Lasst die Spiele beginnen: Am heutigen Dienstag startet das 48-stündige „Capture the Flag“-Event der Gruppe FluxFingers auf der Computersicherheitskonferenz Hack.lu. Weltweit werden Teams bei dem Computer Security Hacking Game versuchen, Aufgaben in der Denkweise der IT-Sicherheit zu lösen. Beginn ist Dienstag, 22. Oktober, 12.00 Uhr (deutsche Zeit), und das Ende ist Donnerstag, 24. Oktober, ebenfalls um 12.00 Uhr (deutsche Zeit). Dabei werden Teams lokal in Luxemburg vor Ort sein, jedoch ist es ebenso möglich, online zu partizipieren.
Inspirationen aus dem Studium der IT-Sicherheit
Die FluxFingers, die das offizielle CTF-Team der Ruhr-Universität sind, richten nun schon im zehnten Jahr das Event im Rahmen der Hack.lu aus. Die meisten Mitglieder sind Student*innen der IT-Sicherheit an der Ruhr-Universität, die Spaß am Spiel haben und so die theoretischen Inhalte ihres Studiums auf eine spannende Art praktisch anwenden können. Zwischen 20 und 35 Challenges bereiten die FluxFingers für die Hack.lu in den Wochen vor der Konferenz in Luxemburg vor. Inspirationen dafür erhalten sie auch an der Uni: „Einige meiner Ideen sind aus Inhalten von Vorlesungen entstanden“, erklärt Andre Pawlowski, der schon mehrere CTFs mitgestaltet hat. Aber auch aktuelle Forschungsergebnisse, private Interessen oder schon aufgedeckte Sicherheitslücken liefern Material für die Aufgaben. „Vieles ist aus der echten Welt kopiert, aber für die Challenge vereinfacht, auf das Problem reduziert“, sagt Pawlowski. In diesem Jahr werden Themen aus dem Bereich Crypto, Web Security, Reverse Engineering und Binary Exploitation dabei sein.
Ein Grundwissen der IT-Security ist also von Vorteil. Dabei ist das Event so ausgelegt, dass auch Anfänger*innen Spaß daran haben. „Wir achten darauf, dass für Einsteiger und Profis gleich viele Challenges existieren“, sagt Lukas Knittel, der in den letzten Wochen im Team das CTF vorbereitet hat. Dabei sind die Aufgaben so gestaltet, dass sie tatsächlich innerhalb von 48 Stunden gelöst werden können. Sinnvoll gesetzte Hinweise helfen auf dem Weg dahin – man muss sie nur erkennen. „Schlechte Challenges zeichnen sich dadurch aus, dass man viel raten oder viel Glück haben muss. Das wollen wir nicht,“ ergänzt sein Teamkollege Paul Gerste.
Das CTF der FluxFingers ist in kleine Einheiten aufgeteilt, die unabhängig voneinander gelöst werden können. Die Punktevergabe, die auf der Anzahl der Lösungen basiert, ist dynamisch. Sie läuft in Echtzeit ab und kann auch im Web eingesehen werden (https://fluxfingersforfuture.fluxfingers.net ab 12 Uhr einsehbar). Vereinfacht gesagt läuft es so ab: Je mehr Teams eine Aufgabe lösen, desto niedriger wird sie im Punkteranking gewertet – das System ist aber so ausgelegt, dass kein Team mit Minuspunkten nach Hause geht, erklären die FluxFingers. Zu Anfang gibt es eine kleine „Welcome Challenge“, damit die Teams innerhalb der Punkteverteilung aktiv geschaltet werden. Wer vor Ort ist, kann sogar etwas gewinnen. Für die Online-Teams gibt es Punkte, die im offiziellen „CTF-Time“ Rating scoren.
Erfolg auf dem CTF der DEF CON
Wer einen Blick auf diese Übersichts-Seite wirft, sieht, dass „Capture the Flag“ inzwischen viele Anhänger*innen gefunden hat. Die bekannteste Competition findet in jedem Jahr auf der populären Hacker-Konferenz DEFCON in den Vereinigten Staaten statt. Das CTF dort läuft in einem anderen Spielmodus ab: Hier müssen die Team eigens dafür gebaute Netzwerke oder Server hacken, während man das Eigene permanent vor den Angriffen der anderen verteidigen muss. Mitglieder der Bochumer Fluxfingers haben dabei in diesem Jahr mit dem deutschen Team „Sauercloud“ mit einem ansehnlichen Erfolg teilgenommen: Sie haben den siebten Platz des CTFs erreicht.
Wer sich selbst einmal an CTF ausprobieren will, dem bieten die FluxFingers mit den „FluxRookies“ Einsteiger-Challenges an. Mehr Informationen unter fluxfingers.net.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.
