Bericht von Andrea Moschin

Aufgrund von COVID-19 haben wir uns dieses Jahr kurzerhand entschlossen, das klassische Format abzusagen und ins 2021 zu verschieben. Aber … der CTF (Capture the Flag), Bestandteil der letzten Durchführung, wo sich Hacker und Hackerinnen in einem Wettbewerb messen, das wäre doch online bestens machbar.

Ein passendes Programm wurde vom Organisationsteam der Cyber Security Days am INS Institut für vernetzte Systeme mit Compass Security ausgearbeitet. Sich messen in 3 Runden mit je 6 Challenges von Level leicht bis schwer. Das war der Output von einigen Sitzungen. Die Rundenzeiten sollten 1, 2 und 4 Stunden dauern. Das wäre doch eine tolle Herausforderung für angehende bis Profi-Hacker. Schnell hat sich bemerkbar gemacht, dass wir für die Umsetzung Sponsoren mit an Bord holen müssen. Gesagt, getan … wir hatten grosses Glück, mit der OST – Ostschweizer Fachhochschule (Studiengang Informatik und Weiterbildung) und der SIW, drei tolle Hauptsponsoren in unser Projekt miteinzubeziehen. Mit der Möglichkeit, einzelne Challenges zu finanzieren, konnten wir zudem die AdNovum, Bruhin Software, ICT Berufsbildung, IFA, satw, terreActive, UBS AG, WISS und Zühlke für unser Vorhaben gewinnen. Mit diesen finanziellen Mitteln stand uns nichts mehr im Wege, um attraktive Hauptgewinnpreise und kleinere Flagpreise für unsere Teilnehmer/-innen auszuschreiben.

Nun ging es darum, den Teilnehmenden ein attraktives Wettbewerbsumfeld auf unserem Hacking-Lab zu bieten. Nur, wie kommen wir an die richtige Zielgruppe und wie können wir genügend Teilnehmer neugierig machen? Wir dachten da an einen Kreis von ca. 100 Personen. Zu unserer grossen Freude wurden wir total überrennt. Die Zahlen schossen durch die Decke, und wir durften gegen Ende des Anmeldeschlusses gegen 700 Anmeldungen registrieren. Wow … können wir das auf unserem Hacking-Lab stemmen, stellte sich nun die grosse Frage. Können wir! War die Antwort von Compass.

Ab diesem Zeitpunkt wurde auf Hochtouren organisiert. Wir mussten eine optimale Umgebung und technische Infrastruktur für die Durchführung vor Ort schaffen. Im Hacking-Lab der OST musste ein CTF generiert und das Angebot an Herausforderungen ansprechend visualisiert werden. Natürlich mussten da auch unsere Sponsoren auf ihre Kosten kommen, indem die Challenges ihr Logo und Firmentext beinhaltete. Technische Spezialitäten, wie z.B. eine Aufrechterhaltung der Rangliste über mehrere Runden, mussten gelöst werden. Ein Programm für die Auslosung der Zufallsgewinner wurde eigens für den CTF geschrieben und einige Rätsel (Challenges) wurden neu entwickelt.

Und endlich war der Samstag, 14. November 2020 da! Etwas nervös traf sich das Organisationsteam bestehend aus 8 Personen für die finalen Vorbereitungen. Punkt 10 Uhr konnten wir das Happening starten. Ivan Bütler, Dozent Cyber Security an der OST, begrüsste die Teilnehmenden, erklärte die Spielregeln und gab den Startschuss für die erste Runde. In den 3 Runden wurden jeweils 6 Wettbewerbsaufgaben freigeschaltet. Ein Flag (z.B. in Form von einem Code) musste gefunden und eingereicht werden. All diejenigen, die das Flag erfolgreich eingesendet hatten, konnten an der Verlosung per Zufallsprinzip (https:/github.com/HSRNetwork/csd-ctf-winner) vor laufender Kamera einen Gutschein im Wert von 50 Franken gewinnen. Puhhh … es hatte alles reibungslos geklappt. 300 aktive nationale und internationale Anmeldungen im Hacking-Lab, gemäss Insiderkreisen eine beachtliche Zahl. Mit den einzelnen Challenges hatte es dann auch bis zur 3. Runde sehr gut geklappt. Aufgrund technischer Probleme mussten wir 2 Aufgaben offline nehmen und auswechseln. Das war natürlich etwas schade, ist unter den Teilnehmern aber auf Verständnis gestossen. Grosse Beachtung im Live-Stream fanden, neben den Gutscheinauslosungen, auch die Challengeauflösungen während den Rundenpausen. Da wurden jeweils einige der Aufgaben nach Rundenschluss von den Teilnehmenden oder dem Organisationsteam aufgelöst. Lösungswege wurden online präsentiert. Für all diejenigen eine Erlösung, die sich an einer Herausforderung die Zähne ausgebissen hatten.

Am späteren Abend durften wir zum krönenden Abschluss die glücklichen Gewinner bekannt geben. Gewinner waren Hacker und Hackerinnen, die über die gesamten Runden die meisten Punkte erreicht hatten. Die 5 Hauptpreise in Form von Gutscheinen im Wert von 1000, 750, 500, 250 und 125 Franken gingen an h3k, muffinx, pyth0n34, tttttx2 und mannheim-stoering. Die Favoriten hatten sich ein Kopf an Kopf Rennen geliefert. In den letzten Sekunden hatte sich dann auch noch Platz 1 mit Platz 2 gewechselt. Grosses Kino und richtig spannend!

Etwas ausgepowert von dem hektischen Tag, aber dennoch total happy trennten sich die Wege der Teilnehmenden und Organisatoren um ca. 21 Uhr. Wir durften während des Events und auch danach ein tolles Feedback von den Teilnehmern entgegennehmen. Anmerkungen und Verbesserungsvorschläge für eine mögliche Durchführung im nächsten Jahr haben wir mittels Online-Feedbackbogen entgegengenommen.

Der Online CTF wurde in der darauffolgenden Woche nochmals kurz als Shadow-Event aufgeschaltet, damit sich interessierte Teilnehmer nochmals an nicht gelöste Aufgaben ranmachen konnten.

Ein riesengrosses Dankeschön an das Team von Compass Security, die alle technischen Umsetzungen im Hacking-Lab möglich machten. Grossartige Leistung!

Fazit: Toller Event und ein tolles Publikum. Wir hatten sehr viel Spass und freuen uns, aufgrund der positiven Feedbacks und den eigenen Erfahrungen, den Event im ähnlichen Format am Samstag, 20. November 2021 erneut durchzuführen.

Einige Erlebnisberichte zum Online CTF

Die Cyber Security Days 2020 boten Teilnehmern auf verschiedenen Levels die Möglichkeit, spannende Security Challenges zu lösen. Wir haben uns sehr über das positive Feedback gefreut, insbesondere, dass die Teilnehmer nicht nur Spass hatten, sondern auch etwas lernen konnten! Dies entspricht exakt der Idee des Events, welches zum ersten Mal unter dem Patronat der OST gemeinsam mit Compass Security auf dem Hacking-Lab Cyber Range durchgeführt wurde. Mir persönlich hat speziell gefallen, dass das Event über den professionell gestalteten Live Stream einem breiteren Publikum zugänglich gemacht wurde. Speziell danken möchte ich in dem Zusammenhang dem OK der OST, welches den Anlass äusserst professionell von A–Z durchgeführt hat.

Chris Zwicker, Managing Director Compass Security Cyber Defense AG

Es war ein sehr spannender Tag, bei dem wir alle nicht so richtig gewusst haben, wie er endet. Deshalb haben wir alle unser Bestes gegeben und das war toll. Das Teamwork hat bestens funktioniert, es war gute Stimmung im Raum und die wohlwollende Art der Teilnehmer hat uns wohl noch mehr angetrieben. Natürlich war es ein langer und intensiver Tag. Doch weil wir alle am selben Strick zogen, hat er mir persönlich sehr viel Spass gemacht.

Sebastian Hug, Organisationsteam Cyber Security Days

Der Ablauf des CTF hat mir sehr gut gefallen, das Konzept mit den 3 Runden über den Tag verteilt mit je 6 Challenges hat mich sehr angesprochen. Mal etwas anderes! Etwas schade fand ich die technischen Ausfälle in der 3. Runde, wo Challenges von on- auf offline geschaltet wurden (keine Punkte für bereits getane Arbeit). Aber man bemühte sich sofort für eine Auswechslung und somit konnte der Wettbewerb weitergehen. Tendenziell fand ich in dieser Runde auch die Aufgaben eher schwierig und zudem haben mir die «Security Issues» gefehlt. Aber über das Ganze gesehen war es ein äusserst gelungener Online-Anlass mit viel Spass. Ich werde im nächsten Jahr auf jeden Fall wieder dabei sein und freue mich über meinen 5. Platz im diesjährigen Wettbewerb.

mannheim-stoering, CTF-Teilnehmer

Die Cyber Security Days 2020 der OST waren für mich sehr spannend. Zum einen unterscheidet sich das CTF durch die unmittelbare Auflösung von knackigen CTF Challenges zum Ende einer Runde, gepaart mit den coolen Preisen. Jeder konnte gewinnen, weil in den Runden jeweils das Glück entschieden hatte und nicht die Geschwindigkeit oder Menge an gelösten Cyber Aufgaben. Zum Schluss gab es attraktive Preise für die bestrangierten und damit für jene Teilnehmer, welche eine Topleistung über den ganzen Tag abrufen konnten. Speziell hat mir das Engagement des INS gefallen, welche mit Andrea Moschin und Sebastian Hug die Basis für das Gelingen des CTF Events gelegt haben. Aber auch die mega coolen, selbst entwickelten Challenges des INS haben zum Erfolg des Events beigetragen. Ohne deren Einsatz wäre das alles gar nicht möglich gewesen. Ich freue mich sehr, wenn wir dieses Event weiter anbieten können und möchte allen Sponsoren für ihr Vertrauen und Engagement herzlich danken.

Ivan Bütler, Founder & Board Member Compass Security, Entrepreneur, Hacking-Lab

Einen CTF-Wettkampf für einmal von der anderen Seite zu erleben war nicht weniger spannend. Statt kniffliger Challenges halten einen das Planen der Challenges und technische Probleme auf Trab: Ist meine Challenge zu schwer? Zu einfach? Wieso ist der Server nicht mehr online? Mein Dank geht an das Organisationsteam für ihre harte Arbeit und an die Teilnehmer, die mit ihrem Sportsgeist für eine gute Stimmung gesorgt haben. Ich hoffe, dass wir dieses Abenteuer nächstes Jahr wiederholen können.

Marco Zollinger, Organisationsteam Cyber Security Days und Challenge-Autor