Menü
Security

Hackerwettbewerb: TU Wien übt Geldwäsche

vorlesen Drucken Kommentare lesen 19 Beiträge

Simulierte Geldwäsche war dieses Jahr die Aufgabe, die beim jährlichen akademischen Hackerwettbewerb "International Capture the Flag" (iCTF) gestellt wurde. Am achtstündigen Turnier der University of California Santa Barbara (UCSB) beteiligten sich 87 Teams von Informatik-Studenten aus aller Welt, darunter 14 aus Deutschland und drei aus Österreich. Das Team We_0wn_Y0u des Seclab der TU Wien konnte am Ende noch die lange Zeit führende Equipe der St. Petersburger NRU ITMO abfangen. Mit Respektabstand folgten auf Platz 3 die FluxFingers der Ruhr-Universität Bochum.

Alle Teams setzten von identischen Systemimages ausgehend eine Reihe von Services wie E-Mail- oder SMS-Gateways auf. Es galt, die darin versteckten Sicherheitslücken zu patchen, die Systeme gegen Angriffe zu verteidigen und am Laufen zu halten. Durch das Lösen kniffliger Aufgaben konnte "schmutziges Geld" verdient werden. Um dieses zu waschen und gegen saubere Punkte umzutauschen, mussten Hashwerte aus fremden Systemen entwendet werden. Der eigene Sicherheitszustand des Systems (Defence Level) beeinflusste das Umtauschverhältnis des Geldes in Punkte.

Die attackierten Systeme mussten gut gewählt werden. Je häufiger Hashwerte eines Dienstes genutzt wurden, umso höher war das Risiko, von der Polizei erwischt zu werden. Das schmutzige Geld war dann weg. Außerdem verdiente der Betreiber des gehackten Systems eine Umsatzbeteiligung in schmutzigem Geld. Es gab auch die Möglichkeit, andere Teams bei der Polizei anzuzeigen, was den Tauschhandel mit Hashwerten erschwerte.

"Der Schlüssel zum Erfolg war unser automatisiertes Geldwaschsystem, das selbsttätig die Risken analysiert und bewertet hat", erläuterte Adrian Dabrowski von der TU Wien. "Je nach Chance wurde Geld gewaschen oder der Hashwert der Polizei weitergeleitet." Landeten Hashwerte bei den virtuellen Ordnungshütern, sank der Defence Level des kompromittierten Teams und damit dessen Umtauschverhältnis.

Die Wiener, die bereits 2006 die iCTF für sich entscheiden konnten, sind nun für den Defcon CTF Bewerb im Sommer 2012 qualifiziert. Im Unterschied zur iCTF, die über das Internet ausgetragen wird, müsste die Gruppe dafür nach Las Vegas reisen und sucht nun Sponsoren.

Siehe zum Thema auch:

(Daniel AJ Sokolov ) / (dab)