Hacking Lab 

Team Österreich gewann auch die zweite „European Cyber Security Challenge 2015"

Österreich gewinnt auch die Zweite European Cyber SecurityChallenge und setzt sich gegen sehr starke Teams aus den Ländern Deutschland, Schweiz, Rumänien, Spanien und Großbritannien durch.

Zu den Neuheiten gehörten unter anderem ein auf Attack/Defense basierendes CTF Framework gestaltet durch das Hacking-Lab.

Die gesamte Challenge war dabei auf die Verteidigung einer virtuelle Firma mit einem realistischen Szenario aufgebaut Die Teams mussten dabei richtig auf Angriffe durch die anderen Teams auf Ihre Infrastruktur reagieren. Dabei mussten parallel zum Schutz der eigenen Infrastrukturen Aufgaben erledigt werden (jeopardy-style) - die Analyse von Datenströmen, korrekte Öffentlichkeitsarbeit und zusätzlich der permanente Angriff gegen die anderen Teams sicher gestellt werden (siehe auch https://www.youtube.com/watch?v=-zi4y211ZNo).

 

 

Der Team-Bericht unserer Finalisten:

Das Szenario:

Ausgangslage:
4 gänzlich unbekannte Services, deployed auf einem virtualisiertem DEV und einem PROD System
Keine Möglichkeit auf die PROD oder die virtuellen Maschinen auf DEV zuzugreifen
Lediglich die Zugangsdaten für das ESXI Management Interface des DEV-Systems

Die Taktik der Österreicher:
Da wir den Vorgang des "Rootings" von VMS bereits im Vorfeld ausreichend geübt hatten, entschieden wir uns das Restrisiko (eines Punkteverlustes durch Downtime, kaputtes Services und co) in Kauf zu nehmen und alle vier virtuellen Maschinen so schnell wie möglich zu rooten, um später sinnvoll auf Logs, Traffic und co zugreifen zu können. Durch diesen Vorteil des Vollzugriffes konnten wir bereits in den ersten Minuten erfolgreiche Angriffe starten, allerdings konnten wir diese Angriffe nicht so erfolgreich fortführen wie zu Beginn da nach kurzer Zeit aufgrund (der sehr komplexen Infrastruktur geschuldet) das Scoring für die Offense zeitweise zurückgefahren wurde. Aufgrund dessen haben wir uns entschlossen den Fokus auf Sidechallenges und Code-Patching zu richten.

Die Applikationen:
Für Attack und Defence mussten wir 4 verschiedene Webapplikationen auf Sicherheitslücken untersuchen und gefundene bei unserer Gegner exploiten. Beispiele für gefundene Lücken sind No-SQL-Injection, Privilege Escalation, XSLT-Injection, SAML-Authenthication-Bypass und einige andere. Bei den Jeopardy-Challenge war das Ziel verschlüsselten Malware-Traffic zu analysieren oder eine Session zu Brute-Forcen um ein Modell-Auto fernzusteuern.

Die acht Scoringkategorien:
Code-Patching: Hierbei gab es Punkte für die korrekte Behebung von Sicherheitslücken.
Availability: In regelmäßigen Abständen wurden durch den "ScoringBot" alle Services auf deren Verfügbarkeit und Funktion überprüft.
Attack: Hat man erfolgreich ein "GoldNugget" der anderen Teams gestohlen, so konnte man dieses einreichen und hat entsprechend Punkte bekommen.
Defense: Diese Punkte gab es zu erreichen für das erfolgreiche Schützen des "GoldNuggets"
Pown: Hat man die Kontrolle über einen gesammten virtuellen Server eines anderen Teams übernommen, so konnte man dort einen Beweis platzieren, dass man dort war.
Jeopardy: Die oben erwähnten Sidechallenges, wie das Reversen einer QTApplikation und das Analysieren von bereitgestellten PCAP-Files.
Achievments: Es gab verschiedene Ziele zu erreichen, unter anderem die Erstellung einer Plattform für "Pressreleases" und die Kommunikation mit der Unternehmensleitung.
Presentation: In dieses Kategorie floss die Qualität der Präsentation und der "Pressreleases" ein.

Wir gratulieren dem Team AUSTRIA zum Gewinn der European Cyber SecurityChallenge Und wir möchten uns nochmal bei allen von Euch die uns im Vorfeld so toll unterstützt haben recht herzlich bedanken !!!

 

European Cyber Security Challenge 2015 from IKARUS on Vimeo.

 

WIR GRATULIEREN DEN SIEGERN

Zehn Talente auf ihrem Weg gegen Europas Cyber-Sicherheitselite Österreichs Team für die European Cyber Security Challenge steht fest.

Nach einem langen und fordernden Samstag steht das Team Österreich für die European Cyber Security Challenge 2015 fest. Insgesamt 20 junge IT-Sicherheitstalente traten in zwei Altersklassen in insgesamt vier Teams gegeneinander an.

Beim heurigen Bewerb mussten 14 Aufgaben gelöst werden. Je nach Schwierigkeitsgrad stand den Teilnehmern zur Lösung nur eine festgelegte Zeit zur Verfügung. Je schwerer die Aufgabe zu bewältigen war, desto mehr Punkte waren zu erringen. Dabei mussten jede Menge Sicherheitslücken gefunden, verschlüsselte Inhalte lesbar gemacht, Firewalls umgangen und Rootkits analysiert und werden.

Im Anschluss musste eine ausgesuchte Problemlösung vor einer Jury präsentiert werden. Im Hinblick auf den europäischen Bewerb wurde heuer bereits in englischer Sprache präsentiert. Dabei stellten die Teilnehmer dar, wie sie die Challenge gelöst haben und wie sie diese Sicherheitslücken schließen und damit einen Angriff abwehren würden. Aus der Punktezahl des Onlinebewerbs und den Bewertungen der Jury ergaben sich letztendlich eine Gesamtpunktezahl und damit das Siegerteam.

Die heurigen Siegerteams und damit das Team Österreich bestehen aus einer Wienerin und einem Wiener, fünf Niederösterreichern, und je einem Burgenländer, einem Oberösterreicher und einem Steirer.

Die Sieger werden Österreich bei der heuer zum zweiten Mal stattfindenden European Cyber Security Challenge vertreten. Im Vorjahr konnte unser Team den ersten Platz gegen die Schweiz und Deutschland erringen. Heuer nehmen bereits sechs Nationen an dem Bewerb vom 19. bis 22. Oktober 2015 in der Schweiz teil.

Austria Cyber Security Challenge Trailer:

 

 

Die Vorrunde der Challenge 2015 – ist beendet!
Wir bedanken uns für die zahlreichen Teilnahmen!

Fotos der Pressekonferenz vom 4. August 2015. Copyright: Bundesheer/Lechner

 

European Cyber Security Challenge

Neu im Jahr 2014 war die erstmals ausgetragene European Cyber Security Challenge, wo die Besten aus Österreich gegen die Besten aus anderen europäischen Nationalteams antraten.

Heuer findet die European Cyber Security Challenge erstmals mit sechs teilnehmenden Ländern statt. Neben den Teilnehmern aus Österreich, Schweiz und Deutschland sind heuer auch Teams aus Rumänien, Spanien und
Großbritannien mit dabei.

Weitere Infos auf http://www.europeancybersecuritychallenge.eu/

 

Team Österreich gewinnt European Cyber Security Challenge 2014

Das Finale der European Cyber Security Challenge fand am 5. November in Fürstenfeld statt und jetzt steht das Endergebnis fest. Wir gratulieren allen teilnehmenden Teams für den besonderen Einsatz!

Das Ergebnis lautet:

1. Platz: Team Österreich
2. Platz: Team Deutschland
3. Platz: Team Schweiz

Weitere Infos auf http://www.europeancybersecuritychallenge.eu/

 

Cyber Security Challenge Austria 2014

Das Finale der diesjährigen Cyber Security Challenge Austria fand am 13. September im Ars Electronica Center in Linz statt - dieses war dem Anlass bezogen auch entsprechend "gekleidet".

Wir gratulieren allen Gewinnern, welche nun das Nationalteam für die erstmals ausgetragene European Cyber Security Challenge in Fürstenfeld bilden und drücken die Daumen gegen die Schweiz und Deutschland!

Ars Electronica CenterSiegerehrung 2014Gewinner 2014 in der Kategorie StudentenGewinner 2014 in der Kategorie Schüler

 

 

Cyber Security Challenge 2014

Du bist verboten gut? Dann zeig’s uns!

Die Cyber Security Austria (CSA) führte 2014 bereits zum dritten Mal die „Cyber Security Challenge – VERBOTEN GUT“ in Österreich durch, eine Rekrutierung von jungen IT-Security-Talenten.

Neben Schülern sind auch Studenten zum Bewerb zugelassen.

Die Challenge wird im Hacking-Lab durchgeführt, einem Internet-Sicherheitslabor, das sich zur Rekrutierung von qualifizierten Personen eignet und welches im Rahmen der Swiss Cyber Storm Konferenzreihe von der Compass Security AG entwickelt wurde.

Hacken für den guten Zweck

Daniel Marth – Mitglied des Siegerteams des Vorjahres – erklärt den Sinn der Veranstaltung, was für ihn persönlich die größte Herausforderung war und was die Sieger des Bewerbs erwartet (weiterlesen)

Frauen und IT-Security

Ein besonderes Augenmerk soll heuer auch auf junge und talentierte Schülerinnen und Studentinnen gelegt werden, aus diesem Grund wurde dafür eine eigene Wertungskategorie geschaffen. Die CSA ist bemüht mehr weibliche Talente für die Cyber Security Challenge zu begeistern und lädt die fünf besten Damen nach Hagenberg ein wo sie analog zum Center-of-Excellence-Programm gezielt gefördert und unterstützt werden.

Center-of-Excellence

Außerdem qualifizieren sich die Top 25 des Schüler- & Jugendbewerbes sowie die Top 25 des Studentenbewerbes für das Center-of-Excellence-Programm der Cyber Security Austria.

Dort hat man die Chance und Gelegenheit:

  • sich mit anderen Teilnehmern der Challenge aber auch Spezialisten aus Wirtschaft und öffentlichem Dienst auszutauschen
  • sich mit den führenden Vertretern der Österreichischen Sicherheitsdienste, Organisationen und Firmen zu vernetzen
  • aktiv an Diskussionen zu unterschiedlichsten Sicherheitsthemen und der Erstellung von Sicherheits-Strategien mitzuwirken
  • einen Blick hinter die Kulissen der Security-Industrie zu werfen
  • zu den Cyber Security Austria Online-Foren Zugang zu erhalten
  • auf attraktive Job-Angebote von Behörden, Institutionen und Wirtschaft
  • auf Einladungen von führenden Fachhochschulen/Universitäten Österreichs
  • auf Exkursionen und Workshops der „etwas anderen Art“

 

 

Cyber Security Challenge Austria 2013

 

Galerie #1
Die Gewinner der Cyber Security Challenge Austria und
viele Eindrücke rund um den Alpen-Cup 
http://media.hacking-lab.com/csa/CSAFinal2013/ 
Galerie #2
Die Veranstaltung im Bundeskanzleramt zeigte den Stellenwert der
Cyber Security Challenge Austria und des Alpen-Cups.
http://www.flickr.com/photos/66469823@N05/sets/72157637437911804/

 




Presserückblick auf den Cyber Alpen Cup 2013
(PDF herunterladen

 

 

 

 

 

 

 

Cyber Security Challenge Austria 2012

Es war Pionierarbeit und Abenteuer, die sich gelohnt haben. Das riesige Medieninteresse, aber auch die jungen Cyberexperten selbst, haben alle Erwartungen übertroffen. Mit welchen kreativen und fachlichen Fähigkeiten und Leidenschaft unser Nachwuchs die anspruchsvollen Aufgaben gelöst hat, war beeindruckend.












Mediendokumentation
herunterladen

 

Teilnehmerstimmen

MarcoPolo: „Ein guter Freund hatte mich auf einen Zeitungsartikel über einen "Hacker-Wettbewerb" aufmerksam gemacht. Aus Neugier hatte ich mich angemeldet und mir die ersten Aufgaben angesehen. Ich war überrascht, dass nicht theoretisches Wissen gefragt war, sondern praktisch am "Glocken-shop" nach einer Lücke gesucht werden musste. Für die schwierigeren Challenges hatte es oft Nachmittage gedauert, bis man die Lösung gefunden hat, aber es war jedes Mal ein Erfolgserlebnis. In der Qualifikation und später im Finale war es gegen Ende immer ein spannendes Kopf-an-Kopf Rennen. Ich werde dieses Jahr auf jeden Fall wieder mitmachen und bin schon gespannt auf die Challenges.“

WANeKO3: „Ich hab damals teilgenommen, weil mich das Thema IT-Sicherheit schon immer interessiert hat und die CSCA genau das richtige war, mein Können im Bereich Pen-Testing zu erproben. Die Preise für die Gewinner waren natürlich auch ein schöner Bonus. Natürlich werde ich auch dieses Jahr wieder teilnehmen, und ich kann es jedem, der sich für das Thema interessiert nur herzlichst empfehlen auch mitzumachen und es auszuprobieren.“

gloin: „Warum: Aus Interesse und Hoffnung in einem interessanten Gebiet gefördert zu werden. Erneute Teilnahme: Weil schon das letzte Qualifying extrem spannend war und das Finale dieses Jahr noch besser wird als letztes Jahr! :) Bisher gebracht: Ein tolles und spannendes Finale und interessante Jobangebote.“

Razormind: „Allem voran finde ich es toll das wieder eine Cyber Security Challenge Austria stattfinden wird.
Letztes Jahr mitgemacht habe ich weil mich das Thema interessiert und ich dadurch die Möglichkeit erhalten habe gewisse Dinge in einer dafür ausgelegten Testumgebung zu probieren. Ich werde auch dieses Jahr wieder teilnehmen da man sehr viel durch die Challenge dazu lernt.“

gries: „Die letzte Challenge 2012 war für mich eine tolle Gelegenheit um zu sehen wo ich mit meinem Security-Know-how stehe bzw. ob ich dieses auch in die Praxis umsetzten kann. Die Teilnahme am Finale war für mich nicht nur ein tolles Erlebnis, ich konnte auch viele Kontakte in der Security-Branche knüpfen (das eine oder andere Job/Praktikumsangebot war natürlich auch dabei ;)). Da ich bei der letzten Challenge enorm viel dazulernen konnte, freue ich mich schon auf die Challenge 2013 und weitere Aufgaben!“