OKHack CTF-Event - wie wir uns spielerisch verbessern

Wir bei Objektkultur atmen nicht nur IT, sondern leben auch eine ausgeprägte Firmenkultur. Dazu gehören regelmäßige Teamevents, bei denen wir voneinander lernen und gemeinsam Spaß haben. Wie könnte sich das besser vereinen lassen, als sich zusammen an ein paar Hacking-Challenges die Zähne auszubeißen? - Dachte ich mir und rief OKHack ins Leben. Gemeinsam mit einigen interessierten Kollegen nahmen wir im Rahmen dieses Teamevents erstmalig als OK gemeinsam an einem CTF-Event teil. Mit einem tollen Ergebnis!

Was ist ein CTF?

Die Abkürzung steht für Capture-the-Flag und hinter dem Begriff verbergen sich legale und spielerisch aufgebaute Hacking-Wettbewerbe. Es gilt in der vorgegebenen Zeit (meist 24h oder 48h) alleine oder im Team so viele verschiedene Aufgaben rund um IT-Security und Hacking zu lösen, wie möglich. Das kann das Analysieren von Netzwerkmitschnitten nach einem simulierten Angriff auf ein fiktives Unternehmen bedeuten, das Finden und Ausnutzen einer Schwachstelle auf einer gestellten Website oder auch das Entschlüsseln kryptografisch verschlüsselter Inhalte. Je nach Schwierigkeitsgrad werden Punkte vergeben. Das Team mit den meisten Punkten am Ende der Veranstaltung gewinnt. Organisiert werden die Events meistens von bekannten CTF-Teams oder IT-Unternehmen, u.a. auch von Google.

Was wir dabei lernen

Die Digitalisierung schreitet unaufhaltsam voran und Sicherheit in der IT gewinnt damit immer mehr an Bedeutung. Nicht zuletzt aufgrund der aktuellen Weltlage sind fast alle Unternehmen weltweit ständigen Bedrohungen durch Angriffe auf ihre Systeme und Infrastruktur von innen und außen ausgesetzt. Das Honeypot-Netzwerk der Telekom visualisiert das in einem Live-Ticker ziemlich eindrucksvoll. Wir als IT- und Softwaredienstleister implementieren diese Systeme und Programme bei unseren Kunden. Dabei achten wir gemäß der DevSecOps-Philosophie auch schon während der Entwicklung auf die Sicherheit unserer Produkte und Prozesse, um Angreifern einen Schritt voraus zu sein. Eine Möglichkeit das zu tun, ist sich selbst in die Rolle des Angreifers zu begeben, um Sicherheitslücken aufzudecken und auszunutzen - gemäß dem DevSecOps-Manifesto :

We won’t simply rely on scanners and reports to make code better. We will attack products and services like an outsider to help you defend what you’ve created. We will learn the loopholes, look for weaknesses, and we will work with you to provide remediation actions instead of long lists of problems for you to solve on your own.

CTF-Events bieten eine großartige Möglichkeit, das in der Praxis zu trainieren und diese Skills zu verfeinern. Sie schärfen den Blick für Sicherheit und sicheren Code und es werden gängige Angriffsvektoren, Sicherheitslücken und Denkmuster kennengelernt - und das in einem spielerischen Umfeld mit kompetitivem Charakter.

Was verstehen wir bei Objektkultur unter DevSecOps? Hier den Blogbeitrag dazu lesen.

pingCTF 2022

… war das erste CTF, an dem wir als OK im Dezember letzten Jahres teilgenommen haben. Dabei konnten wir durch das Lösen verschiedener Aufgaben vor allem in den Bereichen Kryptographie, Web-Hacking und Reverse Engineering einen überraschend guten 6. Platz in den Top-Ten belegen. Danke an das PING-CTF-Team der Universität Danzig an der Stelle für die Organisation des Events und der Challenges!

Wir hatten viel Spaß mit den Herausforderungen, haben den Abend noch mit einem gemeinsamen Abendessen ausklingen lassen und freuen uns schon auf die kommenden CTF-Events im neuen Jahr 2023 und den nächsten OKHack!