Vor ein paar Wochen nahm das Team H4x0rPsch0rr von der TU München — mit mir an Bord — zum ersten Mal an dem internationalen Hacker-Wettbewerb iCTF der UCSB teil.
CTF steht dabei für “Capture the Flag”: Das Ziel des Wettbewerbs ist es, möglichst viele “Flaggen” von anderen Teams zu ergattern.
Wie bei einem “klassischen” CTF bekam jedes Team das selbe “Vulnbox”-Image zum Herunterladen: Ein Abbild einer virtuellen Maschine, auf der unterschiedliche Dienste mit unterschiedlichen Sicherheitslücken laufen. Nachdem die Maschine auf einem lokalen Server gestartet wurde, gilt es, die Sicherheitslücken zu finden und im eigenen System zu stopfen. Gleichzeitig werden dieselben Lücken genutzt um die Systeme der anderen zu knacken.
Die Macher des iCTF denken sich seit einigen Jahren zusätzlich detailreiche Hintergrundgeschichten aus. Meist handeln diese Geschichten von aktuellen und brisanten Fällen aus der Computerkriminalität, die es zu bekämpfen gilt — Wenn man nicht gerade auf der bösen Seite spielt! In den vergangenen Jahren handelte der Wettbewerb von Terrorismus, Wahlmanipulation und Internetbetrug im großen Stil. Dieses Jahr wurde schmutziges Mafia-Geld gewaschen. So kommt neben der reinen IT-Sicherheits-Komponente auch viel Strategie ins Spiel: Durch das Lösen von Rätseln konnte das Team virtuelles Geld verdienen, das erst durch Ausnutzen von Sicherheitslücken bei anderen Teams in Punkte umgewandelt werden konnte. Die Umwandlungsrate war dabei von vielen Faktoren abhängig und hat stark fluktuiert: In jeder neuen Runde wurde die Umrechnungsrate und das Risiko, von der “Polizei” erwischt zu werden, aufgrund der vorangegangenen Aktionen aller Teams neu berechnet. Eine Runde dauerte dabei nur zwei Minuten — klarer Fall, die “Geldwäsche” musste samt Strategie automatisiert werden!
Das iCTF startete morgens um acht — in Kalifornien. Bei uns war es zum Glück schon 17 Uhr; Wesentlich angenehmer für Nachtarbeiter wie mich 😉 Via VPN-Verbindung waren Teams aus der ganzen Welt mit den Spielmachern und den Servern der Uni in Santa Barbara verbunden. Auf einem Scoreboard wurde dabei live angezeigt, wie die 87 Teams im Vergleich zueinander stehen. 87 Teams! Das macht das iCTF zur größten “live security exercise” im Internet.
Netzwerksetup iCTF2006 (Quelle)
Die neun Stunden waren super spannend und haben mir viel Spaß gemacht! Es fällt mir schwer, die Atmosphäre zu beschreiben. Gestern Abend musste ich wieder an das vergangene iCTF denken, als ich mit meinen Geschwistern und meiner Freundin “The Social Network” angeschaut habe und in der Recruitment-Szene die Spannung kocht. Das iCTF war für mich erst der zweite derartige Wettbewerb, und ich bin sehr froh, dass ich diesmal mehr als nur gute Ratschläge beisteuern konnte. Unser Framework, das die Server der anderen Teams gefunden und Schwachstellen automatisch ausgenützt hat, habe ich während des Wettbewerbs geschrieben.
So long – Das nächste Jahr bin ich auf jeden Fall wieder mit dabei! Vielen Dank an das tolle Team von der UCSB, die das iCTF möglich gemacht hat!
Siehe auch:
- Die iCTF Website
- Der Artikel auf Heise Security: Hackerwettbewerb: TU Wien übt Geldwäsche auf Heise.de
- Das “Write-Up” des Gewinnerteams aus Wien, in dem sie ihre Strategie erklären