Nach zwei erfolgreichen Veranstaltungen in 2022 und 2023 fand auch in diesem Jahr wieder eine Cyber Security Challenge in den Räumlichkeiten der Bonner „IBM Garage for Defense“ statt. Laokoon Security hatte mit seinen Partnern IBM, Bechtle und CGI zu einer digitalen Jagd auf Flaggen geladen. Dass dabei ein bestimmtes Getränk im Vordergrund stand und sich erst Endspurt die Belegung des Treppchens abzeichnete, konnte cpm vor Ort mitverfolgen.
Wettkämpfe wie das in Bonn durchgeführte Capture the Flag (CTF) sind für die Hacker-Szene von großer Bedeutung, denn sie bieten ihnen eine Plattform zum Lernen und Verbessern der eigenen Fähigkeiten.
In den häufig remote stattfindenden Wettbewerben müssen die Teilnehmer reale Sicherheitsprobleme lösen, indem sie Herausforderungen aus Bereichen wie Kryptografie, Web-Sicherheit, Reverse Engineering und Exploit-Entwicklung bewältigen. CTFs bieten eine praxisnahe Umgebung, in der ethische Hacker ihre Kenntnisse testen und neue Techniken erlernen können, was für ihre berufliche und persönliche Weiterentwicklung entscheidend ist.
Darüber hinaus spielen CTF-Events eine wichtige Rolle bei der Vernetzung innerhalb der Hacker-Community. Das geht besonders gut, wenn es sich um Events in Präsenz handelt, wie es bei der an eine Netflixserie angelehnte Cyber Security Challenge unter dem Motto „Haus der Flaggen“ am vergangenen Wochenende handelt.
Bereits zum dritten Mal organisierte das von ehemaligen Bundeswehrsoldaten gegründete Cybersicherheitsunternehmen Laokoon Security das Event mit seinen Partnern IBM, Bechtle und der CGI. „Beim dritten Mal ist es Tradition“, stellte Veranstalter Moritz Samrock daher bei der Begrüßung der Cyber Security Challenge fest und verkündete gleich, dass auch im kommenden Jahr eine CTF stattfinden werde.
Flaggen sammeln beim CTF
Doch zunächst ging es im festgelegten Zeitraum von 12 bis 18 Uhr darum, die vorgegebenen 20 Aufgaben zu lösen. Samrock erklärte, dass man bewusst sehr unterschiedliche Schwierigkeitsgrade gewählt habe, um die Teilnahme sowohl Profis als auch unerfahrenen Hackern zu ermöglichen.
Das zeigt sich auch an den zugelassenen Teams der Cyber Security Challenge: Neben noch sehr jungen Studierenden traten auch Teams an, die bereits seit Jahren im Beruf des Hackers unterwegs sind. Von rund 200 Bewerbungen durften 120 Hackerinnen und Hacker nach Bonn reisen, um in Teams bis zu 4 Personen ihr Können unter Beweis zu stellen.
Es galt herausfordernde Challenges aus den Bereichen Kryptographie, Web-Hacking, PWN, Reverse Engineering, Forensik, Hardware, OSINT (Open Source Intelligence) und Industriesteuerungen zu lösen. Im Bereich OSINT kann es beispielsweise darum gehen, bestimmte Profile in sozialen Medien und darin versteckte Informationen zu finden. Im Fall des CTFs findet sich die „Flagge“ dann in Form eines speziellen Codes, der in einer geschweiften Klammer untergebracht ist und der Buchstabenkombination HTB folgt.
OSINT-Aufgaben sind vergleichsweise leicht. Knifflig wird es, sobald die Hackerinnen und Hacker „wie ein Computer denken“ müssen. Das ist beispielsweise beim Reverse Engineering notwendig. Hier muss die Funktionsweise eines Programmes auch ohne Quellcode verstanden werden, um einen möglichen Fehler bzw. eine Schwachstelle zu erkennen.
Cyber Security Challenge: Es fühlt sich „wie ein Spiel“ an
Bei der Bonner Cyber Security Challenge sind es Flaggen bzw. Codes im oben gezeigten Format, deren Finden den Teilnehmern sichtlich Spaß macht. Es fühlt sich wie ein Spiel an, wie bei einer Schnitzeljagd, erklärt einer der Teilnehmer, der zahlreiche gekühlte Flaschen eines auf Matetee basierenden Erfrischungsgetränks vor sich stehen hat – sechs Stunden Hacken fordern ihren Preis.
Im echten Leben finden ethische Hacker Schwachstellen in Systemen, wodurch beispielsweise Betreiber von kritischer Infrastruktur oder Software-Hersteller in der Lage sind, diese potenziellen Sicherheitslücken zu schließen, bevor unliebsame Gäste eindringen können.
Dementsprechend ist das Setting des CTFs auch daran angelegt, dass Unbekannte in ein Rechenzentrum eindringen wollen. Die Aufgaben orientieren sich mehr oder weniger daran, diesen Angriff abzuwehren.
Fachkräftemangel – ein Treiber der Veranstaltung
Doch nicht nur die Teilnehmenden der Cyber Security Challenge profitieren von regelmäßigen Wettkämpfen, auch die Veranstalter ziehen ihren Nutzen. Das Networking zwischen Studierenden und Profis und der direkte Kontakt zu den potenziellen Arbeitgebern Laokoon Security, IBM, Bechtle und CGI sorgten nach den vorangegangenen beiden Events bereits für die Unterzeichnung von Arbeitsverträgen.
Gewonnen hat beim diesjährigen CTF dann jedoch ein Team aus dem öffentlichen Sektor: Mit 19 von 20 gelösten Aufgaben und 10.550 Punkten gewann das Team „OCO“ deutlich. Der Kampf um die anderen Plätze auf dem Treppchen war knapper. Ein Team der Ruhr-Uni-Bochum sicherte sich mit 18 gefundenen Flaggen und 9.725 erzielten Punkten den 2. Platz vor einem Profi-Team mit ebenfalls 18 gelösten Aufgaben aber nur 9.675 Punkten. Maßgeblich für die Punktevergabe waren die Schwierigkeitsgrade der gelösten Aufgaben.
Für die Gewinnerteams der Cyber Security Challenge gab es Preise in Form von Gutscheinen für weiterführende Übungsszenarien von Hack The Box und des SANS-Instituts. Doch angesichts des herausfordernden Events und des Networkings traten die Gewinne ein wenig in den Hintergrund.
Abgerundet wurde die Cyber Security Challenge in Bonn wie auch im letzten Jahr wieder durch die Verpflegung mit 120 frisch gebackenen Pizzen, von denen „keine übrig geblieben ist“, stellte Samrock nach der Veranstaltung fest. „Maximal einzelne Stücke.“
Weitere Eindrücke der Cyber Security Challenge
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
