Sukcesy Polaków
Poland Can Into Space w trakcie turnieju Hack-A-Sat (fot. arch. prywatne)
Poland Can Into Space w trakcie turnieju Hack-A-Sat (fot. arch. prywatne)

KTO:

  • Michał Kowalczyk, 26 lat, pracuje w Invisible Things Lab
  • Mateusz Szymaniec, 29 lat, pracuje w CERT Polska
  • Adam Zabrocki, 35 lat, pracuje w NVIDIA (wcześniej m.in. Microsoft i CERN)
  • Jarosław Jedynak, 26 lat, pracuje w CERT Polska
  • Adam Kliś, 21 lat, pracuje w CERT Polska
  • Robert Tomkowski, 28 lat, pracuje w HackingDept
  • Michał Praszmo, 23 lata, pracuje w CERT Polska
  • Adam Iwaniuk, 30 lat, pracuje w Sumo Logic
  • Tomasz Bukowski, 35 lat, pracuje w Standard Chartered
  • Agnieszka Bielec, 26 lat, pracuje w Google
  • Grzegorz Gajoch, 26 lat, pracuje w KP Labs/AGH
  • Adam Krasuski, 24 lata, pracuje w Google
  • Piotr Krysiuk, 47 lat pracuje w Broadcom (wcześniej m.in. Symantec i CERN)
  • Bartosz Stebel, 26 lat, student na wydziale MIM UW
  • Borys Popławski, 28 lat, pracuje w Invisible Things Lab
  • Mateusz Paczyński, 28 lat, pracuje w SII/Nokia

OSIĄGNIĘCIA:

4. miejsce na finałach HITCON CTF 2019, Tajpej, Tajwan; 2. miejsce w kwalifikacjach do Google Capture The Flag 2019; 1. miejsce w kwalifikacjach do 0CTF/TCTF 2019 z finałami w Szanghaju; 3. miejsce na hxp 36C3 CTF, Lipsk, Niemcy (2019); 1. miejsce na HITCON CTF 2018 (online); 1. miejsce na finałach 0CTF/TCTF 2018 w Shenzhen, Chiny; 3. miejsce na 34C3 CTF, Lipsk, Niemcy (2017); 2. miejsce na 33C3 CTF, Hamburg, Niemcy (2016); 3. miejsce na finałach 0CTF 2016, Szanghaj, Chiny; 2. miejsce na 32C3 CTF, Hamburg, Niemcy (2015); 1. miejsce na Hack.lu CTF 2015 (online); 1. miejsce na Hack.lu CTF 2014 (online); 3. miejsce na 31C3 CTF, Hamburg, Niemcy (2014); 2. miejsce na HITCON CTF 2014 (online); 3. miejsce na finałach DEF CON CTF 2014, Las Vegas, USA; 1. miejsce na PHD CTF Finals 2014, Moskwa, Rosja

Polska drużyna składała się z dwóch ekip: Dragon sector i p4 (fot. arch. prywatne)

To trochę jak gra albo scenariusz filmu z lat 80. Siedzisz we własnym domu, przed osobistym komputerem i... próbujesz odzyskać kontrolę nad satelitą przejętym przez wrogiego hakera. Szukasz błędów, małych drzwiczek, które pozwolą ci wchodzić coraz dalej w system, aż wreszcie krok po kroku przemieszczający się kilkaset kilometrów nad twoją głową niewielki Cube Sat zacznie wykonywać twoje polecenia. Aby uniknąć ewentualnej katastrofy, Siły Powietrzne USA zdecydowały, że hakowane satelity będą się znajdowały na specjalnej karuzeli symulującej ruch obrotowy Ziemi i dającej wrażenie, że całość odbywa się w kosmosie.

- I nie siedzieliśmy we własnych domach, tylko w wynajętym na potrzeby zawodów mieszkaniu. Potrzebowaliśmy miejsca wspólnego. Bo chociaż każdy z nas miał inne zadanie do wykonania i teoretycznie, a nawet pewnie praktycznie, byłby w stanie wykonać je, będąc w pojedynkę, razem jest po prostu fajniej - mówi Michał Kowalczyk ze zwycięskiej ekipy Poland Can Into Space.

Wysłać Polskę w kosmos

Jak duża jest ekipa? Jakkolwiek dziwnie to może brzmieć - to trudno jednoznacznie ocenić. Składa się z dwóch regularnie startujących w zawodach z zakresu bezpieczeństwa teleinformatycznego drużyn p4 i Dragon Sector. Oraz kilkorga zaproszonych gości. Dlatego, gdy proszę Michała i Mateusza o wymienienie tych, którzy brali udział w Hack-A-Sat, będącym częścią wielkiej, corocznej konferencji poświęconej bezpieczeństwu cybernetycznemu DEF CON, wahają się.

- Eliminacje odbywały się w lutym, same zawody w sierpniu. Przez cały ten proces przewinęło się kilkanaście, może dwadzieścia osób. Niektórzy wykonali jedno zadanie, inni więcej. Każdy zrobił to, co mógł, chciał i potrafił. Nikt nie kontrolował, kto z naszych teamów bierze udział w zawodach, nie było żadnej sztywnej listy obecności, bo nie ona w tym wszystkim jest najważniejsza - twierdzą.

Polskiej drużynie jako jedynej udało się wykonać zdjęcie Księżyca (fot. arch. prywatne)

Najpierw ekipa musiała rozwiązać kilkadziesiąt zadań z zakresu bezpieczeństwa teleinformatycznego i samych technologii satelitarnych. O to, kto zrobi to najlepiej i w jak najkrótszym czasie, rywalizowało ponad 1200 zespołów z całego świata. W turnieju CTF (Capture The Flag) musieli zdobyć ukryte informacje. Każda taka informacja skutkuje kolejnymi punktami, a im więcej ich zdobędą, tym większą przewagę będą mieli nad konkurentami. Dopiero poprawne przejście tej części dało Polakom wstęp do finałowej ósemki. I wtedy się zaczęło.

- Kolejna część związana była bezpośrednio z satelitami. Zaledwie dwie osoby z grupy mają praktykę w systemach satelitarnych, większość zetknęła się z nimi po raz pierwszy. Musieliśmy się wszystkiego nauczyć metodą prób i błędów - tłumaczą.

Organizujące turniej Siły Powietrzne Stanów Zjednoczonych uznały, że każda z ośmiu finałowych drużyn powinna otrzymać kompletnego, testowego Cube Sata, czyli miniaturowego satelitę w kształcie kostki. Miało to pozwolić zapoznać się z oprogramowaniem i metodami pracy z systemami satelitarnymi. Był tylko jeden warunek: w związku z tym, że zawody organizowało wojsko, w dodatku dotyczyły bezpośrednio bezpieczeństwa narodowego, Cube Sata mógł otrzymać tylko ktoś mogący się wylegitymować amerykańskim dowodem, a przynajmniej tzw. zieloną kartą, czyli dokumentem umożliwiającym stały pobyt i pracę na terenie USA.

Ze względu na pandemię turniej odbywał się w środowisku wirtualnym (fot. arch. prywatne)

Satelita na benzynę

Polacy znaleźli kogoś takiego. Na szczęście do teamu dołączył mieszkający w USA Adam Zabrocki, który nie tylko przyjął paczkę z testowym satelitą, dbał by Cube Sat działał prawidłowo, ale też brał aktywny udział w całym turnieju.

Dzięki niemu wojskowy Cube Sat zamiast do Warszawy pojechał na Long Island w stanie Nowy Jork. W końcu skoro wszystko i tak polegało na pracy zdalnej, fizyczna bliskość satelity nie była do niczego potrzebna. To było mądre rozwiązanie. Tym bardziej gdy weźmiemy pod uwagę, że konkurencyjna drużyna z Niemiec zdecydowała, że chce mieć swojego testowego satelitę pod ręką i poprosiła o przesłanie go do Niemiec. Niestety, paczka zaginęła w trakcie transportu, przez co ekipa miała masę problemów. Poland Can Into Space było na wygranej pozycji. Do czasu, aż planów nie pokrzyżował żywioł, którego nie da się okiełznać nie tylko zdalnie, ale też w żaden inny sposób.

Zaledwie trzy dni przed rozpoczęciem turnieju we wschodnie wybrzeże USA uderzył Izajasz, tropikalna burza, która najpierw pozbawiła prądu Wirginię i Maryland, a następnie na dobę unieruchomiła Nowy Jork. Nie było nie tylko prądu, lecz także Internetu. A czas gonił.

Wymagającego zasilania Cube Sata udało się uruchomić dzięki tradycyjnemu generatorowi prądu, który działał na benzynę. Ale co z tego, że sam satelita działał, skoro nie było jak się z nim połączyć? Zewnętrzny router dostawcy Internetu był martwy i niewiele brakowało, by cała kosmiczna operacja rozbiła się o całkiem przyziemne sprawy. Wówczas z pomocą ekipie przyszedł przypadek.

- Okazało się, że część infrastruktury operatora Internetu, który doprowadzał światłowód do domu, jest zlokalizowana blisko naszego generatora. Z ciekawości podłączyliśmy jeden z routerów do generatora i okazało się, że odzyskaliśmy dostęp do sieci. I tak nasz niewyszukany technicznie generator prądu napędzał nie tylko satelitę, ale i część urządzeń operatora Internetu - opowiadają.

Cube Sat (fot. Adam Zabrocki)

To jednak nie był koniec problemów. Przede wszystkim otrzymany satelita miał szczątkową dokumentację. A po pewnym czasie okazało się, że w ogóle nie ma dokumentacji, bo ta przesłana należała do innego urządzenia. Wszystko udało się wyjaśnić na kilka dni przed zawodami, gdy organizator przysłał nowe oprogramowanie, które należało wgrać do satelity.

- Kłopot w tym, że kiedy to zrobiliśmy, satelita przestał się w ogóle komunikować z nami. Zanim wrócił do normalnego funkcjonowania, musieliśmy zaktualizować pozostałe podsystemy i zmierzyć się z całą masą problemów. Spędziliśmy parę godzin na aktualizacji programowalnego układu logicznego FPGA, bieganiu z miernikiem i kolejnych restartach. Naprawdę zwątpiliśmy już we wszystko, gdy okazało się, że problem leży w zupełnie innym miejscu i daje się całkiem łatwo rozwiązać. Po prostu PIN-y odpowiadające za odbieranie i przesyłanie danych były zamienione miejscami i wystarczyło poprzekładać kabelki - wyjaśnia ekipa.

Zwycięzca zgarnia prawie wszystko

Sam turniej trwał niemal dwie doby. Jego częścią było pokierowanie prawdziwym satelitą w taki sposób, by wykonał zdjęcie Księżyca pod określonym przez organizatorów kątem. W tej kategorii Polacy okazali się bezkonkurencyjni i przygotowali najdokładniejszy plan. Na tyle dobry, że tylko ich koncepcja została zrealizowana i teraz ekipa Poland Can Into Space może pochwalić się własnym zdjęciem Księżyca wykonanym przez amerykańskiego satelitę wedle ich komendy. Poza zdjęciem i niewątpliwym prestiżem mogą też cieszyć się z 45 tysięcy dolarów nagrody. Na co zamierzają ją przeznaczyć?

- To wciąż sprawa otwarta. Pewnie na jakieś wspólne przedsięwzięcie, może wynajęcie domu na jakiś kolejny turniej albo, jeśli świat wróci do normy, na wyjazd - zastanawiają się i dodają, że ze względu na to, że lista uczestników danej rozgrywki nigdy nie jest precyzyjna, jak również nikt nie sprawdza, kto ile zrobił, nie widzą sensu dzielenia wygranej na poszczególnych uczestników.

- Hack-A-Sat nie jest naszym pierwszym turniejem, w którym stanęliśmy na pudle. W czasach przed pandemią braliśmy udział w zawodach CTF średnio raz na trzy, cztery tygodnie, a raz na półtora miesiąca lataliśmy na zagraniczne finały. Startowaliśmy w finałach w Szwajcarii, we Francji i w Rumunii, w Wielkiej Brytanii, Szwecji, Niemczech, Zjednoczonych Emiratach Arabskich, Rosji, USA, a nawet w Chinach, na Tajwanie, w Korei Południowej, Japonii i Wietnamie. Sporo się tego nazbierało i nie zamierzamy na tym poprzestać, bo to z jednej strony świetna zabawa, a z drugiej jeszcze lepsza nauka - wyjaśniają.

Finałowa ekipa liczyła kilkanaście osób (fot. arch. prywatne)

Bo choć same opisy turniejów mogą kojarzyć się z rozbudowanymi grami komputerowymi, ich celem wcale nie jest gra, ale bezpieczeństwo. A konkretnie cyberbezpieczeństwo.

Wielu członków ekipy jest lub było związanych z CERT Polska, czyli powołanym w latach 90. ubiegłego wieku zespołem ds. szybkiego reagowania na zdarzenia naruszające bezpieczeństwo w sieci. CERT jest częścią Naukowej i Akademickiej Sieci Komputerowej, czyli NASK.

- Szukamy luk w systemie, bramek, przez które może przedostać się groźne oprogramowanie, którego celem jest przejęcie danych lub zawładnięcie systemem. W Polsce wciąż jest bardzo niewielu specjalistów od cyberbezpieczeństwa, chociaż sam rynek się rozrasta i nawet gdyby było nas dziesięć razy tylu, co teraz, wciąż każdy miałby co robić - przekonują.

Turnieje to po prostu trening ich umiejętności. Nie muszą zaskarbiać sobie uwagi ewentualnych pracodawców i zdobywać kolejnych punkcików do życiorysu. Każdy z nich jest poszukiwanym specjalistą, który ze znalezieniem ciekawej pracy nie ma najmniejszego problemu.

Co trzeba zrobić, by dołączyć do takiego grona?

- Dopiero niedawno pojawiły się pierwsze kierunki studiów dotyczące cyberbezpieczeństwa. My jesteśmy samoukami, większość z nas nie ma nawet tytułu magistra, bo często kończyliśmy kształcenie systemowe po licencjacie. Oczywiście studia informatyczne bardzo się przydają, są dobrą podstawą do zajęcia się cyberbezpieczeństwem, ale ważniejsze jest coś innego: skłonność do łamigłówek, do zadań wymagających nieszablonowego myślenia. Każdy z nas właśnie od tego zaczynał. Później były strony z zadaniami dla młodych hakerów, wreszcie pierwsze turnieje i coraz wyższe noty końcowe. Aż zabawa zmieniła się w pracę. W sumie fajnie, bo nie ma to jak zawodowo zajmować się czymś, co traktuje się jak frajdę.

Ewelina Zambrzycka-Kościelnicka. Dziennikarka i redaktorka zajmująca się głównie tematyką popularnonaukową. Związana m.in z Życiem Warszawy i Weekend.Gazeta.pl oraz z Magazynem Wirtualnej Polski.