Capture-The-Flag Hackathon

Worum geht es?

Für das Verständnis potenzieller Gefährdungen von Computersystemen ist es hilfreich, einmal in die Rolle des „Bad Guy“ zu schlüpfen und zu versuchen, in ein System einzubrechen. Um Studierenden diese Möglichkeit zu verschaffen ohne „echte“ Systeme zu kompromittieren, soll ein Capture-The-Flag Hackathon (CTF-Hackathon) vorbereitet und durchgeführt werden.

Bei einem Capture-The-Flag-Event werden absichtlich unsichere Systeme in einem separaten abgesicherten Netz bereitgestellt. Mehrere Teams versuchen nun, die Sicherheitslücken zu nutzen, um in die Systeme einzudringen und dort versteckte „Secrets“ zu ergattern. Sieger ist, wer die meisten Secrets in einem vorgegebenen Zeitfenster ergattert.

Im Netz findet sich eine Vielzahl von Ressourcen, die sich für einen solchen Hackathon eignen (z.B. OWASP WebGoat, OWASP SiteGenerator, Stanford SecuriBench, etc.). Auch Berichte und Anleitungen zur Durchführung eines solchen Hackathons finden sich in großer Zahl.

Ziel der Projektarbeit ist die Konzeption, Vorbereitung und Durchführung eines CTF-Hackathons an der Fakultät EFI. Zielgruppe sind Studierende aus höheren Semestern der Bachelorstudiengänge, die freiwillig oder im Rahmen einer Lehrveranstaltung am Hackathon teilnehmen. Die Auswahl und der Schwierigkeitsgrad der Puzzles ist entsprechend zu wählen bzw. während der Veranstaltung Hilfestellung zu leisten (ggf. unter Anrechnung von Maluspunkten für das gecoachte Team). Die Projektarbeit eignet sich für 2-3 Studierende, die intensiv mit Fragen der Sicherheit von IT-Systemen auseinandersetzen möchten.

Learning Outcomes

Das Einrichten eines abgesicherten Netzwerks mit (voraussichtlich) virtuellen Maschinen und einem eigenen WLAN erweitert Ihre Kenntnisse im Bereich der Systemadministration von UNIX-basierten Rechnern. Mit der Auswahl und dem Vorbereiten der anzugreifenden Systeme gewinnen Sie zudem einen vertieften Einblick in aktuelle Fragen der IT-Sicherheit.

Hilfreich hierfür ist die Kenntnis üblicher Infrastrukturkonfigurationen (z.B. Docker) mit den dafür nötigen Skriptsprachen bzw. die Bereitschaft, sich in diese einzuarbeiten.

Kontakt

Bitte wenden Sie sich bei Interesse an:

Prof. Dr. Oliver Hofmann