FAU-Studierende veranstalten internationalen IT-Sicherheits-Wettbewerb

Tastatur
Bild: Panthermedia/Phillippe Ramakers

Angriff und Verteidigung

Eine Gruppe von Studierenden der FAU richtet am Freitag, den 18. Dezember 2015 erstmalig einen „Capture the Flag“-Wettbewerb (CTF) unter dem Namen „FAUST CTF” aus. Bei einem solchen IT-Sicherheits-Wettstreit treten Teams aus aller Welt in einem abgeschotteten Computernetzwerk gegeneinander an und versuchen, durch Hacking-Angriffe auf die anderen Teilnehmer und gleichzeitiges Beheben von Sicherheitslücken Punkte zu erzielen. Bei Preisgeldern von insgesamt über 1.000 Euro haben auch einige Größen der weltweiten Szene ihre Teilnahme angekündigt.

FAUST: Das FAU Security Team

Seit einigen Jahren nehmen die FAU-Studierenden unter dem Namen „FAUST“, kurz für FAU Security Team, an CTF-Wettbewerben teil, die meist von anderen Teams in deren Freizeit organisiert werden. Zu ihren größten Erfolgen zählen der Gewinn des rwthCTF 2011, organisiert von der RWTH Aachen, und der dritte Platz beim RuCTFE  2014, einem Wettbewerb der Uralischen Förderalen Universität aus Jekaterinburg. „Daraus entstand bei uns die Idee, der Szene etwas zurück zu geben und selbst einen solchen Wettbewerb zu veranstalten“, erklärt Mitorganisator Felix Dreißig, der an der FAU Informatik studiert.

Acht Stunden hacken

Für den FAUST CTF haben die Studierenden das Modell des „Attack/Defense-CTF“ gewählt, bei dem Teams aus aller Welt über das Internet einen Netzwerktunnel zu einem speziellen Server aufbauen, der von den Veranstaltern betrieben wird. In dieser abgeschotteten Umgebung müssen sie dann eine Reihe von Programmen ausführen, die eigens geschrieben wurden und in die bewusst Sicherheitslücken eingebaut sind. Während des achtstündigen Wettstreits geht es darum, diese Lücken zu finden, in den eigenen Programmen zu schließen und bei den anderen Teilnehmern auszunutzen. Gelingt das, können virtuelle Flaggen erbeutet werden, für die von den Veranstaltern wiederum Punkte gutgeschrieben werden.

Das Attack/Defense-Schema

„Von den zahlreichen CTF-Wettbewerben funktionieren leider nur sehr wenige nach diesem Attack/Defense-Schema“, sagt FAUST-Mitglied Dominik Maier. Die meisten anderen Wettbewerbe stellen eine Art Rätsel aus dem Gebiet der IT-Sicherheit, durch dessen Lösung Punkte gesammelt werden. „Uns machen Attack/Defense-CTFs aber deutlich mehr Spaß, deshalb stand die Entscheidung dafür trotz des höheren Organisationsaufwands außer Frage“, fügt Mitorganisator Christoph Egger hinzu.

Über 130 Teams aus aller Welt

Das Engagement kommt bei anderen Gruppen gut an: Bis jetzt haben sich bereits mehr als 130 Teams aus aller Welt angemeldet, unter ihnen große Namen der Szene wie „dcua“ von der Nationalen Technischen Universität der Ukraine oder „StratumAuhuur“, ein Zusammenschluss zweier Gruppen aus Braunschweig und Aachen. „Viele CTF-Teams sind im akademischen Umfeld angesiedelt“, erklärt Prof. Dr. Felix Freiling, Inhaber des Lehrstuhls für IT-Sicherheitsinfrastrukturen der FAU, der das Team unterstützt. Denn trotz der ausgespielten Preisgelder sollen vor allem das Lernen und der Spaß im Mittelpunkt stehen: CTF-Wettbewerbe bieten den Studierenden eine gute Möglichkeit, erlernte Fähigkeiten im Bereich der IT-Sicherheit realitätsnah und risikofrei praktisch anzuwenden.

The First Part of the Tragedy

Seit einigen Monaten ist das zehnköpfige Organisationsteam nun schon mit den Vorbereitungen für den Wettbewerb beschäftigt. Als Sponsoren konnten sie die Nürnberger IT-Unternehmen DATEV eG und noris network AG gewinnen, organisatorische Unterstützung erhalten sie vom Fachschaftsverein der Technischen Fakultät. Für die erste Ausgabe ihres Wettstreits hat sich die Erlanger Gruppe die Vieldeutigkeit ihres Namens zu Nutze gemacht und eine Hommage an Goethes Faust als Motto gewählt. „Doch noch sind wir damit beschäftigt, den benötigten Computersystemen und Programmen den letzten Feinschliff zu geben, bevor sich der Vorhang für  ‚FAUST CTF: The First Part of the Tragedy‘ schließlich öffnet“, verrät Marcel Busch aus dem Organisationsteam.

  • Der Wettbewerb findet am 18. Dezember von 17 bis 1 Uhr statt. Die Ergebnisse können live unter https://www.faustctf.net mitverfolgt werden.

Weitere Informationen:

Felix Dreißig
orga@faustctf.net