Bereits zum 26. Mal hat im August die DEF CON, eine der weltweit größten Konferenzen für Hacker und IT-Security-Enthusiasten, in Las Vegas stattgefunden. Parallel zu den Vorträgen und Workshops der Konferenz kommen jährlich Teams aus aller Welt zusammen, um das DEF CON Capture the Flag (CTF)-Finale auszutragen. Für eine erfolgreiche Platzierung in der im Mai stattgefundenen Online-Qualifikationsrunde haben sich die FluxFingers zuvor mit anderen deutschen Teams zusammengetan. Unter dem Namen Sauercloud erzielten sie den 5. Platz von insgesamt 24 Teams.
72 Stunden Konzentration und Anspannung
Die DEF CON-Finals werden jedes Jahr als ein sogenanntes „Attack and Defense-CTF“ organisiert. Die verschiedenen Teams bekommen zu Beginn eine identische Infrastruktur gestellt, auf der sich die anfälligen Dienste des Wettbewerbs befinden. Die Aufgabe der Teilnehmer besteht nun darin, Schwachstellen zu identifizieren, auf dem eigenen Server zu beheben und auf gegnerischer Seite auszunutzen. Ziel des Spiels ist es, nach 72 Stunden möglichst viele Punkte zu erreichen. Punkte werden sowohl für die erfolgreiche Verteidigung der eigenen Dienste, als auch für Angriffe auf die gegnerischen Dienste vergeben. Die Vergabe von Punkten geschieht dabei im Abstand weniger Minuten. Eine der größten Herausforderungen besteht für die Teams darin, unter Zeitdruck Programme ohne Zugriff auf den Quellcode zu analysieren, um Sicherheitslücken zu finden. Auch die Koordination von Offensiv- und Defensiv-Arbeit sowie der Zuteilung von Ressourcen sind Voraussetzung für eine erfolgreiche Teilnahme.
Flexibilität und Improvisationsfähigkeit gefragt
Mit dem Team „Order of the Overflow“ wurde das DEF CON-CTF dieses Jahr von einem neuen Veranstalter organisiert. Daraus ergaben sich einige Änderungen an den Regeln, die den Teams ein hohes Maß an Flexibilität und Improvisationsfähigkeit abverlangten. Umso erfreulicher, dass das Sauercloud-Team den 5. Platz von insgesamt 24 Teams erzielen konnte.
Über die FluxFingers
Die FluxFingers, das CTF-Team der Ruhr-Universität Bochum, spielen seit 2007 CTFs und sind seit 2015 ein eingetragener gemeinnütziger Verein. Sie organisieren jedes Jahr das CTF für die hack.lu, die größte Sicherheits-Konferenz Luxemburgs. Die FluxFingers bestehen hauptsächlich aus Studierenden der IT-Sicherheit und Elektrotechnik der RUB. Sie beschäftigen sich – abseits der vorrangig theoretischen Inhalte des Studiums – in Wettbewerben mit praktischen Aspekten der IT-Sicherheit. Seit mehreren Jahren veranstalten sie jedes Wintersemester die FluxRookies. In Vorträgen und durch Challenges bekommen interessierte Studierende dort einen praktischen Einstieg in CTF-Wettbewerbe.
Die FluxFingers bedanken sich bei dem Lehrstuhl für Systemsicherheit, der G DATA Software AG und der VMRay GmbH für die finanzielle Unterstützung der Reise nach Las Vegas.
Weitere Informationen zu den FluxFingers und aktuelle Veranstaltungen können unter https://fluxfingers.net und auf Twitter (@fluxfingers) abgerufen werden.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.