Jak wygrać CTFa na konferencji DEF CON? – relacja Wiktora Sędkowskiego

Wiktor Sędkowski – którego możecie znać jako współautora naszych książek i prelegenta na konferencjach, a na codzień pracujący senior pensterer master blaster car destroyer w firmie Auxilium Pentest Labs, wraz z zespołem wygrał zawody CTF, zostając najlepszą drużyną na świecie podczas konferencji DEF CON. Zapraszamy do przeczytania jego relacji z tego wydarzenia.

DEF CON to jedna z największych i najbardziej rozpoznawalnych konferencji poświęconych hakowaniu i cyberbezpieczeństwu na świecie. Gdy w 1993 roku 18-letni Jeff Moss organizował spotkanie dla członków grupy FidoNet, które przerodziło się w konwent dla około 100 osób, pewnie nie zdawał sobie sprawy że z biegiem czasu przekształci się ono w globalne spotkanie hakerskie, na którym co roku pojawiają się dziesiątki tysięcy entuzjastów. 

31 i 32 lata później miałem okazję uczestniczyć w tej imprezie. Niestety ani rok temu ani w tym roku nie byłem w stanie cieszyć się w pełni z rozbudowanego programu wykładów, warsztatów, konkursów i wiosek tematycznych podejmujących aktualne i przyszłościowe problemy cyberbezpieczeństwa. Na szczęście prelekcje są nagrywane i udostępniane przez organizatorów po kilku tygodniach.  Wśród istotnych tematów dominują zagadnienia związane z obroną przed zaawansowanymi atakami AI, kryptografią odporną na komputery kwantowe, a także bezpieczeństwem oprogramowania open-source.

Po co jechać do Las Vegas na DEF CON skoro nie wybiera się ani na warsztaty, ani prelekcje? Chociażby po to aby wystartować w CTFie! W zeszłym roku wraz z przyjaciółmi z Auxilium Pentest Labs zajęliśmy trzecie miejsce w jednym z największych konkursów dla hakerów branży automotive. W tym roku postanowiliśmy ponownie spróbować swoich sił w konkursie organizowanym przez Car Hacking Village.

Car Hacking Village to strefa poświęcona bezpieczeństwu pojazdów i ich systemów elektronicznych. W 2025 roku Car Hacking Village skupiła uwagę na praktycznych wyzwaniach związanych z zabezpieczeniem nowoczesnych samochodów elektrycznych i dostawczych, m.in. modeli Rivian R1T i EDV. W kontrolowanej, bezpiecznej rywalizacji zespoły hakerów próbowały znaleźć i wykorzystać słabości oprogramowania pojazdów, wykonując zadania w formacie Capture The Flag (CTF), gdzie wyzwaniem było włamanie się do systemów, odblokowywanie drzwi, manipulacja sensorami oraz analiza wewnętrznych danych auta. Cele tych działań były naprawdę różne, część z nich do złudzenia przypominała prowadzenie testów penetracyjnych. Inne miały charakter typowo CTFowy. Wszystkie w pewien sposób pozwalały na rozwinięcie umiejętności uczestników konkursu, co moim zdaniem jest główną zaletą tego typu eventów.

Trzydniowy event składał się zarówno z zadań bardzo prostych, takich jak ekstrakcja flag ukrytych w kodzie QR pliku PNG, ukrytego w binarce z firmware, jak i ekstremalnie złożonych – otwarcie samochodu wymagające złamania wielowarstwowych systemów zabezpieczeń. Było bardzo dużo reversingu i sporo pracy z typowym dla obszaru automotive protokołem UDS. Jedno z zadań wymagało też złamania sposobu generowania kluczy RF, którego nie sposób było dokonać bez HackRFa lub innego narzędzia pozwalającego na zebranie potrzebnych danych z udostępnionego przez organizatorów keyfoba.

Rozwiązaliśmy wszystkie zadania, z czego 3 ostatnie rzutem na taśmę w ostatnich godzinach trwania zawodów. 

O zwycięstwie zadecydowały nie tylko umiejętności ale też odrobina szczęścia, byliśmy po prostu szybsi w kilku kluczowych zadaniach, przez co zdobyliśmy większą ilość punktów przyznawanych za tzw. first blood (drużyny które rozwiązały zadanie jako pierwsze, dostały dodatkowy punkt).

Udział w konkursach Capture The Flag (CTF) to doskonała okazja, by w praktyce sprawdzić swoje umiejętności z zakresu cyberbezpieczeństwa, poznać najnowsze techniki ataków i obrony oraz rozwinąć kreatywne podejście do rozwiązywania złożonych problemów. To właśnie CTFy integrują środowisko hakerów, ekspertów i pasjonatów, tworząc przestrzeń do nauki. Niezależnie od poziomu wiedzy naprawdę zachęcam was do brania udziału w takich konkursach, np. wczoraj odbyło się takie szkolenie Gynvaela Coldwinda, współzałożyciela i pierwszego kapitana historycznie jednej z najlepszych drużyn CTF-owych na świecie – Jak wygrywać CTFy 2.0. Gdybym miał szansę posłuchać rad Gynvaela wcześniej to wygralibyśmy dwa razy! ;)

~Wiktor Sędkowski

Wiktorowi jak i całej drużynie gratulujemy zwycięstwa i pasji do tego co robi i życzymy dalszych sukcesów :-)