Heißt es fürs Team saarsec mal wieder „Capture The Flag“ (CTF), rauchen Rechner, Köpfe und die Telefonleitung des Pizza-Lieferdienstes. Ist der Startschuss zu einem solchen IT-Sicherheitswettbewerb gefallen, verbringen die saarsec-Jungs – weibliche Mitglieder sind ausdrücklich willkommen, aber derzeit unterrepräsentiert – die nächsten Stunden vor den Bildschirmen. In dieser Zeit spüren sie in einem eigens für den Wettbewerb angelegten Computersystem eines gegnerischen Teams Schwachstellen auf und versuchen das eigene System vor Angriffen zu schützen. Zumindest lauten so die Spielregeln für die Attack-Defense-Variante des rundenbasierten Wettbewerbs. Die Flaggen, die es bei CTFs zu erbeuten gilt, sind nicht aus Stoff, sondern bestehen aus Buchstaben und Zahlen. Für jede gefundene Zeichenkette gibt es Punkte. Ebenso für Dienste, die das Team in der Runde erfolgreich gegen Angriffe des Gegners verteidigen konnte. CISPA-Faculty Dr. Ben Stock ist schon seit 2015 Saarsec-Mitglied, im 5-köpfigen Vorstand aktiv und sagt von sich selbst, er sei „so etwas wie der Alterspräsident des Teams“. In seiner Cybersicherheitsvorlesung an der Universität des Saarlandes macht er regelmäßig Werbung für die Hacking-Challenges und vor allem für den alljährlichen Workshop, in dem der Team-Nachwuchs rekrutiert wird.
Worum geht es bei den Capture-the-Flag-Wettbewerben?
Ben: CTFs bieten in einem kontrollierten Raum die Möglichkeit, erlernte IT-Sicherheitsfähigkeiten auch praktisch anzuwenden. Außerhalb der CTFs gibt es dazu kaum Gelegenheit, denn sowohl in Deutschland als in vielen anderen Staaten steht Hacking unter Strafe. Damit soll verhindert werden, dass Computersysteme nur „zum Spaß“ angegriffen werden. Gleichzeitig ist es aber extrem wichtig, das Gelernte praktisch anzuwenden. Denn die Verteidigung eines Systems kann nur dann effektiv sein, wenn man auch Angriffe dagegen kennt. Bei den CTF-Wettbewerben müssen die Teilnehmer:innen als Angreifer:innen und Verteidiger:innen agieren und bekommen so nochmal einen ganz neuen Zugang zu vielen Themen.
Sebastian: Ja, das stimmt. Mir haben die Wettbewerbe in meiner Studienzeit sehr geholfen. In vielen meiner Studienfächer kamen Mathematik und Kryptografie vor, alles sehr theoretisch. Damit habe ich mich manchmal echt schwergetan. Im zweiten oder dritten Semester meines Cybersicherheitsstudiums habe ich dann am saarsec-Workshop teilgenommen und bin dem Team beigetreten. Endlich auch anzuwenden, was ich vorher gelernt hatte, hat mir sehr geholfen.
Julian: Das merke ich auch schon. Ich bin jetzt im dritten Semester und beschäftige mich im Studium hauptsächlich mit theoretischen Konzepten. Mit echten Systemen kann man da gefühlt gar nichts anfangen. Bei den CTFs lernt man allerdings schnell, dass viele Computersysteme zwar ganz unterschiedlich aussehen, aber im Grunde sehr ähnlich aufgebaut sind.
Jetzt seid ihr, Ben und Sebastian, ja aber längst keine Studenten mehr. Was macht für euch noch den Reiz von CTFs aus?
Ben: Meine tägliche Arbeit besteht mittlerweile eigentlich hauptsächlich daraus, den Forscher:innen-Nachwuchs zu betreuen. Meine Fähigkeiten praktisch anzuwenden, kommt da auch nicht vor. Die CTFs sind für mich ein Hobby und machen mir einfach sehr viel Spaß. Außerdem kann ich - obwohl ich seit 2006 CTFs spiele - nach jedem Wettbewerb sagen, dass ich etwas dazugelernt habe. Mein Tagesgeschäft erlaubt es mir sonst selten, mich so intensiv mit Themen außerhalb meines Forschungsbereichs zu beschäftigen.
Sebastian: Ich bin auch schon seit 2015 dabei und muss sagen: Selbst nach Jahren lerne ich bei den Wettbewerben immer noch etwas Neues. Wenn die Challenges es erfordern, lese ich mich als Websecurity-Mensch auch mal in Kryptografie oder irgendwelche abgefahrenen Programmiersprachen ein. Das Wissen, das wir so sammeln, geben wir auch untereinander weiter. Wir treffen uns mit saarsec einmal die Woche und dann stellt jeder den Service vor, an dem er beim vergangenen CTF gearbeitet hat. Kommt sowas ähnliches nochmal in einem CTF, erinnert man sich eventuell daran, oder weiß zumindest, wer sich damit mal beschäftigt hatte. Allerdings sollte man die Personen nur ansprechen, wenn sie nicht selbst gerade kurz vor der Lösung einer Aufgabe stehen. Nicht wahr, Ben?
Ben: Ein CTF ist ein Wettbewerb, wo es auch mal stressig wird. Da führt eine Unterbrechung im falschen Moment vielleicht mal zu einer etwas deutlicheren Antwort. Wie die Challenges gestaltet sind, ist dabei ganz unterschiedlich. Manchmal geht es um eher klassische Schwachstellen, die auch in der Realität häufig vorkommen. Manchmal hat man es aber auch plötzlich mit Programmen zu tun, deren Quellcode man nicht mehr sieht und muss dann mit dem Binärcode arbeiten. Der Kreativität der Teams, die einen CTF erstellen, sind kaum Grenzen gesetzt. Manchmal liegen auch unter zunächst einfach aussehenden Webservices irgendwelche uralten, unbekannten Programmiersprachen, weil jemand bei irgendeiner Recherche darüber gestolpert ist und so sein Wissen teilt. Wir veranstalten als Team einmal im Jahr selbst einen CTF für andere Teams. Häufig entstehen die Ideen für Verwundbarkeiten, die wir in die Services einbauen, aus unserer Forschung heraus.
Wie groß sind die Teams und wer kann mitmachen?
Sebastian: Die Größe der Teams ist unterschiedlich, ab und an werden die Gruppengrößen beschränkt, oft ist der Wettbewerb aber offen für Teams jeder Größe. Prinzipiell können auch Einzelpersonen teilnehmen, die haben dann aber geringe Chancen auf den Sieg. Für größere Wettbewerbe schließen sich manchmal kleinere Teams zu einem großen zusammen. In unserem Team gibt es derzeit circa 25 aktive Mitglieder. Darunter sind nicht nur Cybersicherheitsstudierende, sondern auch Studierende aus anderen Fachrichtungen, aber auch Dozenten wie etwa Ben und Leute, die im Studium angefangen haben und mittlerweile längst berufstätig sind.
Ihr plant im April wieder einen CTF-Workshop. Braucht man Vorwissen, um daran teilzunehmen?
Julian: Eher nein, man sollte sich zwar bestenfalls für das Thema Cybersicherheit interessieren, aber wenn jemand durch unseren Workshop Interesse an diesem Thema entwickelt, ist dies umso besser.
Sebastian: Eine gewisse Computeraffinität ist aber sicher von Vorteil.
Ben: Es gibt oder zumindest gab es in der Vergangenheit tatsächlich auch CTFs mit Aufgaben, die nicht so viel mit Cybersicherheit zu tun hatten. Die konnte auch jemand fachfremdes lösen. Ich habe aber den Eindruck, dass das in den vergangenen Jahren immer seltener geworden ist und sich CTFs zunehmend professionalisieren und auch immer schwieriger werden.
Wie läuft euer Workshop ab?
Ben: Wir planen dafür immer ein ganzes Wochenende ein. Samstags und Sonntagmorgen gibt es mehrere 1,5-Stunden-Timeslots, von denen eine halbe Stunde für den Vortrag reserviert ist und eine Stunde lang praktische Aufgaben gelöst werden. Leute vom Team sind dann vor Ort – soweit Corona eine Präsenz zulässt – und beantworten Fragen. Sonntagnachmittag teilen wir die Gruppe dann in 5-oder-6-Personen-Teams und spielen einen ersten kleinen CTF.
Sebastian: Das war der Moment, wo ihr mich hattet. Das hat super viel Spaß gemacht.
Julian: Das kann ich nur so unterschreiben, so habt ihr auch mich vor circa einem Jahr überzeugt, beizutreten.
Ihr seid mit eurem Team schon ganz schön weit herumgekommen…
Ben: Das stimmt. Wir waren 2019 in Abu Dhabi und was für uns noch größer war: in Las Vegas. Dort haben wir beim CTF der DEFCON mitgespielt. Das ist, würde ich sagen, die Weltmeister dieser Wettbewerbe. Absolute Champions League. Wir waren eins von 15 Teams, die dort antreten durften und hatten uns vorher bei einem anderen Wettbewerb qualifiziert. Für den Sieg hat es zwar nicht gereicht, aber der Trip war trotzdem toll.
Habt ihr euch als Team noch ein Ziel gesteckt?
Sebastian: Nochmal bei der DEFCON teilzunehmen und dann auch zu gewinnen, wäre natürlich toll.
Ben: Wollten wir als Team ganz an die Spitze, müssten wir noch deutlich härter trainieren. Neben den Attack-Defence-CTFs, die meist acht bis zehn Stunden dauern, gibt es noch eine andere Variante, die sich Jeopardy-CTF nennt. Hier spielen nicht mehrere Teams gegeneinander, sondern alle gegen ein Jeopardy-Board. Diese Wettbewerbe dauern oftmals zwei, drei oder sogar vier Tage am Stück. Da ich Familie habe, kommt das für mich nicht in Frage. Und für die meisten anderen im Team auch eher nicht. Wollten wir ganz oben mitmischen, müssten wir auch an den Jeopardy-CTFs teilnehmen. Aber es soll ja vor allem Spaß machen.
