Information & Cyber Security, Privacy,

Studium

«Capture the Flag»: Nein, hier geht es nicht ums Fahnenschwingen!

«Capture the Flag»: Nein, hier geht es nicht ums Fahnenschwingen!
Fiebern konzentriert um die rote Fahne: Das Team der HSLU – Informatik stellte schon bei einigen Capture-the-Flag-Wettbewerben (CTFs) sein Können unter Beweis.

Traditionelles neu interpretiert: Der Student Adrian Martin ist Teil des Capture-the-Flag-Teams der HSLU – Informatik. Hier berichtet er, wie er so auf spielerische Art und Weise hacken lernt und Fähigkeiten in der IT-Sicherheit trainiert. Ein Beitrag zum Miträtseln.

CTF steht für «Capture the Flag», womit im IT-Bereich Sicherheitswettbewerbe gemeint sind. Sie sind auch bekannt als Wettbewerbe, um das eigene Wissen über die vielen verschiedenen Domänen der IT-Sicherheit und des Hackings zu trainieren. Ich bin Teil des CTF-Teams der Hochschule Luzern – Informatik.

Hacken nach Punkten: so läuft ein CTF-Event

Das Capture-The-Flag-Prinzip, kurz: CTF, ist uralt und wird traditionell im freien Gelände gespielt. Es geht darum, die gegnerische Fahne zu erobern und zur eigenen Basis zu bringen.

Bei einem CTF in der Cybersecurity geht es in erster Linie darum, die für den Wettbewerb ausgelegten verwundbaren Systeme und die dahinterstehenden Technologien so schnell wie möglich zu verstehen.

Dabei gilt es Schwachstellen im System (Flags) aufzuspüren und dafür Punkte zu sammeln. Wer die Flaggen findet, hat die Sicherheitslücke erfolgreich ausgenutzt und und wird mit einem Flag belohnt. Die Flaggen bestehen nicht etwa aus Stoff, sondern aus einer Zeichenkette und geben Punkte für das Team.

Die Anzahl der Flaggen variiert je nach Wettbewerb. Die meisten Teams können nur einen Teil der Aufgaben und damit der Flaggen finden. Mehr Punkte gibt es, wenn man die Flagge vor den anderen Teams findet. Wer eine Top-Platzierung erreicht, erhält ein Preisgeld oder eine andere Belohnung. 

Die Challenges stammen aus verschiedenen Bereichen der IT-Sicherheit und kommen beispielsweise aus der Exploitation, der Kryptographie oder der Forensik.

Wenn du auch einmal in die Welt der CTFs schnuppern möchtest: kein Problem! In diesem Artikel sind drei einfache Flags versteckt, die es zu finden gilt. Die Lösungen findest du zuunterst im Beitrag.

⠉⠞⠋⠷⠓⠎⠇⠥⠸⠉⠗⠽⠏⠞⠕⠸⠋⠇⠁⠛⠸⠉⠕⠝⠛⠗⠁⠞⠎⠮⠾

Rätsel Nr. 1: Um was geht es hier?

Nachdem der Startschuss für einen solchen IT-Sicherheitswettbewerb gefallen ist, verbringt unser Team die nächsten Stunden vor den Bildschirmen. Bisher haben wir nur online an den Wettbewerben teilgenommen. Wir sitzen dann jeweils im «Home-Office» und tauschen uns über das Kommunikationstool Discord aus.

Während des Wettbewerbs heisst es dann knacken, hacken, Botschaften entschlüsseln und kreativ denken, um möglichst schnell die Challenges zu lösen.

Nach der Veranstaltung fühle ich mich immer ein bisschen übermüdet, aber im Grunde geht es mir gut. Immerhin hatte ich Erfolgserlebnisse und habe eine Menge gelernt. Klar, dass ich nach so einem Hacking-Marathon erst mal anderen Aktivitäten ausserhalb des Cyber-Space nachgehe.

Rätsel Nr. 2: Flags werden typischerweise in Klammern dargestellt. Was fällt dir auf?

Unkonventionelles Denken trainieren

Um bei den CTFs erfolgreich zu sein, trainiert unser HSLU-Team monatlich. Dabei lösen wir eine Testaufgabe. Erst allein und dann gemeinsam. Wir probieren verschiedene Ansätze aus und lernen, flexibel zu sein und kreative Lösungen zu finden. Ausserdem bestellen wir Pizza und tauschen Ideen aus.

Die Treffen sind wertvoll, weil wir unser Wissen über Strategien und Werkzeuge teilen können. Um mich vorzubereiten, reicht mir das aber nicht. Deshalb trainiere ich selbst wöchentlich.

Im Training bestellen wir Pizza und probieren verschiedene Lösungs-Ansätze aus.

Das hat den Vorteil, dass ich verschiedene Technologien kennenlerne und herausfinde, was mir Spass macht, was mir liegt und was nicht. Bei einer Aufgabe könnte ich blind meinem Instinkt folgen, dabei aber Gefahr laufen, mich zu verirren. Deshalb ist es nützlich, verschiedene Wege und Angriffsvektoren zu kennen, um Schwachstellen in einem IT-System zu finden.

Nebst den CTFs machen wir ab und zu «Real-Life-Hacking» und testen unter anderem Open-Source-Projekte auf Sicherheitslücken. Oder wir haben auch schon die API eines Master-Studenten auf Herz und Nieren getestet.

Im Gegensatz zu den CTFs ist der Outcome (ob wir eine Sicherheitslücke finden) ungewiss. Bei einem CTF-Event weiss man zumindest, dass es bestimmt eine Lösung gibt – Man muss nur darauf kommen. Im Training sind wir also auch offen für Neues.

Wir freuen uns über neue Kolleginnen und Kollegen, die im CTF-Team mitmachen wollen.

Ich fände es cool, wenn sich mehr Studierende für die Mitarbeit im CTF-Team begeistern könnten. Wir freuen uns über neue Kolleginnen und Kollegen, die eine andere Perspektive einnehmen und ihre eigenen technischen Stärken mitbringen; so bringen wir uns gegenseitig weiter. Wollten wir als Team an die Spitze, müssten wir härter trainieren. Aber schlussendlich soll es ja vor allem Spass machen.

Rätsel Nr. 3: Welches Geheimnis verbirgt sich hinter diesem QR-Code?

Von Yasmin Billeter
Veröffentlicht am 25. August 2022 / Aktualisiert: 20. September 2023

Adrian Martin

Cyber-Security-Enthusiast: Adrian Martin studiert im siebten Semester Information & Cyber Security. Am meisten interessiert ihn die offensive Security. Später möchte er als Penetration Tester arbeiten.

Das CTF-Team der HSLU I: Das Team besteht seit Mai 2022. Den ersten fünf Tage dauernden CTF hat das Team erfolgreich bestritten und Platz 635 von insgesamt 7‘024 Teams erzielt.

Du willst beim CTF-Team mitmachen? Melde dich bei adrian.martin@hslu.ch

IT-Sicherheitsprofis sind gefragt wie nie zuvor. Im Bachelor in Information & Cyber Security werden sie ausgebildet: Mit dem Studium Information & Cyber Security erwerben Sie das notwendige Fachwissen, um Unternehmen und Verwaltungen vor Hacker-Angriffen zu schützen und mit einer sicheren IT-Infrastruktur auszustatten.

Besuchen Sie unsere (Online-)Info-Veranstaltungen

Gefällt Ihnen unser Informatik-Blog? Hier erhalten Sie Tipps und lesen über Trends aus der Welt der Informatik. Wir bieten Einsichten in unser Departement und Porträts von IT-Vordenkerinnen, Visionären und spannenden Menschen: Abonnieren Sie jetzt unseren Blog!

Flags gefunden? Hier sind die Lösungen:

Rätsel Nr 1: ⠉⠞⠋⠷⠓⠎⠇⠥⠸⠉⠗⠽⠏⠞⠕⠸⠋⠇⠁⠛⠸⠉⠕⠝⠛⠗⠁⠞⠎⠮⠾ Diese Linie ist in Braille Schrift geschrieben und muss übersetzt werden.

Rätsel Nr. 2: Das Bild CTF {…} ist ein Gif. Darin ist folgendes Flag versteckt: Der Text dessen Farbe sich um einen Punkt von Weiss unterscheidet, kann zum Beispiel hier gefunden werden.

Rätsel Nr. 3: Der QR-Code gibt Base64-codierten Text aus, den man etwa hier decodieren kann: Erst dann sieht man das Flag.

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.

Pin It on Pinterest