squareroots

Da wir einige CTF-Wettbewerbe in der Vergangenheit versäumten haben wir beschlossen, eine gemeinsame Mailingliste für Informationen über CTF Wettbewerbe zu Hosten. Es wäre toll, wenn sich alle Team-Mitglieder der CTF-Teams an der Mailingliste registrieren, um die Liste zu einer gemeinsame Quelle für CTF Informationen werden zu lassen. Die Liste ist erreichbar unter: ctf [at] lists.ctf hacking.de, eine Web-basierte Anmeldung ist auch möglich: http://ctf-hacking.de/cgi-bin/mailman/listinfo/ctf

Im Rahmen der Berichterstattung zum iCTF 2007 mit den Squareroots (Artikel Technology Review) wurde in Laufe der letzten Woche ein Interview mit Giovanni Vigna (link), dem Organisator eines der größten Capture-the-Flag-Wettbewerbe der Welt, dem UCSB iCTF, publiziert.
Im Rahmen der Entstehungs- und Entwicklungsgeschichte des iCTF, stellt Giovanni die hervorragende Vorbereitung und die entsprechenden guten Ergebnisse der “(…) Teams, wie Squareroots, ENOFLAG, We_0wn_Y0u und 0ldEur0pe, insbesondere der deutschen Teams (…)” besonders heraus.
Desweiteren meint er: “Ich würde dort (DEFCON) gern einmal Teams wie Squareroots oder ENOFLAG sehen (…)”. In wieweit sich ein Trip in die USA für das ganze Team ermöglichen lässt, werden wir abwarten müssen, es bestehen allerdings Pläne an der nächsten DEFCON-Qualifikation teilzunehmen. Im Falle einer Qualifikation bietet sich ja vlt die Möglichkeit mit Unterstützung von Sponsoren Giovanni Vignas Wunsch nach zu kommen

Momentan beginnt außerdem die “gelobte” Vorbereitung auf den CIPHER 5, ein am 09.07.09 stattfindender CTF-Wettbewerb. Nähere Informationen zu diesem Event werden hier im Blog bekanntgegeben.

Link auf das Interview:
“Die Russen sind wirklich gut”
http://www.heise.de/tr/Die-Russen-sind-wirklich-gut–/artikel/137937/0/0

In der Ausgabe 06.2009 der Zeitschrift Technology Review des Heise-Verlags wurde ein Artikel über CTF-Wettbewerbe veröffentlicht. Dieser Artikel beschreibt konkret das letzte iCTF aus Sicht der squareroots. Während unserer Teilnahme hat uns die ganze Zeit ein Reporter der Zeitschrift begleitet und beobachtet. Seine zusammegefassten Eindrücke haben dann einen Artikel ergeben, der sehr gut die Stimmung eines CTFs transportiert. Für Interessierte: Das Heft sollte aktuell noch im Handel erhältlich sein

Zum Abschluss der Workshopreihe werden wir ein CTF veranstalten, in dem alle Teilnehmer die Möglichkeit erhalten, ihre neuen Fähigkeiten einmal praktisch anzuwenden. Dieses CTF wird am 4.6 um 17.00 in unserem Pool stattfinden. Wer mitspielen möchte, meldet sich bitte bei einem beliebigen Teammitglied an — Zuschauen ist natürlich jederzeit und ohne Anmeldung möglich

Es war die letze Zeit sehr ruhig hier im Blog, da wir alle extrem mit den Workshops beschäftigt waren — zusätzlich zu unserem prinzipiell hohen Beschäftigungsgrad . Nachdem der erste Workshop mit 60 Teilnehmern definitiv die Kapazität unseres Pools gesprengt hat, sind wir die darauffolgenden Wochen in den PiPool umgezogen. Dort hatten wir dann die nächsten Wochen — bis zum ersten sonnigen Tag — eine Teilnehmerzahl von 40 Leuten. Danach hat sich das auf 6-8 vielversprechende und zuverlässig mitarbeitende Studenten eingependelt.

An dieser Stelle bedankt sich das Team bei allen Mitgliedern, die bereit waren sehr viel Zeit in die Vorbereitung der Workshops zu investieren. Das ganze hat sich sehr gelohnt, da wir unserer Meinung nach eine sehr gute Workshopreihe auf die Beine gestellt haben — auch wenn nicht immer alles rund lief. Daher nochmals Danke an alle, die ihre Freizeit so bereitwillig investiert haben!

Danke natürlich auch unsere Teilnehmer, die die ganze Mühe natürlich absolut wert waren Wir haben vor, die Workshopreihe regelmäßig jedes Frühjahrssemester anzubieten. Falls wir das vergessen sollten, erinnert uns einfach daran

Wie schon angekündigt bieten wir im FSS09 eine Workshopreihe zu den Themen Hacking, Security und CTF an. Da schon einige Anfragen kamen, kommen hier jetzt – mit leichter Verspätung – die einzelnen Workshops:

• Einführungsworkshop (24.02.2009 – 17.15 Uhr)
• Hack It
• SQL Injection Basic
• SQL Injection Advanced
• Command Injection Basic
• Command Injection Advanced
• Skripting Basic
• Skripting Advanced
• RegEx Basic
• RegEx Advanced
• Crypto
• Capture-The-Flag Basic
• Capture-The-Flag Advanced

Ihr seht, dass bei den einzelnen Workshops noch kein genaues Datum steht. Die Workshops werden aber wöchentlich stattfinden, d.h. der nächste Workshop nach dem Einführungsworkshop wird in der Woche vom 2. bis zum 5. März stattfinden. Es ist geplant den Termin bei Dienstags, 17.15 Uhr, zu fixieren, das wollen wir aber natürlich noch mit euch absprechen, damit auch möglichst viele Leute Zeit haben.

Zu den Workshops an sich: Wir haben die Workshops alle so konzipiert, dass ihr möglichst viel selbst macht. D.h. ihr werdet eine kurze Einführung bekommen, und dann dürft ihr auch schon loslegen, das jeweilige Ziel zu “hacken” . Dafür haben wir spezielle Anwendungen vorbereitet, die jeweils kleinere Zwischenaufgaben für euch enthalten. Wir haben uns Mühe gegeben, eine möglichst sanfte Lernkurve zu erreichen, dennoch sind Programmiergrundlagen und ein gewisses informatisches Verständnis sehr hilfreich. Eine weitere Besonderheit wird die bereits erwähnte Rangliste. In den Übungsanwendungen sind immer wieder “Secrets” versteckt. Wer diese findet, kann sie bei einem Scoring-System einreichen und Punkte für seinen persönlichen Platz in der Rangliste erhalten – ähnlich wie bei einem richtigen Capture-The-Flag

Alle Workshops finden im Rechnerpool von PI1 statt. Da wir dort nur eine begrenzte Anzahl an Rechnern haben, solltet ihr euer eigenes Notebook mitbringen, falls ihr denn eines habt. Für weitere Fragen stehen wir gerne auf der Mailingliste oder direkt zur Verfügung!
UPDATE: Eine Anmeldung ist natürlich nicht erforderlich. Wer Interesse hat, kommt einfach vorbei und schaut, ob das Thema etwas für ihn ist

Im Rahmen des Frühjahrssemester 2009 wird es natürlich auch eine von den sqrts angebotene Veranstaltung geben . Wir haben für jede Woche des Semesters einen Workshop vorbereitet, der sich mit IT-Security beschäftigt. Dabei werden Webhacking, Kryptographie und allgemeine System- und Netzwerksicherheit auf der Tagesordnung stehen. Die Ausarbeitung der Workshops ist schon relativ weit fortgeschritten, daher können wir euch versprechen, dass jeder Workshop ein Erlebnis wird . Zusätzlich wird es unter den Teilnehmern eine Rangliste geben, die das ganze Semester über aktualisiert wird, den Gewinnern winken natürlich wie immer fantastische Preise . Genaue Daten werden in Kürze hier im Blog oder auch über die Mailingliste angekündigt – wer sich da noch nicht eingetragen hat sollte das also schleunigst nachholen

Wie angekündigt hat ein kleiner Teil der squareroots am CTF des 25C3 teilgenommen.

In dem bis 02.00 Uhr CET dauernden Wettbewerb konnten wir uns am Ende auf dem 7. Platz festsetzen. Den 1. Platz hat dabei das iPhone-dev Team belegt, die vor Ort teilgenommen haben. Der Wettbewerb war durchgehend spannend, auch wenn wir mit den zu untersuchenden Diensten unsere Probleme hatten:

• ultrashare war eine in ruby implementierte
  Filesharingonlineanwendung.
• ICANHAZGOFFERDEEE war die Implementierung eines
  gopher Services, der (leider) auf Lolcode basierte.
• CGIBAS war eine in Basic programmierte Webanwendung – mit einem
  eigens dafür entwickelten Interpreter
• vdspi war ein Telnetservice zur Verwaltung einer
  “Datensammeldatenbank” – passend zum 25C3 . Implementiert war das ganze in Ada.

Desweiteren gab es noch ein RFC, zu dem eine bestimmte Art von Webserver programmiert werden sollte. Diese zeitintensive Aufgabe wurde von uns tatsächlich für die letzte Stunde ans Laufen gebracht – das war allerdings zu spät um damit noch tatsächlich Punkte zu machen. Daher war es ärgerlich, dass wir so viele Ressourcen hineingesteckt hatten, die uns dann beim Bearbeite des ruby-Dienstes sowie dem Lolcode fehlten. Kombiniert mit – mal wieder – leichten Infrastrukturproblemen kam dann dabei ein nicht ganz zufriedenstellender 7. Platz heraus. Da wir während des Wettbewerbs aber durchaus einige Erfolge verbuchen konnten, die auf langfristig investierte Arbeit zurückzuführen waren, sind wir weiterhin zuversichtlich unseren “oberes Drittel”-Trend wieder zu einem “unter die ersten Drei”-Trend zu verwandlen

Am Montag, den 29.12.2008, findet im Rahmen des 25C3 des CCC ein CTF-Contest statt. Die squareroots werden natürlich – mit einem durch die Ferien dezimierten Team – teilnehmen. Auch wenn es dieses Mal kein Besucherrahmenprogramm geben wird, freuen wir uns wie immer über Zuschauer und Interessierte. Der Wettbewerb wird um 18.00 CET beginnen und 8 Stunden dauern. Wie üblich stellen die Veranstalter eine Übersichtsseite bereit, die alle wichtigen Informationen bündelt.

Nach unserem sehr guten zweiten Platz beim letztjährigen iCTF konnten wir dieses Jahr nur einen guten 6. Platz belegen. Wie jedes Mal war das iCTF etwas besonderes: Es wurde kein klassisches CTF-VMWare-Image verteilt, stattdessen wurde jedem Team ein Zielnetzwerk zugeteilt, in dem verschiedene Systeme zu finden waren. Diese Systeme mussten über diverse Services – hauptsächlich Webapplikationen – übernommen werden, um an das eigentliche Zielsystem zu kommen. Dieses Zielsystem stellt im Szenario einer Cybercrime-Organisation den Kontrollrechner einer Bombe dar, die es zu entschärfen galt. Punkte konnte man durch die Dokumentation der entdeckten Schwachstellen sowie verschiedene Quests erhalten. Nachdem wir relativ schnell (ca. 2h vor Ende des Wettbewerbs) root-Zugriff auf allen Systemen, inklusive dem Bombensystem, erlangt hatten, beschäftigten wir uns weiter mit den Quests, da nur Punkte erzielt werden konnten, so lange die Bombe noch nicht entschärft war. Da diese Entschärfung über ein simples Netzwerkinterface möglich war, wollten wir so lange wie möglich Punkte sammeln. Als es dann an die letztendliche Entschärfung ging, stellten wir fest, dass die Entschärfung inklusive bereits vorbereiteter Änderungen nicht so funktionierte wie wir uns das vorstellten Somit haben wir es leider – extrem knapp – nicht geschafft, die Bombe zu entschärfen – was dann auch eine noch bessere Platzierung verhindert hat. Insgesamt sind wir mit unserer Leistung jedoch sehr zufrieden, da es keine unnötigen Fehler wie beim CIPHER4 oder Da-Op3n08 gab. In diesem Sinne schauen wir extrem optimistisch dem CTF beim 25C3 entgegen. Stay tuned