Was ist passiert?

Ende März 2022 hatte ich die Chance bei der internen Verprobung der “Secure Code Challenge” der proficom GmbH teilzunehmen. Da ich mich mich bereits vorher schon ein bisschen mit IT Security und eventuellen Verwundbarkeiten von Systemen auseinander gesetzt habe, nahm ich diese Möglichkeit natürlich gern an.
Die Übungen in der Challenge haben mir geholfen, mich noch einmal mehr für das Thema zu sensibilisieren und das Interesse neu zu wecken.
Wie der Zufall so wollte, haben John Hammond (Spezialist für Cyber Security and Youtuber) und sein Team im Rahmen einer digitalen Konferenz eine so genannte CTF Challenge gehostet. Die erste Werbung erreichte mich ein paar Tage vorher durch einen von Johns linkedIn Feeds John promotes NahmCon CTF
Anfangs war ich noch etwas skeptisch mit Fragen wie Hab ich genügend KnowHow dafür? und Du hast das noch nie gemacht, was wird dich erwarten?, dachte mir dann aber letzten Endes:

Fuck it!. Let’s do this.

Und ich muss sagen, es war eine meiner besseren Entscheidungen der letzten Zeit.

Was ist eine CTF Challenge?

Der Begriff CTF steht für “Capture The Flag” und sollte vor allem Personen aus kompetitiven Spiele-Communities ein Begriff sein.
In der Regel geht es darum, dass sich 2 Teams gegenüber stehen und gegenseitig versuchen die Flagge des anderen Teams zu stehlen.
Ihm Rahmen von Cyber Security CTFs stellt die Herausforderung das eine Team dar. Der Teilnehmer an der Herausforderung stellt das zweite Team. Im Laufe der CTF Challenge sollen die einzelnen Teilnehmer-Teams möglichst viele Flaggen aus den Herausforderungen extrahieren. Eine Flagge (flag) besteht in der Regel aus dem Begriff flag gefolgt vom Inhalt der Flagge selber und sollen auf der Website der Challenge gesammelt werden.

Write down your Flag

Mit was für Herausforderungen hatten wir zu kämpfen?

Im Vorfeld zur Veranstaltung habe ich mich mit meinem Kumpel Daniel zusammengeschlossen um gemeinsam zu lernen.
Am ersten Abend (die Challenge startete 21Uhr deutscher Zeit) waren wir vor allem mit dem Lösen der Warmup Herausforderungen - relativ einfache Rätsel, die den allgemeinen Umgang mit Linux/Unix lehren - beschäftigt, z.B.:

  • Ah yes, a bad joke as old as time... can you exit vim?
  • Do you know what the cat command does in the Linux command-line?
  • Please follow the rules for this CTF!

Danach haben wir uns den einfachen Web-Herausforderungen gewidmet, mit Herausforderungen zu XEE, regulären Ausdrücken und den Eigenheiten von SEO und Webcrawlern.

Tag zwei bestand für mich vor allem darin, in de anderen Kategorien ein bisschen was auszuprobieren.
So konnte ich es z.B. recht schnell schaffen, die oben genannte DevOps-Aufgabe zu lösen, da ich berufsbedingt schon viel über das Thema “sicherheitsrelevante Daten in CI-Systemen” nachdenken musste.
Die Aufgabe WhenAmI hat mich einiges an Zeit gekostet.

When am I??

So, I look down at my watch. It's December 28, 2011 at 11:59AM, 
and I'm just minding my own business at -13.582075733990298, -172.5084838587106.
I hung out there until the local time was 1:00AM on December 31st, 
and then I hopped on a plane and took a 1 hour flight over to 
-14.327595989244111, -170.71287979386747.
Some time has passed since I landed, and on December 30th, 12PM local time, 
I took a 1 hour flight back to my original location.
It's been 10 hours since I landed on my most recent flight 
- how many seconds have passed since I first looked at my watch?

(Submission format is flag{<number of seconds goes here>}, such as flag{600}.)

Ich möchte hier nicht zu viel zur Lösung verraten, aber
Die Zahl wird sie überraschen(Achtung Spoiler)

Ich beendete den Tag dann noch mit der Herstellung einer Simulation für deinen Logik-Chip Arduino Challenges

Am dritten Tag, haben wir uns hauptsächlich mit den OSINT Heraushausforderungen beschäftigt.
OSINT steht für Open Source Intelligence - also dem Erarbeiten und Suchen von Informationen auf Basis öffentlich zugänglicher Datenhaushalte - und ist für mich das bisher spannendste Feld innerhalb der Veranstaltung gewesen.

Wir durften die Fehler einer Ex-Mitarbeiterin des fiktiven Unternehmens Keeber Security Group finden und den neuen Arbeitsplatz der Mitarbeiterin ausfindig machen um ihr eine Anzeige zukommen zu lassen.

Die gesamte Übung hat mir gezeigt, wie einfach es heutzutage ist, einzelne Individuen im Internet ausfindig zu machen und u.U. Persönliche Informationen zu extrahieren - durchaus beängstigend.

Was habe ich dabei gelernt?

Ich denke das wichtigste, was ich aus der ganzen Erfahrung gelernt habe, ist, dass es niemals zu spät ist, sich auch in neue Themen einzuarbeiten und neue Herausforderungen anzugehen. Die anfänglichen Bedenken, dass ich nichts lösen kann, waren schnell vom Tisch.
Die Community war stets freundlich und überzeugte vor allem Pre- und Post-Challenge mit einer Gif-, Meme- und Emoji-Party. PreParty PostParty

Unsere Lösungen sind als WriteUps in github zu finden.

Außerdem habe ich neues JavaScript-Wissen aufgebaut:
NaN != NaN

Ich habe mir jetzt vorgenommen in Zukunft öfter an derartigen Challenges und Veranstaltungen teilzunehmen.

In diesem Sinne. Happy Hacking! 🪓🐱‍💻