Chaos-Darmstadt

Ihre verläßliche CCC-Vertretung in Südhessen

(edit)

Capture the Flag

Bei Capture the Flag (CTF)-Wettbewerben treten mehrere Teams gegeneinander an und versuchen, in die gegnerische Festung einzudringen. Zum "Beweis" der erfolgreichen Penetration der gegnerischen Festung wird dem Gegner eine Flagge gestohlen und in die eigene Festung gebracht.

In der IT-Sicherheit wandelt man das Spiel etwas ab: Die Festungen sind Programme, die ueber ein Netzwerk angesprochen werden koennen. (Sogenannte Dienste) Die Flaggen sind vertrauliche Daten, die von einer Jury an die Dienste verteilt werden. (Meist geschieht dies automatisiert) Die Teams versuchen nun, durch Ausnutzung von Sicherheitsluecken an die Flaggen zu kommen. Diese werden dann an die Jury geschickt -- als Beweis fuer den Erfolg. Fuer jede eroberte Flagge gibt es Offensivpunkte. Offensivpunkte sind ein Maß für die Fähigkeit, Sicherheitslücken aufzuspüren und in der Praxis auszunutzen.

Nach einer gewissen Zeit sammelt die Jury die verteilten Flaggen wieder ein. Fuer jede eingesammelte Flagge, die von keinem Team an die Jury gemeldet wurde, gibt es Defensivpunkte. Die Defensivpunkte sind ein Maß für die Fähigkeit, Sicherheitslücken aufzuspüren und zu beseitigen.

Bei vielen CTF-Spielen sollen die Teams auch Advisories schreiben. Advisories sind standardisierte Beschreibungen von sicherheitsrelevanten Fehlern (Sicherheitslücken). Eingereichte Advisories werden nach unterschiedlichen Kriterien bewertet und für alle Teams sichtbar veröffentlicht. Advisorypunkte sind ein Maß für die Fähigkeit, Sicherheitslücken zu erkennen und ihr Ausmaß theoretisch vorherzusagen. Je nach Regeln wird außerdem ein funktionierender Exploit -- ein kurzes Programm, mit dessen Hilfe man die Schwachstelle ausnutzen kann -- gefordert.

Mitglieder von Chaos Darmstadt haben bereits mit Erfolg an internationalen CTFs teilgenommen.

Ab und zu organisieren wir selbst CTF-Wettbewerbe. Ausserdem spielen wir mit unserem Team, den WizardsOfDos, regelmäßig bei CTFs mit und beschäftigen uns auch sonst mit Aspekten der angewandten IT-Sicherheit. Details hierzu gibt es im WizardsOfDos-Blog.