squareroots

Wie schon angekündigt bieten wir im FSS09 eine Workshopreihe zu den Themen Hacking, Security und CTF an. Da schon einige Anfragen kamen, kommen hier jetzt – mit leichter Verspätung – die einzelnen Workshops:

• Einführungsworkshop (24.02.2009 – 17.15 Uhr)
• Hack It
• SQL Injection Basic
• SQL Injection Advanced
• Command Injection Basic
• Command Injection Advanced
• Skripting Basic
• Skripting Advanced
• RegEx Basic
• RegEx Advanced
• Crypto
• Capture-The-Flag Basic
• Capture-The-Flag Advanced

Ihr seht, dass bei den einzelnen Workshops noch kein genaues Datum steht. Die Workshops werden aber wöchentlich stattfinden, d.h. der nächste Workshop nach dem Einführungsworkshop wird in der Woche vom 2. bis zum 5. März stattfinden. Es ist geplant den Termin bei Dienstags, 17.15 Uhr, zu fixieren, das wollen wir aber natürlich noch mit euch absprechen, damit auch möglichst viele Leute Zeit haben.

Zu den Workshops an sich: Wir haben die Workshops alle so konzipiert, dass ihr möglichst viel selbst macht. D.h. ihr werdet eine kurze Einführung bekommen, und dann dürft ihr auch schon loslegen, das jeweilige Ziel zu “hacken” . Dafür haben wir spezielle Anwendungen vorbereitet, die jeweils kleinere Zwischenaufgaben für euch enthalten. Wir haben uns Mühe gegeben, eine möglichst sanfte Lernkurve zu erreichen, dennoch sind Programmiergrundlagen und ein gewisses informatisches Verständnis sehr hilfreich. Eine weitere Besonderheit wird die bereits erwähnte Rangliste. In den Übungsanwendungen sind immer wieder “Secrets” versteckt. Wer diese findet, kann sie bei einem Scoring-System einreichen und Punkte für seinen persönlichen Platz in der Rangliste erhalten – ähnlich wie bei einem richtigen Capture-The-Flag

Alle Workshops finden im Rechnerpool von PI1 statt. Da wir dort nur eine begrenzte Anzahl an Rechnern haben, solltet ihr euer eigenes Notebook mitbringen, falls ihr denn eines habt. Für weitere Fragen stehen wir gerne auf der Mailingliste oder direkt zur Verfügung!
UPDATE: Eine Anmeldung ist natürlich nicht erforderlich. Wer Interesse hat, kommt einfach vorbei und schaut, ob das Thema etwas für ihn ist

Im Rahmen des Frühjahrssemester 2009 wird es natürlich auch eine von den sqrts angebotene Veranstaltung geben . Wir haben für jede Woche des Semesters einen Workshop vorbereitet, der sich mit IT-Security beschäftigt. Dabei werden Webhacking, Kryptographie und allgemeine System- und Netzwerksicherheit auf der Tagesordnung stehen. Die Ausarbeitung der Workshops ist schon relativ weit fortgeschritten, daher können wir euch versprechen, dass jeder Workshop ein Erlebnis wird . Zusätzlich wird es unter den Teilnehmern eine Rangliste geben, die das ganze Semester über aktualisiert wird, den Gewinnern winken natürlich wie immer fantastische Preise . Genaue Daten werden in Kürze hier im Blog oder auch über die Mailingliste angekündigt – wer sich da noch nicht eingetragen hat sollte das also schleunigst nachholen

Wie angekündigt hat ein kleiner Teil der squareroots am CTF des 25C3 teilgenommen.

In dem bis 02.00 Uhr CET dauernden Wettbewerb konnten wir uns am Ende auf dem 7. Platz festsetzen. Den 1. Platz hat dabei das iPhone-dev Team belegt, die vor Ort teilgenommen haben. Der Wettbewerb war durchgehend spannend, auch wenn wir mit den zu untersuchenden Diensten unsere Probleme hatten:

• ultrashare war eine in ruby implementierte
  Filesharingonlineanwendung.
• ICANHAZGOFFERDEEE war die Implementierung eines
  gopher Services, der (leider) auf Lolcode basierte.
• CGIBAS war eine in Basic programmierte Webanwendung – mit einem
  eigens dafür entwickelten Interpreter
• vdspi war ein Telnetservice zur Verwaltung einer
  “Datensammeldatenbank” – passend zum 25C3 . Implementiert war das ganze in Ada.

Desweiteren gab es noch ein RFC, zu dem eine bestimmte Art von Webserver programmiert werden sollte. Diese zeitintensive Aufgabe wurde von uns tatsächlich für die letzte Stunde ans Laufen gebracht – das war allerdings zu spät um damit noch tatsächlich Punkte zu machen. Daher war es ärgerlich, dass wir so viele Ressourcen hineingesteckt hatten, die uns dann beim Bearbeite des ruby-Dienstes sowie dem Lolcode fehlten. Kombiniert mit – mal wieder – leichten Infrastrukturproblemen kam dann dabei ein nicht ganz zufriedenstellender 7. Platz heraus. Da wir während des Wettbewerbs aber durchaus einige Erfolge verbuchen konnten, die auf langfristig investierte Arbeit zurückzuführen waren, sind wir weiterhin zuversichtlich unseren “oberes Drittel”-Trend wieder zu einem “unter die ersten Drei”-Trend zu verwandlen

Am Montag, den 29.12.2008, findet im Rahmen des 25C3 des CCC ein CTF-Contest statt. Die squareroots werden natürlich – mit einem durch die Ferien dezimierten Team – teilnehmen. Auch wenn es dieses Mal kein Besucherrahmenprogramm geben wird, freuen wir uns wie immer über Zuschauer und Interessierte. Der Wettbewerb wird um 18.00 CET beginnen und 8 Stunden dauern. Wie üblich stellen die Veranstalter eine Übersichtsseite bereit, die alle wichtigen Informationen bündelt.

Nach unserem sehr guten zweiten Platz beim letztjährigen iCTF konnten wir dieses Jahr nur einen guten 6. Platz belegen. Wie jedes Mal war das iCTF etwas besonderes: Es wurde kein klassisches CTF-VMWare-Image verteilt, stattdessen wurde jedem Team ein Zielnetzwerk zugeteilt, in dem verschiedene Systeme zu finden waren. Diese Systeme mussten über diverse Services – hauptsächlich Webapplikationen – übernommen werden, um an das eigentliche Zielsystem zu kommen. Dieses Zielsystem stellt im Szenario einer Cybercrime-Organisation den Kontrollrechner einer Bombe dar, die es zu entschärfen galt. Punkte konnte man durch die Dokumentation der entdeckten Schwachstellen sowie verschiedene Quests erhalten. Nachdem wir relativ schnell (ca. 2h vor Ende des Wettbewerbs) root-Zugriff auf allen Systemen, inklusive dem Bombensystem, erlangt hatten, beschäftigten wir uns weiter mit den Quests, da nur Punkte erzielt werden konnten, so lange die Bombe noch nicht entschärft war. Da diese Entschärfung über ein simples Netzwerkinterface möglich war, wollten wir so lange wie möglich Punkte sammeln. Als es dann an die letztendliche Entschärfung ging, stellten wir fest, dass die Entschärfung inklusive bereits vorbereiteter Änderungen nicht so funktionierte wie wir uns das vorstellten Somit haben wir es leider – extrem knapp – nicht geschafft, die Bombe zu entschärfen – was dann auch eine noch bessere Platzierung verhindert hat. Insgesamt sind wir mit unserer Leistung jedoch sehr zufrieden, da es keine unnötigen Fehler wie beim CIPHER4 oder Da-Op3n08 gab. In diesem Sinne schauen wir extrem optimistisch dem CTF beim 25C3 entgegen. Stay tuned

Wie die Meisten mit Sicherheit schon mitbekommen haben, nehmen wir auch dieses Jahr wieder am international Capture the Flag Contest der University of California Santa Barbara teil. Dieses Jahr wird mit 38 teilnehmenden Teams – mal wieder – eine Rekordanzahl erreicht. Nachdem wir im letzten Jahr den 2. Platz belegen konnten, sind wir zuversichtlich, wieder eine gute Platzierung zu erreichen. Dabei freuen wir uns natürlich über alle Interessierten, die sich einen CTF-Contest mal live anschauen wollen. Es wird um 19.00 einen Vortrag von Professor Freiling geben, der allgemeine IT-Security Grundlagen sowie den Ablauf eines CTF-Contests erklärt. Danach gibt es dann natürlich die Möglichkeit, das Team live zu besuchen, anzufeuern und natürlich auch Fragen zu stellen. Der Vortrag dauert von 19.00 – 20.00, der Veranstaltungsraum ist ab dem Eingang zur Bibliothek ausgeschildert.

Für alle, die leider keine Zeit haben persönlich vorbeizuschauen, wird es natürlich wieder eine Webcam geben. Auf der gleichen Seite werden auch alle wettbewerbs-relevanten Daten gesammelt.

Wir freuen uns auf alle Teilnehmer und Interessierten!

Der letzte Workshop vor dem iCTF wird sich mit dem Thema Bash-Programmierung befassen. Wie bei den vorangegangenen Workshops wird auch hier der Fokus ganz klar auf der Anwendbarkeit während eines CTF-Contests liegen. Der Termin ist der 12.11.2008 (Achtung, dieses Mal ein Mittwoch!), wie immer um 17.15 Uhr im CTF-Pool. Dieser Workshop wird Regex-Vorkenntnissen voraussetzen, wer diesen Workshop leider verpasst hat sollte sich also zumindest kurz die Folien anschauen.

UPDATE: Der Workshop findet sich hier zum Download.

Wie angekündigt findet diese Woche der Workshop zum Thema “Reguläre Ausdrücke” statt. Der Termin ist wieder Donnerstag, 6.11.2008, um 17.15 Uhr. Wir freuen uns auf noch mehr Interessierte

Update: Die Folien stehen zum Download bereit!

Im Dezember wird – wie jedes Jahr – die inoffizielle CTF-Weltmeisterschaft in Form des international CTF der University of California Santa Barbara (UCSB) stattfinden. Nachdem beim DA-Op3n-Wettbewerb viele CTF-Interessierte anwesend waren und auch teilgenommen haben, bieten wir eine Workshopreihe an, die auf das iCTF vorbereiten soll. Alle Workshops werden aufeinander aufbauen und Kenntnisse der vorhergehenden Kurse voraussetzen. Daher ist es nützlich, die Termine möglichst vollständig zu besuchen. Die einzelnen Themen sind:

• 30.10.2008, 17.15 Uhr: Netzwerkgrundlagen für CTF-Player
• KW 45: Reguläre Ausdrücke
• KW 46: Bash-Skripting für Exploits

Die Workshops finden wie immer in unserem CTF-Pool statt; die weiteren Termine werden noch rechtzeitig bekannt gegeben. Eine Anmeldung ist nicht erforderlich. Ein eigenes Notebook ist von Vorteil, da nur eine sehr begrenzte Anzahl an PC-Arbeitsplätzen zur Verfügung steht. Fragen können wie immer gerne über die Mailingliste oder an info@squareroots.de geschickt werden.

UPDATE:
Die Folien stehen zum Download bereit. Da diese nur Stichworte enthalten, sollten sie während des Workshops mit Notizen ergänzt werden

UPDATE2:
Die Übungen stehen zum Download bereit

Die Squareroots unterhalten ab sofort eine Mailingliste für Announcements über Wettbewerbteilnahmen, geplante Workshops und ähnliches. Wer da also “in the loop” bleiben möchte, möge sich unter https://blog.squareroots.de/cgi-bin/mailman/listinfo/ctf-pub/ anmelden.