Kas yra CTF ir kaip jį laimėti: pokalbis su Justu Kaminsku

Capture The Flag (CTF) yra kibernetinio saugumo varžybos, kuomet užduotys derinamos su unikaliais, praktiniais iššūkiais. Šių varžybų dalyviai turi pasitelkti tiek techninius įgūdžius, tiek ir domėjimusi kibernetinio saugumo aktualijomis sukauptas žinias. Justas Kaminskas, „NRD Cyber Security“ kibernetinio saugumo inžinierius, dalyvavo daugybėje CTF, o neseniai parsivežė laimėtojo titulą iš „SANS CTF EU“. Pakvietėme Justą pasidalinti kodėl jis nusprendė dalyvauti kibernetinio saugumo varžybose, koks buvo jo kelias ir kas jį motyvuoja tęsti dalyvavimą ir toliau. Taip pat – nuo ko gi pradėti tiems, kas susidomėjo CTF.

Icon
1. Papasakok apie pačią pradžią dalyvavimo CTF – kada buvo pirmosios varžybos, kaip jose atsidūrei, kodėl „užkabino“?

Pradėjau 2019 metais, pirmasis buvo pico CTF, kuris buvo skirtas moksleiviams ar studentams. Tai buvo puikus pasibandymas. Bet pats užduočių sprendimas, narpliojimas man buvo artimas jau tikrai seniai – turiu tarptautinės fizikos olimpiados bronzą. Matau daug panašumų tarp matematikos ar fizikos olimpiadų ir CTF.  Po mokyklos baigimo pasirinkau kibernetinio saugumo sritį kaip profesinį kelią, tad pradėjau labiau domėtis šiomis varžybomis. 2024-aisiais pirmą kartą sudalyvavau gyvame CTF renginyje Estijoje. Vėliau dalyvavimų įvairiose kibernetinio saugumo varžybose vis daugėjo, prasidėjau skinti pergalės. 2025-ais metais Nacionalinis Kibernetinio Saugumo Centras (NKSC) rinko nacionalinę jaunimo komandą varžyboms Varšuvoje ir tapau šios komandos kapitonu. Tokio masto, t. y., tarptautinėse jaunimo varžybose Lietuva apskritai dalyvavo pirmą kartą.

2. CTF tikrai populiarios varžybos, tačiau jose dalyvauti gali ne bet kas. Kokių gebėjimų ir žinių, manai, reikia norint dalyvauti CTF varžybose?

3. Kurios kibernetinio saugumo varžybos tau labiausiai patiko ar įstrigo ir kodėl?

Pats labiausiai patikęs 2024 m. vykęs „Hack the box“, kuomet reikėjo laikui atsakinėti į klausimus, kuriuos „išleisdavo“ kas kelias valandas. Pati paskutinė, 6-oji užduotis buvo pati sudėtingiausia, jau tikrai jautėsi nuovargis. Kažkaip susikaupiau ir  laimėjau. Taip pat „Try hack me“ buvo įsimintinas dėl laimėto prizo – kartu su „NRD Cyber Security“ komanda gavome tryliką Play Station 5.

4. Na gerai, o ko reikia sukurti gerą CTF? Pats esi kūręs šiuos iššūkius „BSides Vilnius“ konferencijai 2025-ais ir 2026-ais

Man asmeniškai patinka realūs scenarijai, pavyzdžiui, kurdamas užduotį „BSides Vilnius“, naudojau 2012 metais realiai vykusį tyrimą. Žmonėms patinka, kai gali ne tik padaryti, bet ir kažką išmokti, paanalizuoti kas ir kaip vyko. Dažniausiai vienos istorijos nėra, CTF tikrai retai jas turi – gaila, nes tai žymiai labiau įtraukia.

5. Kiek laiko trunka užduočių kūrimas?
6. Ar dalyvavimas CTF tave dar kažkaip praturtina?

7. Pakalbėkime apie „SANS CTF EU“. Kas paskatino tave nuspręsti dalyvauti, ir kokias taktikas naudojai, kad laimėtum (žinoma, jeigu gali pasidalinti)?

Apie „SANS CTF EU“ pasidalino NKSC, kurie yra šių varžybų partneriai. Pamatęs ir nusprendžiau sudalyvauti. Paradoksas – šiame konkurse galėjau išvis net nebūti įtrauktas. Vis atidėjau registravimąsi ir kai jau prisiruošiau… nebegalėjau užregistruoti. Nepasidaviau ir trečias bandymas susitarti su organizatoriais buvo sėkmingas, man leido sudalyvauti.

Pačių varžybų metu miego buvo tikrai mažai. Žinojau, kad svarbu ne tik greitis, bet ir neteisingų atsakymų pateikimų skaičius. Visų varžybų metu nebuvau tarp lyderių, bet apsišarvavau kantrybe ir stengiausi, kad kuo mažiau klaidų būtų ir kuo mažiau bandymų. Galų gale šokau per 30-emit vietų į viršų ir tapau laimėtoju. Finale dalyvių liko 300, viso dalyvavo apie 1000 žmonių.

Šiose varžybose buvo įdomus nutikimas, kad vienas dalyvis visa užduotis atliko išskirtinai greitai – per kiek daugiau nei valandą. Čia net su DI pagalba sunkiai įmanoma. Buvo išsiaiškinta, kad jis tiesiog turėjo atsakymus, tad jį galų gale diskvalifikavo.

8. Klausimas apie labai „karštą“ temą - dirbtinį intelektą (DI): kokius iššūkius tiek dalyvavimui kibernetinio saugumo varžybose, tiek užduočių kūrimui atneša DI? Gal yra ir privalumų?

Iššūkių atneša tikrai daug, ypač todėl, kad DI naudojamas užduočių sprendimui. Lengvos tampa dar lengviau išsprendžiamos, sunkesnės – sunkiau, bet irgi tikrai , o jeigu jau neišsprendžia AI, tai jau niekas neišsprendžia. Tad natūraliai kyla dilema – ar čia kibernetinio saugumo žinių ir įgūdžių varžybos, ar kas geriau ir tikslingiau išnaudos DI galimybes. Gyvų CTF organizatoriai bando riboti DI naudojimą, bet online tai padaryti yra labai sudėtinga. Todėl, pavyzdžiui, reflektuojant apie BSides Vilnius konferenciją, su organizacine komanda svarstėme, kad šįkart online vykusį CTF kitąmet darysime gyvai.

Be abejo, DI tampa mūsų kasdienio gyvenimo dalimi tiek darbe, tiek visur kitur, tad CTF irgi neturėtų būti išimtis ir reikia ieškoti būdų kaip šios varžybos turėtų ir galėtų kisti. Tinkamai panaudojus DI, galima lengviau sekti informaciją, pildyti sekas ir nepasimesti. Tai tampa ypač vertinga kai naktys – bemiegės ir galima greičiau susisteminti ir įsisavinti informaciją. Taip pat, svarbus yra ir dirbtinio intelekto kaip pagalbinio vaidmuo – kai jau esi aklavietėje, teisinga užklausa gali užvesti ant kelio kaip išspręsti užduotį.

9. Ką patartum daryti tiems, kam CTF skamba kaip įdomi patirtis? Nuo ko pradėti? Kur ieškoti informacijos?

Na pirmiausia reikia plačiai domėtis kibernetinio saugumo sritimi, pasaulyje vykstančiais kibernetinio saugumo incidentais bei bandyti suprasti kaip jie įvyko, kaip jie tiriami ir sprendžiami. Taip pat tikrai reikia ir techninių įgūdžių bei žinių. Tam galima naudoti įvairias online platformas, pavyzdžiui, pwncollege kur galima išmokti kaip “palaužti” programas.

Antra, reikia bandyti. Verta pradėti nuo paprastesnių varžybų, tie patys SANS ar „picoCTF“ būtų geri pasirinkimai. Jeigu esate dar moksleiviai, NKSC organizuoja maratoną „Cyber Sprint“ (užduotys kas mėnesį), kur galima pasibandyti. Taip pat vyksta CTF savaitgalio ar dienos stovyklos, tokios kaip „Cyber Sprint Bootcamp“.

Priemonių ir būdų yra tikrai daug, tad linkiu pabandyti ir įsitraukti į šias varžybas. Norisi, kad nacionalinė komanda gyvuotų ir stiprėtų ir garsėtume tarptautiniame lygyje!

 

Justo CTF kelias

2024-11 Telia Cyber Battle of Nordic-Baltic 2024 – sudalyvavom finale su komanda, sekėsi so-so, bet pavyko “nunešt” keletą rėmėjų prizų už debiutą
2024-12 HackTheBox, kuriame pavyko laimėti 6-ą iššūkį ir gauti prizą už debiutą
2025-01 SOC Simulator Team Competition
2025-05 LockedShields, DFIR komanda
2025-05 CyberSprint antras etapas, vyko gyvai ir laimėjau pirmą vietą
2025-05 BSides Vilnius 2025 CTF kūrėjas
2025-10 ECSC (European Cyber Security Challenge) komandos kapitonas, sekėsi so-so, bet tai buvo Lietuviškos komandos debiutas
2025-12 Mārtiņa CTF Latvijoje vykusiame https://mctf.datoriki.org/2025/ su komanda užėmėme pirmą vietą
2025-12 Trend Micro Nordic XMAS CTF – laimėjau, čia jų partneriam skirtas CTF buvo
2026-04 LockedShields, DFIR komanda
2026-05 Cybersprint, vėl dalyvausiu bootcampuose, atranka į komandą, galimai
2026-06 BSides  Vilnius 2026 CTF kūrėjas
2026-06 SANS EU CTF laimėtojas

O 2026-ųjų spalį vėl planuoju dalyvauti ECSC Vokietijoje.

 

Kitos naujienos ir istorijos

SOCshare: 2026 m. birželio kibernetinio saugumo apžvalga
SOCshare: 2026 m. birželio kibernetinio saugumo apžvalga
SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje