Angriff und Verteidigung

Gruppenfoto Team FAUST
Das „Capture the Flag”-Team der Friedrich-Alexander-Universität Erlangen-Nürnberg, „FAUST“ (kurz für FAU Security Team) (v.l.n.r.): Florian Hantke, Felix Dreißig (vorne), Marcel Busch (hinten) und Fabian Fleischer. Das Team richtet jährlich einen internationalen IT-Sicherheits-Wettbewerb aus. Dabei treten Teams in einem abgeschotteten Computernetzwerk gegeneinander an und versuchen, durch Hacking-Angriffe auf die anderen Teilnehmer und gleichzeitiges Beheben von eigenen Sicherheitslücken Punkte zu erzielen. (Bild: FAU/Marcel Busch)

FAU-Studierende veranstalten internationalen IT-Sicherheits-Wettbewerb

Das „Capture the Flag”-Team der FAU richtet am Samstag, den 25. Mai 2019 abermals ihren seit 2015 stattfindenden internationalen IT-Sicherheits-Wettbewerb aus. Bei einem solchen Wettstreit treten Teams aus aller Welt in einem abgeschotteten Computernetzwerk gegeneinander an und versuchen, durch Hacking-Angriffe auf die anderen Teilnehmer und gleichzeitiges Beheben von eigenen Sicherheitslücken Punkte zu erzielen. Bei Preisgeldern von insgesamt über 1000 Euro haben auch einige Größen der weltweiten Szene ihre Teilnahme angekündigt.

Seit einigen Jahren nehmen die FAU-Studierenden unter dem Namen „FAUST”, kurz für FAU Security Team, an Capture the Flag (CTF)-Wettbewerben teil, die meist von anderen Teams an Universitäten oder Firmen organisiert werden. So flog das Team erst vor drei Wochen zu einem Wettkampf nach Russland, für den Sie sich in der Vorrunde qualifiziert hatten. Doch bei FAUST spielen nicht nur Profis – das Team trifft sich einmal die Woche, um Neulingen ihr Wissen weiterzugeben. „Bei uns ist jeder willkommen, der sich für das Thema IT-Sicherheit interessiert und hands-on Erfahrung sammeln will”, meint Marcel Busch, langjähriges Mitglied des Teams und Mitarbeiter am Lehrstuhl für IT-Sicherheitsinfrastrukturen der FAU. Geübt wird für Neulinge jeden Montag ab 19 Uhr und für fortgeschrittene Spieler jeden Mittwoch ab 18 Uhr am Lehrstuhl für IT-Sicherheitsinfrastrukturen.

CTF-Modell mit Nervenkitzel

Für den FAUST CTF haben die Studierenden das Modell des „Attack/Defense-CTF” gewählt, bei den Teams aus aller Welt über das Internet einen Netzwerktunnel zu einem speziellen Server aufbauen, der von den Veranstaltern betrieben wird. In dieser abgeschotteten Umgebung müssen sie dann eine Reihe von Programmen ausführen, die eigens hierfür geschrieben wurden und in die bewusst Sicherheitslücken eingebaut sind. Während des neunstündigen Wettstreits geht es darum, diese Lücken zu finden, in den eigenen Programmen zu schließen und bei den anderen Teilnehmern auszunutzen. Gelingt das, können virtuelle Flaggen erbeutet werden, für die von den Veranstaltern wiederum Punkte gutgeschrieben werden. „Es ist natürlich mehr organisatorische Arbeit gegenüber den herkömmlichen Jeopardy-CTFs, bei denen einzelne Programme gehackt oder Rätsel gelöst werden, um Punkte zu erlangen, ohne Verbindung zwischen den Teams“, sagt Mitorganisator Florian Hantke. Dann aber fehle auch der Nervenkitzel, angegriffen zu werden, oder sich erfolgreich in den gegnerischen Server zu hacken. „Wegen des großen Mehraufwands gibt es weltweit leider nur drei öffentliche Attack/Defense-CTFs, davon sind wir einer”, erzählt Mitorganisator Fabian Fleischer stolz.

Starke Konkurrenz

Auch dieses Jahr werden wieder bekannte Teams wie die Gewinner der letzten Jahre, die „Bushwhackers” von der Moscow State University, oder „saarsec” von der Universität des Saarlandes, erwartet. „Viele CTF-Teams sind im akademischen Umfeld angesiedelt”, erklärt Prof. Dr. Felix Freiling, Inhaber des Lehrstuhls für IT-Sicherheitsinfrastrukturen der FAU, der das Team unterstützt. Denn trotz der ausgespielten Preisgelder sollen vor allem das Lernen und der Spaß im Mittelpunkt stehen: CTF-Wettbewerbe bieten den Studierenden eine gute Möglichkeit, erlernte Fähigkeiten im Bereich der IT-Sicherheit realitätsnah und risikofrei praktisch anzuwenden.

Seit einigen Monaten ist das Organisationsteam nun schon mit den Vorbereitungen für den Wettbewerb beschäftigt. Als Sponsoren konnten sie „BMW Car IT”, „ERNW”, „SySS” und „noris network” gewinnen, die die Preisgelder und Ausgaben für Infrastruktur übernehmen. Der Wettbewerb steht unter dem Motto „Mining Resources of the 21st Century” und man darf gespannt sein, was sich das Team unter diesem Motto für Services hat einfallen lassen.

Der Wettbewerb findet am 25. Mai von 15 bis 24 Uhr im Wolfgang-Händler-Hochhaus am Südgelände statt.

Die Ergebnisse können auf der Webseite des Teams live mitverfolgt werden.

Weitere Informationen:

Florian Hantke

orga@faustctf.net