ECSC 2025. Z czym mierzyła się polska drużyna?

Zawody ECSC 2025 organizowane były przez NASK we współpracy z ENISA oraz pod patronatem Ministerstwa Cyfryzacji. Konkurs był prowadzony w formule CTF (ang. capture the flag) i polegał na wykorzystaniu praktycznych umiejętności w zakresie m.in. cyberbezpieczeństwa, kryptografii czy inżynierii wstecznej oprogramowania. W tym roku Polska gościła przedstawicieli 40 drużyn narodowych, w tym zawodników spoza Europy.

Tegoroczną edycję ECSC wygrały Włochy. Drugie miejsce zajęła reprezentacja Dania, zaś na ostatnim stopniu podium stanęła niemiecka drużyna. Polska zajęła siódme miejsce. „Choć to tylko gra i zawody, to walczcie o bezpieczną przyszłość waszych krajów i naszego świata” - stwierdził wicepremier, minister cyfryzacji Krzysztof Gawkowski na ceremonii zamknięcia wydarzenia. Zapraszamy do zapoznania się z relacją na naszym portalu.

Mieliśmy przyjemność porozmawiać z zawodnikiem oraz trenerem polskiej drużyny na ECSC 2025, którzy przybliżyli nam tematykę wydarzenia.

Polska drużyna na ECSC 2025

Oskar Klimczuk, CyberDefence24: Czym jest konkurs CTF? Jak on wygląda z Waszej perspektywy?

Członek polskiego zespołu na ECSC 2025: Generalnie polega na szeroko pojętym hakowaniu, przy czym tutaj głównie rozumiemy przez to cyberbezpieczeństwo oraz umiejętności komputerowe. Mowa tutaj o rozumieniu pojęcia „haker” w ramach kultury, która wyodrębniła się w latach 80-tych, 90-tych.

Z naszej perspektywy jest to głównie ćwiczenie umiejętności i zdobywanie nowej wiedzy zarówno z zakresu cyberbezpieczeństwa jak i innych gałęzi IT.

Jakie kategorie zadań były obecne podczas tego konkursu?

Polski zawodnik: W części jeopardy, polegającej na rozwiązywaniu zadań, mieliśmy kilka kategorii. Wśród nich była m.in. inżynieria wsteczna (reverse engineering) oraz pwn-y (eksploitacja binarna), czyli nadużywanie błędów w niskopoziomowych programach, aby wykonać dowolny kod. Oprócz tego mierzyliśmy się z zadaniami z zakresu kryptografii, webem (hakowaniem aplikacji webowych), steganografii (znajdowanie ukrytych informacji – przyp. red.), hardware (fizyczny sprzęt) oraz miscellaneous, czyli niepasujące do innych kategorii.

Zaskoczenia, wyzwania, uczucia

Jakie były największe zaskoczenia i wyzwania podczas konkursu?

Polski zawodnik: Na pewno to, że były trzy zadania ze steganografii – kategorii, która przeważnie rzadko pojawia się na CTF-ach, bo nie jest tak blisko powiązana z cyberbezpieczeństwem i IT. Jednocześnie dużo naszych zawodników było nastawionych na zadania webowe, których było bardzo mało.

Co czujecie, gdy zdobywacie flagę, szczególnie na tak prestiżowym konkursie?

Polski zawodnik: Są zadania, przy których czuje się radość, że znalazło się mądre rozwiązanie. Inne trzeba „po prostu zrobić”, trochę „na tempo”. Czasami z niektórymi zadaniami można męczyć się przez kilka godzin – a wtedy, po rozwiązaniu, można poczuć ulgę zamiast radości.

W przypadku ECSC 2025 zadania były dobrze przygotowane, także czuliśmy przede wszystkim radość.

Kamil Nieradkiewicz, trener polskiej drużyny: Drugi dzień zawodów był w formule attack-defense – to totalnie inny tryb rozgrywki, inne emocje. Nie znajdujemy tam flag per se, tylko rzeczywiście znajdujemy określoną podatność, uzbrajamy ją w exploit oraz testujemy ją. Następnie automatyzujemy proces w taki sposób, aby „wypuszczać” ją co minutę na pozostałe z 40 zespołów.

Pozostaje również aspekt obrony. Jak już wiemy, gdzie jest błąd, to równolegle można próbować go uzbroić w exploit i pisać patche (łatki – przyp. red.), aby inni nas w tej sposób nie atakowali.

Rozumiem, że te podatności można spotkać w prawdziwych i działających urządzeniach?

K.N: Generalnie tak, chociaż te podatności są zaawansowaną klasą błędów. To nie są takie najprostsze błędy jak widzimy w aplikacjach webowych, np. z panelem logowania albo z bazą danych.

Attack-defense to niskopoziomowe, bardzo poważne podatności. Zdarzają się w oprogramowaniu produkcyjnym, którego używamy na co dzień. Takich błędów jest wiele, tylko znajdowanie ich jest bardzo trudne.

Nie wszystkie z tych błędów w świecie rzeczywistym da się też wykorzystać. Później na attack-defense każdy taki błąd, który jest zaprojektowany pod to, żeby został wykorzystany, jednocześnie ma być trudny, ale możliwy do znalezienia oraz użycia.

Kwalifikacje do ECSC

Jak z Waszej perspektywy wygląda proces kwalifikacji? Jak ciężko było się tu dostać na tą arenę?

Polski zawodnik: Każdy kraj organizuje swój własny proces i ma swoją własną formułę wybierania graczy. W Polsce jest to jeden konkurs CTF trwający 48 godzin, zazwyczaj na początku wakacji. Pięciu najlepszych seniorów (21-25 lat) oraz juniorów (14-20 lat) kwalifikuje się dalej. Konkurencja jest duża, szczególnie w seniorach.

K.N: Kwalifikacje do polskiej reprezentacji co roku są otwarte. Każdy, kto się mieści w przedziale wiekowym, może wziąć w nich udział, bez żadnych wcześniejszych ustaleń, zapisów, pozwoleń itd.

W tym roku postawiliśmy na trochę prostsze zadania na kwalifikacjach, głównie po to, żeby zachęcić nowe osoby, aby mogły rozwiązać chociaż kilka zadań, nauczyć się czegoś nowego oraz mieć trochę frajdy z samego podejścia do takich zawodów.

Mieliśmy około 170 graczy, którzy rozwiązali jakieś zadanie. Nie jest to mało. Walka o wejście do TOP5 w seniorach trwała do ostatnich godzin. Widzieliśmy na kwalifikacjach rok czy dwa lata temu, że ludzie 15 minut przed końcem czasu wbijali flagę z zadania, którego prawie nikt nie zrobił i gwarantowali sobie dzięki temu zaproszenie do reprezentacji.

Warto jeszcze dodać, że wszystkie zadania z poprzednich edycji są publiczne. Można sobie je przejrzeć czy poćwiczyć na stronie hack.cert.pl. Zadania ze wszystkich kwalifikacji do ECSC są cały czas dostępne, można próbować je rozwiązywać dla własnej satysfakcji.

A jeżeli ktoś chce zobaczyć, co musiała przejść nasza drużyna, żeby być tutaj dziś, może wejść na hack.cert.pl - są tam zadania z kwalifikacji do ECSC 2025.

Czego uczą CTF-y?

Dlaczego warto grać w CTF-y, nawet na podstawowym poziomie?

K.N: Według mnie CTF-y uczą bardzo dobrze i intensywnie prototypowania rozwiązań i mierzenia się z problemami, których wcześniej nie spotkaliśmy. Zadania na CTF-ach - jeżeli konkurs jest dobrze przygotowany, techniczny, merytoryczny - powinny być unikalne.

Bardzo często to są problemy do rozwiązania, których wcześniej nigdy w życiu nie zobaczyliśmy. Czasami są to trochę mniej znane systemy czy procesory. Przykładowo - mamy trzy godziny, żeby zapoznać się z nową architekturą, oprogramowaniem, językiem Assemblera (programowanie niskopoziomowe – przyp. red.) czy frameworkiem webowym.

Mamy bardzo ograniczony czas, aby przynajmniej w podstawowy sposób zrozumieć jakieś rozwiązanie, którego wcześniej nie widzieliśmy i dopiero w oparciu o tak zbudowany fundament, możemy szukać błędu albo wykorzystać ten błąd, który znaleźliśmy.

Podkreśliłbym bardzo szybką naukę nowych rzeczy i  prototypowanie rozwiązań, które przynajmniej raz mają zadziałać.

Polski zawodnik: Z perspektywy osoby, która w CTF-y gra od 5 lat, konkursy dają naprawdę dużą wiedzę o systemach informatycznych.

To nie jest może coś, co będzie stosować użytkownik komputera na co dzień, a nawet programista, sysadmin, czy devops, ale od czasu do czasu potem pojawiają się problemy, które można rozwiązać dzięki graniu w CTF-y. Mowa tu o błędach w systemie, czy „hakach” do naprawiania różnych rzeczy. Bardzo dużo można z tych CTFów wynieść i czasami zaaplikować w prawdziwych wyzwaniach..

Chciałbym podkreślić jedną rzecz. W zadaniach zawsze jest flaga?

K.N: Konkurs CTF polega na zdobywaniu flagi, czyli odnalezieniu ciągu tekstowego, który ma określony format - zawsze ma określony przedrostek, np. nazwę zawodów. Dzięki temu gracze wiedzą, że mają znaleźć ciąg tekstowy o danym formacie i jak go tylko zobaczą, to wiedzą, że rozwiązali zadanie.

Dziękuję za rozmowę.