Zusammen mit anderen deutschen Hackerteams fahren Bochumer Studierende nach Las Vegas.
© Fluxfingers/Max

Informationstechnik Bochumer Hacker qualifizieren sich für renommierte Wettbewerbe

Hacker der Ruhr-Universität fahren nach Las Vegas und versuchen dort, einen Satelliten unter ihre Kontrolle zu bringen.

Bei Capture the Flag (CTF) Hacking-Wettbewerben messen Teams auf der ganzen Welt ihre Fähigkeiten und lösen in einer virtuellen Umgebung unter Zeitdruck knifflige Challenges der IT-Sicherheit. Dazu gehören unter anderem das Knacken von Verschlüsselungen oder das Reverse-Engineering. Ziel ist es, beispielsweise eine Textdatei oder Zeichenfolge, also die „Flagge“ zu finden. FluxFingers, das offizielle CTF-Team der Ruhr-Universität, belegt regelmäßig Spitzenplätze bei international renommierten Hacking-Wettbewerben und darf im August 2023 auch in Las Vegas an einem teilnehmen.

Die CTFs Hack-A-Sat und DEFCON, die vom 11. bis zum 13. August 2023 im Rahmen der gleichnamigen Konferenz DEFCON in Las Vegas stattfinden, gehören zu den bekanntesten. Für das Hack-A-Sat Finale haben sich die Hacker als „Sauercloud“, einem Zusammenschluss deutscher CTF-Teams, wie beispielsweise den FluxFingers oder RedRocket der Uni Bonn, auf dem ersten Platz qualifiziert.

„Practice is over“ – jetzt wird im Weltraum gehackt

Der Name verrät es schon: Hack-A-Sat ist ein Wettbewerb der US Air Force, bei dem es um das Hacken eines Satelliten geht. Dieses Jahr heißt es „Practice is over“, denn zum ersten Mal befindet sich dieser Satellit tatsächlich im Weltraum. „Moonlighter“ wurde eigens zum Hacken entwickelt und mit der SpaceX Rakete CRS-28 am 5. Juni 2023 in den Orbit geschossen. 780 Teams hatten an der Qualifikationsrunde des Hack-A-Sat teilgenommen. Die fünf besten Teams, aus Australien, Deutschland, Italien, Polen und den USA, dürfen nun im Finale versuchen, in die Systeme von Moonlighter einzudringen und diese zu übernehmen.

„Eine große Herausforderung ist die Verzögerung zwischen Ground-Station und Satellit, da dessen Position im Orbit sich ja ständig ändert. Hier den richtigen Zeitpunkt für den Exploit zu finden, ist durchaus anspruchsvoll.“, erklärt FluxFinger Mitglied Felix Buchmann. Neben klassischen Disziplinen, wie dem Lösen von Krypto-Challenges, warten auch Fragestellungen aus der Physik auf die Teilnehmenden. „Schließlich darf der Satellit ja nicht aus seiner Bahn fallen, was das Ganze zwar schwieriger, aber natürlich auch deutlich interessanter macht.“, so Felix.

Das Exzellenzcluster CASA „Cyber Security in the Age of Large-Scale Adversaries” der Fakultät für Informatik sponsert die Reise der FluxFingers nach Las Vegas. „Das Event gilt als ‚Weltmeisterschaft‘ der Security CTFs, in der die Teilnehmenden ihre Fähigkeiten im Finden, Aufzeigen und Beheben von Schwachstellen aller Art, auf höchstem Niveau, unter Beweis stellen müssen. Alleine die Qualifikation zeigt die Qualität der FluxFingers”, betont Kevin Borgolte, Professor für Software Security und Principal Investigator des Exzellenzclusters. Aus eigener Erfahrung weiß er: „Die Fähigkeiten, die die Teilnehmenden in CTFs und deren Vorbereitung verfeinern und verbessern, wie das tiefgreifende Analysieren von hochkomplexen Systemen und auch dem ‚thinking out of the box‘, sind für die akademische und berufliche Zukunft der Studierenden bedeutsam. Für die Forschung sind diese Fähigkeiten unerlässlich. Natürlich möchten wir mehr FluxFingers von der wissenschaftlichen Forschung begeistern, daher unterstützen wir sie und die Teilnahme am DEFCON CTF gerne!“

Weitere Wettbewerbe

Auch als FluxFingers sind die Bochumer Hacker erfolgreich und gelten im internationalen Vergleich auf CTF-Time, dem inoffiziellen Ranking der Hacking-Community, hinter Sauercloud als zweitbestes deutsches Team. Die individuelle Klasse der Hacker aus Bochum zeigt sich auch bei der Cyber Security Challenge Germany. Hier stellt die Ruhr-Universität sieben der vierundzwanzig Finalisten. Zehn Teilnehmende der Finalrunde, die am 3. Juli in Ulm stattfand, werden nun für das deutsche Team der European Cyber Security Challenge ausgewählt. „Um erfolgreicher Hacker zu sein, braucht es nicht mehr als vier grundlegende Eigenschaften: Fundiertes Wissen über Computersysteme, ein ‚Auge‘ für Angriffsvektoren, ein hohes Maß an Frustrationstoleranz und eine gewisse Portion Kreativität.“, weiß Benjamin Walny, FluxFingers-Mitglied und Gewinner der European Cyber Security Challenge 2018. In dem Einsteigerkurs „FluxRookies“ lehren erfahrene Hacker dem Nachwuchs diese Eigenschaften und geben ihre Erfahrungen weiter.

Mit Hack.lu veranstalten die FluxFingers seit 2007 jährlich auch einen eigenen 48-stündigen Wettbewerb. Hier kann das Team nicht nur eigene Projekte verwirklichen, sondern trainiert auch die defensiven Fähigkeiten, erklärt Teammitglied Maximilian Rademacher. „Schließlich muss unsere Infrastruktur eine Menge an koordinierte Attacken vertragen und sollte nur an der Stelle nachgeben, an der wir die Lücke versteckt haben.“ 2023 findet Hack.lu vom 13. bis zum 15. Oktober in Luxemburg statt.

Veröffentlicht

Donnerstag
20. Juli 2023
09:14 Uhr

Von

Charlotte Schab

Teilen