Um gelernte Inhalte praktisch zu festigen, organisierte Lehrender Georg Schäfer im letzten Semester eine „Capture the Flag“-Challenge für Studierende. Die Studierenden haben somit eine Möglichkeit spielerisch ihr im Rahmen des Studiums angeeignetes Wissen in die Praxis umzusetzen. sproof sponsorte neben Sachpreisen einen bezahlten Praktikumsplatz in ihrem Startup.
“Capture the Flag” ist ein Spiel, bei dem verschiedene Teams (bestehend aus mind. 1 Pers) versuchen „Flags“ zu erobern. Im Kontext von Cybersecurity ist „Capture the flag“ eine Challenge, bei der verschiedene flags („Fahnen“) in eine absichtlich unsichere Anwendung (zum Beispiel in eine Webseite) eingebunden werden. Die Aufgabe der Studierenden-Teams ist es, die eingebauten Sicherheitslücken aufzuspüren, auszunutzen und die Flags auszulesen bzw. zu sammeln. Das Team-Ziel ist es, so viele Flags wie möglich zu sammeln, denn das Team mit den meisten Flags hat natürlich gewonnen.
In diesem Semester wurde durch den Lehrenden Georg Schäfer eine absichtlich unsichere Webanwendung verwendet, welche eine Bankapplikation darstellen soll. Mit den vorbereiteten Sicherheitslücken war es unter Anderem möglich, Daten von Konten auszulesen, Geld aus dem Nichts zu generieren, fremde Accounts zu übernehmen, bösartige Statements an die Datenbank zu senden, Administrationsrechte zu erlangen und sensible Informationen des dahinterliegenden Betriebssystems auszulesen.
Ziel dieses Spiels ist es, dass die Studierenden somit eine Möglichkeit haben, ihr im Rahmen des Studiums angeeignetes Wissen, in die Praxis umzusetzen. Besonders das Wissen aus den Lehrveranstaltungen Web-Technologien, Web-Engineering, Computernetze 1 und 2, Internetprotokolle und Dienste, Grundlagen der Informatik, Softwareentwicklung 1 und 2, Objektorientierte Programmierung, Datenbanksysteme und Medien-Technologien wurde in diesem Semester abgerufen und erprobt. Neber dem Einsatz von bereits erlangtem Wissen, wurde den Studierenden ein Einblick ins 5. bzw. 6. Semester gegeben: Es wurden auch Aufgaben der Fächer Kryptologie, Netzwerkorientierte Softwareentwicklung und Network Security eingebaut und auch diese Flags galt es abzuholen.
Startup sproof vergibt Praktikumsplatz im Bereich sichere digitale Signaturen
IT-Student Lukas Schwaiger stach bei der Challenge besonders hervor. Er hat unzählige Sicherheitslücken aufgespürt und zusätzlich eine eigene Anwendung in C# mit einer grafischen Benutzeroberfläche erstellt, welche es ihm ermöglichte, automatisiert Angriffe auszuführen. Dadurch konnte er mit einem Knopfdruck unter Anderem sensible Daten abfragen (z.B. den Kontostand jeden registrierten Benutzers oder die E-Mail-Adressen aller registrierten Accounts), Administratoraccounts anlegen und einen DoS Angriff ausführen. Er bekam als Hauptpreis den Praktikumsplatz bei sproof. sproof wurde von Clemens Brunner, Fabian Knirsch und Erich Höpoldseder gegründet. Das Unternehmen bietet Europas sicherste digitale Signatur und entwickelt Werkzeuge und Services, um die Geschäftsprozesse in Unternehmen zu digitalisieren. Sie ermöglichen digitale Signaturen schnell und einfach in bestehende Prozesse und Anwendungen zu integrieren.
Das eigenständige Arbeiten war für das Spiel hoch erwünscht: Die Teilnehmer*innen hatten die Möglichkeit, beliebige Programmiersprachen, Frameworks beziehungsweise Betriebssysteme (wie Kali Linux) mit Anwendungen aus dem „Penetration Testing“-Bereich zu verwenden. Dadurch konnten sich Teilnehmer auf ihre persönlichen Interessen fokussieren.
