squareroots

Nach unserem sehr guten zweiten Platz beim letztjährigen iCTF konnten wir dieses Jahr nur einen guten 6. Platz belegen. Wie jedes Mal war das iCTF etwas besonderes: Es wurde kein klassisches CTF-VMWare-Image verteilt, stattdessen wurde jedem Team ein Zielnetzwerk zugeteilt, in dem verschiedene Systeme zu finden waren. Diese Systeme mussten über diverse Services – hauptsächlich Webapplikationen – übernommen werden, um an das eigentliche Zielsystem zu kommen. Dieses Zielsystem stellt im Szenario einer Cybercrime-Organisation den Kontrollrechner einer Bombe dar, die es zu entschärfen galt. Punkte konnte man durch die Dokumentation der entdeckten Schwachstellen sowie verschiedene Quests erhalten. Nachdem wir relativ schnell (ca. 2h vor Ende des Wettbewerbs) root-Zugriff auf allen Systemen, inklusive dem Bombensystem, erlangt hatten, beschäftigten wir uns weiter mit den Quests, da nur Punkte erzielt werden konnten, so lange die Bombe noch nicht entschärft war. Da diese Entschärfung über ein simples Netzwerkinterface möglich war, wollten wir so lange wie möglich Punkte sammeln. Als es dann an die letztendliche Entschärfung ging, stellten wir fest, dass die Entschärfung inklusive bereits vorbereiteter Änderungen nicht so funktionierte wie wir uns das vorstellten Somit haben wir es leider – extrem knapp – nicht geschafft, die Bombe zu entschärfen – was dann auch eine noch bessere Platzierung verhindert hat. Insgesamt sind wir mit unserer Leistung jedoch sehr zufrieden, da es keine unnötigen Fehler wie beim CIPHER4 oder Da-Op3n08 gab. In diesem Sinne schauen wir extrem optimistisch dem CTF beim 25C3 entgegen. Stay tuned

Wie die Meisten mit Sicherheit schon mitbekommen haben, nehmen wir auch dieses Jahr wieder am international Capture the Flag Contest der University of California Santa Barbara teil. Dieses Jahr wird mit 38 teilnehmenden Teams – mal wieder – eine Rekordanzahl erreicht. Nachdem wir im letzten Jahr den 2. Platz belegen konnten, sind wir zuversichtlich, wieder eine gute Platzierung zu erreichen. Dabei freuen wir uns natürlich über alle Interessierten, die sich einen CTF-Contest mal live anschauen wollen. Es wird um 19.00 einen Vortrag von Professor Freiling geben, der allgemeine IT-Security Grundlagen sowie den Ablauf eines CTF-Contests erklärt. Danach gibt es dann natürlich die Möglichkeit, das Team live zu besuchen, anzufeuern und natürlich auch Fragen zu stellen. Der Vortrag dauert von 19.00 – 20.00, der Veranstaltungsraum ist ab dem Eingang zur Bibliothek ausgeschildert.

Für alle, die leider keine Zeit haben persönlich vorbeizuschauen, wird es natürlich wieder eine Webcam geben. Auf der gleichen Seite werden auch alle wettbewerbs-relevanten Daten gesammelt.

Wir freuen uns auf alle Teilnehmer und Interessierten!

Der letzte Workshop vor dem iCTF wird sich mit dem Thema Bash-Programmierung befassen. Wie bei den vorangegangenen Workshops wird auch hier der Fokus ganz klar auf der Anwendbarkeit während eines CTF-Contests liegen. Der Termin ist der 12.11.2008 (Achtung, dieses Mal ein Mittwoch!), wie immer um 17.15 Uhr im CTF-Pool. Dieser Workshop wird Regex-Vorkenntnissen voraussetzen, wer diesen Workshop leider verpasst hat sollte sich also zumindest kurz die Folien anschauen.

UPDATE: Der Workshop findet sich hier zum Download.

Wie angekündigt findet diese Woche der Workshop zum Thema “Reguläre Ausdrücke” statt. Der Termin ist wieder Donnerstag, 6.11.2008, um 17.15 Uhr. Wir freuen uns auf noch mehr Interessierte

Update: Die Folien stehen zum Download bereit!

Im Dezember wird – wie jedes Jahr – die inoffizielle CTF-Weltmeisterschaft in Form des international CTF der University of California Santa Barbara (UCSB) stattfinden. Nachdem beim DA-Op3n-Wettbewerb viele CTF-Interessierte anwesend waren und auch teilgenommen haben, bieten wir eine Workshopreihe an, die auf das iCTF vorbereiten soll. Alle Workshops werden aufeinander aufbauen und Kenntnisse der vorhergehenden Kurse voraussetzen. Daher ist es nützlich, die Termine möglichst vollständig zu besuchen. Die einzelnen Themen sind:

• 30.10.2008, 17.15 Uhr: Netzwerkgrundlagen für CTF-Player
• KW 45: Reguläre Ausdrücke
• KW 46: Bash-Skripting für Exploits

Die Workshops finden wie immer in unserem CTF-Pool statt; die weiteren Termine werden noch rechtzeitig bekannt gegeben. Eine Anmeldung ist nicht erforderlich. Ein eigenes Notebook ist von Vorteil, da nur eine sehr begrenzte Anzahl an PC-Arbeitsplätzen zur Verfügung steht. Fragen können wie immer gerne über die Mailingliste oder an info@squareroots.de geschickt werden.

UPDATE:
Die Folien stehen zum Download bereit. Da diese nur Stichworte enthalten, sollten sie während des Workshops mit Notizen ergänzt werden

UPDATE2:
Die Übungen stehen zum Download bereit

Die Squareroots unterhalten ab sofort eine Mailingliste für Announcements über Wettbewerbteilnahmen, geplante Workshops und ähnliches. Wer da also “in the loop” bleiben möchte, möge sich unter https://blog.squareroots.de/cgi-bin/mailman/listinfo/ctf-pub/ anmelden.

Ab sofort sind die Unterlagen des Info-Vortrags vom Dienstag, 26. August, online. Ihr findet sie unter squareroots-einfuehrung.

Die Anmeldung für die öffentliche Infoliste findet ihr unter http://lists.squareroots.de/cgi-bin/mailman/listinfo/ctf-pub

Nach dem CIPHER findet am 6. September 2008 der nächste Capture-the-Flag-Contest statt. Die TU Darmstadt organisiert den DA-Open, der für alle Interessierten die erste Möglichkeit darstellt, bei einem CTF-Wettbewerb mitzuspielen.

Achtung Änderung
Ein Vorab-Termin zur Einführung findet am 26. August um 16:15 im üblichen squareroots-Lab statt. Es ist keine Voranmeldung erforderlich und wir freuen uns über jeden Teilnehmer!

Zuschauer sind natürlich auch beim DA-Open wieder herzlich willkommen, eine Ankündigung hierzu wird in Kürze erfolgen.

Am letzten Freitag, dem 1. August, fand der lang erwartete CIPHER4 statt. Wir waren mit großen Erwartungen an diesen Wettbewerb gegangen. René hatte sogar extra einen neuen Trailer (er hatte bereits beim UCSB einen erstellt) gedreht.
Als um 18 Uhr der GPG-Key für das Image freigegeben wurde, stellten wir mit Erschrecken fest, dass man bei den Organisatoren die pervese Idee hatte, einen Dienst in Postscript und einen in Haskell zu implementieren. Der Postscript-Dienst war ein simpler FTP Service, der Haskell-Dienst eine AI, die zentral beim Gameserver gegen die anderen Teams “Vier gewinnt” spielte. Zudem gab es einen Bilder-Tagging-Dienst in Perl, einen StudiVZ-Klon in Python namens “myspray”, einen PHP-Service mit Namen “rapid graffiti”, den ICQ-artigen Messenger “gabble” und den Binarydienst “5kr3wdr1v3r”.
Unser – wie sich später rausstellte nicht gute – Ansatz war es, alle Dienste solange runterzufahren, wie deren Funktionsweise nicht klar war bzw. dessen Schwachstellen nicht gefixt waren. Aus diesem Grund wussten wir lange nicht, welche Flaggen wo gespeichert sind und konnten uns dementsprechend nicht auf den Angriff konzentrieren. Um 22:18 Uhr konnten wir dann die erste Flagge einreichen. Nach sehr schlechtem Start konnten wir am Ende noch einen 8. Platz erreichen. Das Ergebnis ist zwar alles andere als gut, allerdings war es wohl so, dass wir das beste aus unserem schlechten Start gemacht haben.
Aus den Fehlern haben wir jetzt gelernt und bereiten uns auf den Da Op3n am 6. September vor.

Update

Wir haben eine Galerie mit den Bildern vom CIPHER4 online gestellt.

Als Belohnung für das gute Ergebnis beim UCSB CTF wurde vom Lehrstuhl eine Fahrt zu Daimler nach Stuttgart organisiert. Neben interessanten Vorträgen wurden auch diese Fotos der squareroots und Mitarbeiter des Lehrstuhls geschossen.