четырех семестровых НИР.

Два десятка руководителей, преподавателей кафедры, а также специалистов из организаций-партнеров, предлагают ребятам интересные тематики и помогают выполнять исследования. Как и ранее, по общему количеству студенческих работ под руководством лидер с существенным отрывом – Евгений Александрович Басыня (научная школа «Сетевой информационной безопасности»).

Не имея возможности перечислять все тематики работ, комиссия отмечает их актуальность и широчайший спектр, включающий, в частности, НИР, посвященные:

·       сетевой информационной безопасности, оверлейным технологиям;

·       комплексной методологии DevSecOps;

·       системам хранения данных банковских карт;

·       программно-аппаратным комплексам для проведения киберучений;

·       проблемам, связанным с безопасностью ОС Android и Windows, в том числе, методам противодействия обходу встроенных механизмов безопасности и тестированию эффективности средств безопасности;

·       анализу безопасности приложений, использующих большие языковые модели;

·       стеганографическим методам сокрытия информации в графических и аудиофайлах;

·       выявлению атак в облачной инфраструктуре на основе анализа графа атаки;

·       схемам шифрования и алгоритмам, устойчивым к постквантовым угрозам;

·       оценке криптографической стойкости ключей, детекции речевых дипфейков при биометрической аутентификации;

·       методам обеспечения информационной безопасности IoT- и IIoT-устройств в корпоративных и индустриальных сетях;

·       выявлению фишинговых ресурсов с использованием методов машинного обучения;

·       проектированию механизма фаззинг-тестирования криптографических библиотек.

Многие НИР связаны с разработкой программных решений.

Большинство работ были защищены успешно, в основном – на «хорошо» и «отлично». Среднее время защиты составило 19 мин, среднее количество слайдов в презентации – 14. Средний объем  отчетов – 50-60 стр., максимальный – свыше 100 стр.: это интересные работы магистрантов второго года Анастасии Колпаковой «Распределенная система безопасного удаленного сетевого доступа» и Владислава Сапегина «Метод обнаружения виртуальных защищенных каналов связи в условиях маскировки сетевого трафика». Мы рассчитываем на дальнейшее развитие лучших магистерских работ до кандидатских и докторских диссертаций.

Желаем всем исследователям увлеченности и вдохновения и в новом семестре. Не забываем изучать учебно-методические материалы и следовать рекомендациям в системе управления научными и инновационными проектами InnoFlow. В свою очередь, ждем качественные и интересные работы, а от тех, у кого эта НИР будет четвертой – превосходных ВКР, венчающих столь продолжительный и масштабный труд!

 

1 марта в день тотального отсутствия интернета в МИФИ состоялась очная шестичасовая CTF-тренировка в формате Attack-Defense для мифистов, студентов московских вузов и не только. Авторами сервисов выступила университетская команда dtl и команда лицеистов из Предуниверситариев МИФИ Pudge Fun Club.

 

Расскажем более подробно о происходившем в сюжете: всей инфраструктурой героически занимался Алексей Тарасов, участник команды dtl и студент 3 курса. В 10:43 от главного разработчика соревнования поступило сообщение "Я, кажется, не успеваю всё поднять ко времени", также через мгновение было сделано сенсационное заявление "По крайней мере с технической стороны сюрпризов не ожидается". 

 

Сюрпризов действительно не было, была неожиданность в виде непредсказуемого поведения борды, которая в процессе была сведена на нет правильной настройкой ядра. 

 

Теперь о сервисах, которые предлагались участникам:

 

Сервисы от команды Pudge Fun Club

 

• file storage — самый небольшой и простой сервис, который у многих команд лежал большую часть игры. Вблизи напоминал дырявый дуршлаг, содержал очень много уязвимостей, которые и позволяли класть сервис соперникам;
• shpagodrach — несложный, но хороший сервис на языке C, включающий в себя несколько pwn уязвимостей. Оказался вскрыт вторым и довольно быстро, быстрее, чем ожидалось. Из интересного — в сервисе была никак не использующаяся картинка с бананом, которую, однако, нельзя было удалять, иначе весь сервис бы схлопнулся;
• magazinchik — большой бинарный сервис на языке C++, в который была встроена собственная реализация http-сервера. Кстати, во время разработки именно на этот сервис ушло больше всего времени на проверку, правки и исправления. В игре сервис вскрыли довольно быстро, так как он содержал несколько (как минимум две) незапланированные уязвимости. Далее почти все время сервис находился в статусе CORRUPT, так как через найденные уязвимости игроки удаляли флаги друг у друга;

 

Сервисы от команды dtl

 

• rce as a service — сервис, в котором самым сложным было — начать его решать. Сервис включал в себя код на языке Rust, работающий с WebAssembly, что оказалось новинкой для многих участников. На самом деле, сервис был довольно простым и даже содержал тривиальное незапланированное решение. А именно — доступный извне контейнер с базой данных, в которой хранились пароли. К нему можно было просто подключиться.
• bimba — сервис, ставший самым сложным для участников. Содержал в себе уязвимость нулевого дня в библиотеке для работы с docx файлами на Java, позволяющую читать произвольные файлы из файловой системы. За 10 минут до окончания игрового времени сервис был вскрыт единственной командой, что невероятно осчастливило автора.

 

Всего в тренировке приняло участие 33 команды в онлайн-формате и 14 команд очно на базе Студенческого офиса НИЯУ МИФИ.

На пьедестале оказались команды 1️⃣BinaryBears (МТУСИ), 2️⃣LIT ENERGY (НИУ ВШЭ) и 3️⃣LostAx3s, наши поздравления! Лучшие результаты среди команд МИФИ у Тележки из Ашана (Борис Коротаев, Иван Самсонов) и Rop Runners (Дмитрий Ванин, Федор Луканин).

 

21 января ректор НИЯУ МИФИ Владимир Игоревич Шевченко вручил сотрудникам кафедры ведомственные награды. За значительный вклад в развитие сферы образования и добросовестный труд объявлена благодарность Министерства науки и высшего образования Российской Федерации заведующему кафедрой №42 "Криптология и кибербезопасность" Епишкиной Анне Васильевне и профессору Сергею Владимировичу Запечникову.

Благодарим за вашу бесконечную выдержку, любовь к своему делу, широту взглядов и непоколебимый профессионализм. Большая честь быть с вами!

17 декабря наши друзья из компании BI.ZONE провели третий (четвертый) митап MEPhI CTF, ставший традицией для CTF-комьюнити. Приветствовали гостей директор по стратегии BI.ZONE Евгений Волошин, директор ИИКС Константин Когос и выпускник кафедры, руководитель группы исследования уязвимостей BI.ZONE Павел Блинников.

Главные атрибуты митапа — интересная программа, шикарная атмосфера, вкусная еда (и не только), доклад Павла Блинникова, сделанный ночью, много разных котов в презентации Георгия Кигурадзе, старшего специалиста по безопасности приложений Лаборатории Касперского, «Бинари на AD. Взгляд разработчика и игрока» и Алексей Поляков, руководитель отдела образовательных решений BI.ZONE и старший преподаватель кафедры, в качестве непревзойденного ведущего.

Прямо во время доклада председателя правления АРСИБ Виктора Минина «CTF в России» команда dtl сделала беспрецедентное заявление о своей будущей победе на VIII Кубке CTF России. Теперь редакции остается только с нетерпением ждать старт соревнований!