Marian
Marian's Security Blog

Marian's Security Blog

The Game for Security: Capture The Flag - CTF

The Game for Security: Capture The Flag - CTF

Marian's photo
Marian
·May 1, 2022·

4 min read

Was hat es mit diesem CTF auf sich? Oft werde ich gefragt, was wir eigentlich bei einem CTF machen. Fragen wie: "Zockt ihr einfach?", "Treffen sich da ein paar Nerds?" hört man ständig. Aber dass ein Capture The Flag viel mehr ist wie nur ein Spiel, dass möchte ich euch in diesem Beitrag zeigen.

It's a game for hack... I mean security professionals!

Ich selbst spiele für das deutsche Hochschul-Team DU4L.org. Aktuell besteht unser Team aus 5 aktiven Teammitgliedern und ein paar Nachwuchstalenten.

In diesem Post möchte ich ein wenig vom Ablauf sowie der nähe zu der Realität von einem CTF berichten. Auf folgende Fragen findet ihr im Folgenden eine Antwort

  • Was macht man bei einem CTF?
  • Ist ein CTF realitätsnah?
  • Was sind das für Challenges?
  • Muss man für ein CTF schlau sein?

CTF - Was ist das?

Meistens besteht ein CTF aus einer Sammlung von einzelnen Herausforderungen in Form von extra präparierten Computersystemen oder ganzen Netzwerken.

Die präparierten Systeme weisen eine oder mehrere spezifische Schwachstellen auf, die es auszunutzen gilt oder es muss ein technisches Rätsel gelöst werden, um die Flagge zu finden. Sie variieren in ihrem Schwierigkeitsgrad und benötigen manchmal sehr spezielle und tiefgreifende technologische Kenntnisse. Viele CTF-Systeme wirken auf den ersten Blick wie ganz normale, Linux- oder Windows-basierte Umgebung und scheinen zunächst gar keine Schwachstellen aufzuweisen. Die eigentliche Herausforderung besteht daher immer wieder darin, die eigenen Grenzen zu überwinden und noch mehr über die jeweilige Technologie zu lernen, die einem zu Beginn häufig unknackbar erscheint. Hier gilt: Nicht aufgeben!

CTF spricht den Spieltrieb an und weckt dadurch den Ehrgeiz. Findet man eine Flagge, ist das gleich ein doppeltes Erfolgserlebnis, da man nicht nur die Herausforderung gemeistert, sondern gleichzeitig eine Menge neuer Fähigkeiten erlernt hat. Dieses neue Wissen kann bereits im IT-Security Alltag sehr hilfreich sein, spätestens aber bei der nächsten CTF-Herausforderung.

Oftmals sind die Aufgaben sehr realitätsnah aufgebaut.

Was haben CTF's mit Cybersecurity zu tun?

Typischerweise besteht das Ziel der CTF-Herausforderung darin, sich in ein Computersystem zu hacken und die “Flagge” zu finden. Die Flagge ist typischerweise eine Textdatei (z.B. flag.txt) mit einem Hash oder einfach eine Zeichenkette dieser Art: “flag{hash_oder_so}”. Alternativ können manchmal die Herausforderungen als Binärdatei heruntergeladen werden und die Flagge kann mittels Reverse Engineering oder kryptographischen Lösungen gefunden werden. Der Inhalt der Flagge steht entweder für sich und kann an die Spielleitung übermittelt werden oder er enthält einen Hinweis auf das nächste Ziel.

Aufgabenbereiche

Prinzipiell kann ein CTF Challenges aus jedem nur erdenklichen Bereich stellen. Am häufigsten findet man die Kategorien:

  • Kryptografie
  • Reverse Engineering
  • Forensik
  • Steganographie
  • Web
  • OSINT
  • etc.

Ihr merkt schon, das sind einige… Selbst Aufgaben aus dem Bereich der Bio-Chemie sind mir schon begegnet.

Was braucht man für ein CTF?

Lust und die Bereitschaft zu knobeln. Auch ein Computer wäre nicht schlecht. Bei der Wahl des Betriebssystems ist man offen. Die meisten Aufgaben können auf jedem gängigen System gelöst werden. Beziehungsweise die nötigen Erweiterungen (IDE, Tools) etc. stehen zur Verfügung. Häufig sieht man das System Kali Linux. Das hat den Vorteil, dass bereits viele hilfreiche Tools schon installiert sind.

Auf die Frage, ob man für ein CTF überaus intelligent sein muss, gibt es nur eine Antwort- NEIN. Die Bereitschaft sich neuen Aufgaben zu stellen und eine gute Kombinationseigenschaft sowie Selbstbewusstsein schadet aber auf keinen Fall! Hin und wieder kann eine Challenge doch sehr nervenaufreibend sein!

Auch ein Team ist nicht zwingend nötig, um an einem CTF teilzunehmen. Oftmals werden noch Mitglieder gesucht oder man kann die Challenges alleine angehen. Dennoch ist ein Team empfehlenswert, da mehrere Personen gemeinsam oftmals schlauer sind als man selbst.

Nur ein Spiel oder Realitätsnah?

Falls man sich mit der Thematik Cyber Security / Info Sec beschäftigt dann sind die meisten CTF Aufgaben doch sehr realitätsnah. Aufgaben sind oft auf bekannte Schwachstellen aufgebaut oder sogar auf realistischen Szenerien aufgebaut. Erst beim letzten CTF hatten wir sogar Hardware Challenges sowie Netzwerkaufgaben. Auch typische SQL Injection Aufgaben trifft man häufig in der Realität an.

Tools

binwalk - Analyze and extract files burp suite - Feature packed web penetration testing framework stegsolve - Pass various filters over images to look for hidden text GDB - Binary debugger The command line :)

Mehr findet ihr auf unserer Team GitHub Page: GitHub Repo

Abschließend lässt sich sagen das CTF's für alle IT interessierten sowie Cyber Security begeisterten und Problemloser die perfekte Freizeitbeschäftigung ist. Die CTF Community ist immer neuen Mitspielern gegenüber sehr aufgeschlossen.

 
Share this