Capture the flag: Für mehr Sicherheit im Netz
Studierendengruppe FAUST erreicht den zweiten Platz in deutschlandweitem Ranking
Vor Kurzem wurde bekannt, dass im Zusammenhang mit der vielfach verwendeten Java-Software eine massive Sicherheitslücke klafft. Alle möglichen Programme verwenden den Teil log4j der Java-Anwendungen, – zum Beispiel Steam oder Apple iCloud – weshalb das Sicherheitsrisiko enorm ist. Dass sich Sicherheitslücken auftun, gibt es immer wieder, und diese zu schließen ist eine der wesentlichen Aufgaben der IT-Sicherheit im Zeitalter der Digitalisierung. Ganz in diesem Sinne werden die Capture the Flag-Wettbewerbe ausgerichtet.
In diesem nationalen Ranking hat die Studierendengruppe FAUST den zweiten Platz für das Jahr 2021 geholt. Die Hochschulgruppe der FAU hat sich gegen insgesamt 215 weitere Teams durchgesetzt, indem sie an 34 Wettbewerben über das Jahr verteilt, konstant eine hohe Punktzahl erreicht haben.
Das Team mit dem schlagkräftigen Namen besteht aus ungefähr 20 aktiven Mitgliedern und ist am Lehrstuhl 1 der Informatik angesiedelt. FAUST setzt sich zusammen aus FAU und Security Team. Sie treffen sich regelmäßig, um ihr Wissen auszutauschen – vor Corona bei einer Pizza im Informatikgebäude, mittlerweile online.
Wenn ein neuer Wettbewerb ansteht, wird in der Gruppe gefragt, wer Lust und Zeit hat, mitzumachen. So nimmt nicht jedes Mitglied an allen Wettbewerben teil – auch bei zwei oder drei im Monat ist dieses Hobby recht zeitintensiv. Je nach Veranstaltung können sich die Capture the Flag-Wettbewerb, kurz CTFs, auch über zwei bis drei Tage ziehen, bei denen die Teams aber nicht ununterbrochen dabei sein müssen.
Spielerischer Umgang mit IT-Problemen
Das Spielprinzip von Capture the flag ist schon lange vor dem Internet entstanden. So wird beispielsweise bei Militärübungen versucht, die Flagge des gegnerischen Teams zu erobern. Das Grundprinzip ist auch bei den Cyber Security Wettbewerben erhalten geblieben, nur muss hier eine Sicherheitslücke in einer eigens für das Spiel programmierten Software gefunden werden.
Dafür erhalten die Teams dann eine Flagge, welche meist aus einem Satz oder Wort besteht, und zum Beispiel so aussieht: CTF{ch4ll3ng3}. Diese Flaggen werden dann zum Beweis für das Ausnutzen der Sicherheitslücke an die Veranstalter des Wettbewerbs geschickt. Dafür erhält das Team wiederum Punkte, die Anzahl der Punkte orientiert sich an der Komplexität der Aufgabe. Am Ende gewinnt das Team, das die meisten Sicherheitsprobleme aufspüren und die meisten Punkte verbuchen konnte.
Die Punktzahl der Teams wird auf einer internationalen Plattform erfasst: CTFTime.
Hier werden auch wichtige Wettbewerbe angekündigt oder allgemeine Information rundum den IT-Sicherheitswettbewerb verbreitet. Jährlich erstellt CTFTime ein nationales und internationales Ranking, in denen für jedes Team die Punktzahl, die es geholt hat, berücksichtigt wird. Seit 2015 veranstaltet FAUST auch eigene Wettbewerbe, die bei den teilnehmenden Teams sehr gut ankommen.
Gutes Hacking
Das Hacker vornehmlich Männer mit blassem Teint und dunklen Kapuzen sind, ist ein längst überholtes Klischee. Ebenso, dass Hacking ausschließlich etwas Schlechtes sei: Durch Capture the flag-Wettbewerbe zeigt sich, dass fiktives Hacken eine wirksame Methode ist, um Sicherheitslücken in einem System zu schließen. Die Wettbewerbe decken unterschiedliche Fachbereiche der Informatik ab, zum Beispiel Kryptographie – also die Verschlüsselung von Informationen.
Dabei sind die Teams mitunter acht Stunden lang aktiv, um die Sicherheitslücken aufzuspüren und je nach Spielmodus zu schließen. Dass dieser spielerische Umgang mit den Problemen der IT-Sicherheit durchaus zu einem fruchtbaren Ergebnis führen kann, haben auch große Unternehmen wie Google erkannt, die mittlerweile ebenfalls CTF-Wettbewerbe veranstalten.
Mehr Informationen finden sich auf der Website von FAUST.
Weitere Informationen
Prof. Dr.-Ing. Felix Freiling
Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen)
Tel.: 09131/85-69901
felix.freiling@fau.de
