Альфа Банк

Правила

Что такое Alfa CTF

Alfa CTF (Capture The Flag) — это соревнование по спортивному хакингу, где вам предстоит решать таски на поиск уязвимостей в системах. За правильные решения вы получаете баллы и узнаёте, насколько круты ваши навыки. Вы решаете задания и находите флаги — специальные строки вроде alfa{ch1LL_R3L4x_gr4B_s0m3_FL4g5}. Каждый сданный флаг приносит очки.

Площадка с заданиями и приёмом ответов — alfactf.ru. Здесь же команды проходят регистрацию. Вход на платформу — через бота в Telegram: t.me/alfactfbot.

Какие задачи будут на соревновании?

  • Web — задания на безопасность веб-приложений: получить доступ к базе сайта, купить дорогой товар без денег, скачать доступный только администратору файл
  • Infra — таски про инфраструктурную безопасность: старые уязвимые версии ПО, небезопасную конфигурацию сервисов, повышение привилегий в системе
  • Crypto — таски на слабости алгоритмов шифрования и плохое их применение: расшифровать без ключа, подделать подпись
  • Reversing — задания на анализ скомпилированного кода: понять алгоритм программы без исходников, обойти проверки в приложении, разобраться в протоколе между приложением и бэкендом
  • Forensics — расследования инцидентов: работа с образами дисков и памяти, форматами файлов, доставание улик из логов и следов деятельности на системе
  • Pwn — низкоуровневые уязвимости в скомпилированных приложениях: переполнения буфера, ошибки при работе с кучей, стеком, перетирание указателей в памяти
  • Network — сетевая безопасность: раскопать дамп пакетов, воспользоваться хитростями сетевых протоколов, обойти ограничения фаервола
  • Misc — остальные таски вразнобой: всё, что требует хакерской смекалки, умения придумать нестандартный ход для достижения нужного эффекта и глубокого понимания работы систем

Расписание

  • Регистрация: до 13 сентября 2025, 10:00 мск
  • Основной этап: с 13 сентября 2025, 12:00 мск до 14 сентября 2025, 18:00 мск (30 часов)
  • Итоги и публикация победителей: до 31 октября 2025, 23:59 мск
  • Важные анонсы — в t.me/alfactf

Кто может участвовать

Любой совершеннолетний участник с полной дееспособностью, действующий от своего имени. Можно участвовать из любой страны.

Кто не может претендовать на призы:

  • текущие сотрудники Альфа-Банка и аффилированных компаний;
  • бывшие сотрудники, работавшие с 1 августа 2025 до объявления победителей;
  • все, кто задействован в организации соревнования (включая авторов заданий) и их близкие родственники.

Перечисленные участники могут играть вне зачёта (без права на приз).

Треки и состав команд

Ждём на Alfa CTF всех желающих, опыт участия в CTF необязателен. Познакомиться с форматом соревнования помогут тизерные таски. Они будут доступны через 2 недели после регистрации, на итоговый рейтинг не повлияют. При регистрации выбирайте подходящий вашим навыкам трек: они отличаются сложностью заданий и призами.

  • IT-трек — для ИТ-специалистов, кроме тех, кто работает в кибербезопасности, разработке ИБ-продуктов или уже 5 раз участвовал в соревнованиях формата CTF. Команда: 1–4 человека.
  • Студенческий трек — для учащихся вузов и колледжей 18–25 лет, кроме обучающихся на группе направлений «10.00.00 Информационная безопасность» и тех, кто уже 5 раз участвовал в соревнованиях формата CTF. Команда: 1–4 человека.
  • CTF-трек — для специалистов по ИБ и опытных CTF-игроков. Размер команды не ограничен. Этот трек открыт для всех, кто готов к сложным заданиям.

Смешанные команды из участников «в зачёте» и «вне зачёта» не получают призы.

Призы

Общий призовой фонд — 3 100 000 ₽. Призы предоставляет Альфа-Банк. Команды с участниками «вне зачёта» не получают денежные призы.

IT‐трек:

1 место — 400 000 ₽
2 место — 350 000 ₽
3 место — 300 000 ₽
Приз делится поровну между участниками команды.

Студенческий трек:

1 место — 350 000 ₽
2 место — 300 000 ₽
3 место — 200 000 ₽
Приз делится поровну между участниками команды.

CTF‐трек:

1 место — 450 000 ₽
2 место — 400 000 ₽
3 место — 350 000 ₽
Приз перечисляется участнику, который создал команду на платформе.

Как получить приз

Приз перечисляется на личный счёт в Альфа‐Банке. Данные владельца счёта должны совпадать с данными участника, указанными при регистрации на платформе. Если счёта нет, его нужно будет открыть в течение 14 дней после объявления результатов и пройти полную идентификацию (это можно сделать дистанционно через ЕСИА/ЕБС). Суммы в правилах указаны после удержания НДФЛ.

Как проходит соревнование

  • Задания (таски) публикуются на платформе партиями в течение соревнования.
  • Вводите найденный флаг на странице задания — платформа сразу засчитает очки.
  • Задания можно решать в любом порядке, а сдать флаг может любой участник команды.
  • Участие происходит онлайн, а также на трёх площадках: в Москве, Санкт‐Петербурге и Екатеринбурге. На очных площадках команды сами приносят ноутбуки, оборудование и отвечают за его работу (интернет, питание и т.п.). Организаторы площадок технику не предоставляют.

Как участвовать офлайн

Офлайн-площадки работают в трёх городах: в Москве, Санкт-Петербурге и Екатеринбурге. Чтобы получить приглашение на площадку, необходимо при регистрации отметить желание участвовать офлайн и указать свой город.

Приглашения рассылаются через бота в Telegram. Когда вам придёт приглашение, подтвердите в боте участие на офлайн-площадке — количество мест ограничено.

Как считают очки и определяют победителей

  • Очки начисляются только во время основного 30‐часового этапа.
  • Оценка заданий динамическая: чем больше команд решило таск, тем меньше очков он стоит для всех команд.
  • При равенстве очков выигрывает команда, которая раньше сдала свой последний флаг.
  • Победителей и призёров определяет платформа и утверждает жюри.

За что могут дисквалифицировать:

  • обмен флагами и решениями с другими командами;
  • кооперация между командами во время основного этапа соревнования;
  • использование помощи людей, не зарегистрированных в составе команды на платформе;
  • нарушение работы инфраструктуры соревнования, нагрузка сервисов большим объёмом трафика, регистрация одним участником нескольких аккаунтов или команд.

Организаторы вправе дисквалифицировать и без объяснения причин.

Контакты

Вопросы — на ctf@alfabank.ru или в чат t.me/alfactf_chat. Важные анонсы — в канале t.me/alfactf.

Задания подготовлены сообществом SPbCTF.