Studierendenprojekt „Phish2Own“ sammelt virtuelle Fahnen bei Hacker-Event

Suche nach IT-Sicherheitslücken bei „Capture the flag“-Wettbewerb
Suche nach IT-Sicherheitslücken bei „Capture the flag“-Wettbewerb
Quelle: Prof. Dr. Lars Fischer

„Capture the flag“ (CTF) – zu Deutsch „Erobere die Fahne“ - nennt sich ein Format, das seit einigen Jahren nicht nur im Sportbereich, sondern auch in der Informatik große Beliebtheit erlangt. Das Studierendenprojekt „Phish2Own“ des Studiengangs Informatik an der Hochschule Bremerhaven hat bereits an mehreren dieser Veranstaltungen teilgenommen. Für den Wettbewerb FAUST CTF der FAU Erlangen-Nürnberg wurde extra ein „Sicherheitslagezentrum“ in Haus THP (ehemals Modehaus Jelden) der Hochschule eingerichtet. Rund 20 Studierende haben sich bis spät in die Nacht in die Server der anderen Teams gehackt, um deren Sicherheitslücken ausfindig zu machen und die eigenen Schwachstellen zu schließen. In der Abschlussbewertung konnten sie sich in das obere Viertel der 200 teilnehmenden Teams hacken. Damit sind sie in der deutschen Rangliste bei ctftime.org auf Platz 18 aufgestiegen. Dieser und andere "Capture-the-Flag" Wettkämpfe sind Teil der praktischen Ausbildung zur Anwendungssicherheit an der Hochschule.

Im Wettkampf mussten die Studierende "Flaggen" finden. Dabei handelt es sich um eindeutige Buchstaben oder Zahlenfolgen, die auf den Servern abgelegt werden, beispielsweise: FAUST_W7JbKybrmzeou. Dies erfordert die Ausnutzung von Sicherheitslücken, um auf die geschützten Daten auf gegnerischen Server zuzugreifen. „Der spielerische Ansatz dieser Wettkämpfe ist nicht nur unglaublich motivierend, sondern bietet einen durchaus realitätsnahen Einstieg in die Welt der Systemsicherheit. Schwachstellenanlyse, Angreiferdenken, Mitigation und Lagebewertung — die wesentlichen Komponenten sind enthalten und das eigene Können wird dann unter Zeitdruck auf die Probe gestellt. Realistischer wäre es nur noch, wenn diese Wettkämpfe unangekündigt stattfinden ", sagt Prof. Dr. Lars Fischer, der als Professor für IT-Sicherheit an der Hochschule Bremerhaven die Gruppe betreut.

Für Außenstehende sei das Ereignis eher unspektakulär: Außer einer Punktetafel, die im 3-Minuten-Rhythmus den neuesten Punktestand anzeigte, ließ sich allerdings nicht mehr beobachten als Buchstabensalat auf Bildschirmen. Aber auf den Netzwerkkabeln zu einer kleinen schwarzen Kiste — der Vulnbox — brannte gewissermaßen die Luft. Am Ende konnte sich das Studierendenprojekt recht erfolgreich gegen die gegnerischen Teams verteidigen. Zukünftig soll eine feste "Hackergruppe" an der Hochschule etabliert werden, die auch weiterhin an internationalen Wettbewerben teilnimmt.Für die Berufspraxis wird das Thema IT-Sicherheit immer wichtiger, wie Medienberichte zu Cyberangriffen regelmäßig zeigen. Daher gehört auch an der Hochschule IT-Sicherheit zu den Inhalten des Studiengangs Informatik. Was dort in den Seminaren vermittelt wird, bekommt durch die Teilnahme an CTF-Wettbewerben eine vertiefte praktische Komponente.

Die Studierenden werden zu Sicherheitsforschenden, die sich Zugriff auf Daten der gegnerischen Teams verschaffen wollen. Gleichzeitig müssen sie verhindern, dass ihre eigenen Sicherheitslücken gefunden werden. „Diese Wettbewerbe sind seit längerer Zeit schon fester Bestandteil der Kultur der weltweiten Sicherheitscommunity. Das vergleichbar kleine Team der Hochschule besteht seit dem Sommersemester 2020 und rekrutiert sich aus den Teilnehmenden zweier Bachelorprojekte und einer steigenden Zahl von interessierten Studierenden. Wir haben Haus THP zu unserem Sicherheitslagezentrum umgebaut. Dort haben wir die vorhandenen Beamer und Bildschirme genutzt, um aktuelle Punktestände, die Situation der eigenen Infrastruktur und die aktuelle Kommunikations- und Angriffssituation darstellen“, so Prof. Fischer.

Weitere Informationen zum Studiengang Informatik.

Weitere Informationen zum Studiengang Wirtschaftsinformatik.

 

 

Zurück zur Übersicht