TU Wien siegt bei virtuellem Bankraub

Das Team der TU Wien We_0wn_Y0u hat den diesjährigen internationalen Hacking-Wettbewerb Capture the Flag (CTF) der Universität von Kalifornien in Santa Barbara (UCSB) gewonnen. Auf dem zweiten und dritten Platz folgten die Wizards of DoS von der TU Darmstadt und WCSC von der Universität von Südflorida in Tampa. Titelverteidiger 0ld Eur0pe von der RWTH Aachen musste sich mit Blech begnügen. Insgesamt hatten an dem etwa elf Stunden dauernden Wettkampf 25 Universitäten aus den USA, Deutschland, Österreich, Australien, Frankreich, Italien und Russland teilgenommen.

Zu Beginn wurde das gleiche VMWare-Image eines Bank-Servers an alle Teams verteilt. Installiert waren Services wie Kontoführung, Börsehandel, Geldwechsel und Versicherungsdienstleistungen, die in unterschiedlichen Sprachen programmiert waren und jeweils undokumentierte Sicherheitslücken aufwiesen. Jede Mannschaft stellte eine Bank dar, die ihren Server im VPN (Virtual Private Network) des Bewerbs möglichst hoch verfügbar zu halten hatte. Gleichzeitig sollte wenig Traffic generiert werden; DoS-Attacken waren gänzlich untersagt.

Mit einem Startkapital von einer Million virtueller Dollar ausgestattet konnte jede Bank auf drei Arten Geld verdienen: Die "Zentralbank" der UCSB testete zu unterschiedlichen Zeitpunkten die Verfügbarkeit der diversen Services jeder Bank. War der Test erfolgreich, wurde das pekuniär honoriert. Außerdem lobte die Zentralbank Belohnungen für die Lösung einzelner Aufgaben aus. So galt es unter anderem, ein COBOL-Programm zu debuggen und einen Lochkarten-Code zu dechiffrieren.

Den größten Profit versprach jedoch das Entreichern anderer Banken. Zu diesem Behufe durften beliebig viele Konten bei jeder der anderen Banken eröffnet werden. Die Hacker zahlten zunächst etwas Spielgeld ein und versuchten anschließend, durch die Ausnutzung von Sicherheitslücken größere Beträge abzuheben. Auf diese Weise ergaunerte sich We_0wn_Y0u rund zwölf der fast 15 Millionen Dollar Spielgeld, die gegen Ende des Wettbewerbs noch im Umlauf waren. Parallel musste das eigene System gegen gleichartige Angriffe abgesichert werden, ohne die Verfügbarkeit zu beeinträchtigen. Ein Dutzend Teams beendeten den Contest mit Verlust. Einer Bank blieben von der Start-Million nur 637 Dollar übrig.

CTF-Events dienen nicht bloß der Unterhaltung, sondern sind ein Security-Training für die teilnehmenden Informatik-Studenten. Die Defcon in Las Vegas richtet jährlich den weltweit größten Wettbewerb dieses Typs aus; dort dauert er drei Tage. (Daniel AJ Sokolov) / (Daniel AJ Sokolov) / (ghi)