WBH-Team bei der Hacker-Challenge von Hack The Box
Mitte November hat ein zehnköpfiges Team von der Wilhelm Büchner Hochschule am 48-Stunden-Wettbewerb von Hack The Box teilgenommen. Hack The Box stellt virtuelle Maschinen mit Schwachstellen bereit, die man ausnutzen kann, um Kontrolle über den Rechner zu bekommen. Hierbei gilt es, nach einer bestimmten Datei mit einem Code zu suchen, einer „Flag“. Entsprechend ging es bei dem Wettbewerb darum, Aufgaben aus unterschiedlichen Bereichen der IT-Sicherheit zu lösen und am Ende immer diese Flag zu finden.
Angetreten waren über 200 Hochschulteams aus der ganzen Welt, um sich insgesamt 32 Challenges, beispielsweise aus den Bereichen IT-Sicherheit, Forensik, Kryptografie, Reverse Engineering und Web-Applications, zu stellen.
Höchste Motivation, anspruchsvolle Challenges
Über einen Discord-Server hat das WBH-Team um Michael Best, Dozent für den Bereich IT-Sicherheit an der WBH, von Freitagnachmittag bis Sonntagnachmittag in unterschiedlichen Channels und Kleingruppen an den Challenges getüftelt. Die Nacht wurde zum Tag – fast 48 Stunden lang war immer jemand aktiv. Und Motivation, Improvisationstalent und Teamwork wurden belohnt: Von über 200 Teams weltweit hat es die WBH auf Platz 56 geschafft. Das ist ein besonders großer Erfolg, da die Anforderungen an Cyber-Kenntnisse weit über das hinausgingen, was an Hochschulen gelehrt wird, und die Konkurrenz zum Teil aus PhD-Studenten der IT-Sicherheit bestand.
Capture the Flag – so sahen die Challenges aus
„Gegeben war ein TCP-Stream, den man sich mit Wireshark, einem Tool zum Analysieren von Protokollen, anschauen kann“, erklärt Michael Best, wie so eine Challenge beispielsweise aussah. „In einem HTTP-Stream war in jedem Paket ein zwei Zeichen großes Etwas versteckt, das man eigentlich immer übersieht. Einer der Studierenden hat sich die Mühe gemacht, diese Pakete zusammenzubauen. Es kam eine Internetadresse raus – hurra! Beim Aufruf hat man eine Datei zum Download angeboten bekommen. Diese Datei war wiederum ein Base64-String, die dann eine Binärdatei decodiert hat, die ein Bild enthielt. Dieses Bild wiederum enthielt einen SHA1-Hash. Die erste Idee, nämlich auszuprobieren, ob es eine Bitcoin-Wallet ist, war schon ziemlich gut. Im Endeffekt war es eine Etherum-Wallet, eine andere Kryptowährung. Dann hat man sich die Zahlungsströme angeschaut, und ein Absender einer Transaktion hatte einen sogenannten ,Smart-Contract‘, der dann schlussendlich die Flag enthielt. Wenn man mit Headset und sechs Leuten gemeinsam eine solche Aufgabe erfolgreich löst, ist die Begeisterung natürlich immens“, fasst er zusammen. Am Ende waren sich alle Teilnehmenden einig: eine super Idee, als WBH-Team hier mitzumachen.
In Planung: Eigene Events an der WBH
Entstanden ist die Idee, am Wettbewerb teilzunehmen, beim IT-Sicherheitsstammtisch, der auf Initiative von Michael Best jeden zweiten Donnerstag um 21 Uhr stattfindet. Er bietet interessierten Studierenden wertvolle und interessante Einblicke in die IT-Sicherheit, mit spannenden Vorträgen aus der Praxis und der Möglichkeit, sich untereinander auszutauschen.
Und weil das Feedback der Teilnehmenden zum Wettbewerb so positiv war, ist daraus der Plan gereift, solche Events in kleinerem Format in Zukunft auch intern und für Anfänger*innen zu organisieren. „Die Möglichkeit, mit Spaß und Teamwork auszuprobieren, wie man Sicherheitslücken erkennt und einen Server hackt, ist einfach die optimale Praxisübung“, weiß Michael Best aus Erfahrung. „Und wir sind schließlich eine University of Applied Sciences – dem Namen wollen wir auch weiterhin rundum gerecht werden.“