San Francisco/Hallbergmoos – Der Online-Bezahlanbieter Stripe http://stripe.com hat in der Nacht auf heute, Donnerstag, mit „Capture the Flag 2.0“ https://stripe-ctf.com einen Hacker-Wettbewerb gestartet, damit Entwickler praktische Erfahrung mit dem Thema Sicherheit bei Web-Apps sammeln können. „Wir haben festgestellt, dass uns praktische Erfahrung mit dem Ausnützen von Security-Schwachstellen hilft, sichereren Code zu schreiben“, begründet das Unternehmen in seinem Blog. Anhand bereitgestellter Apps sollen Entwickler auf spielerische Weise praktische Erfahrungen gewinnen.
„Natürlich sind solche Wettbewerbe sehr nützlich – einerseits für die Teilnehmer, die etwas lernen und ausprobieren können, ohne dabei gleich Schaden anzurichten, andererseits aber auch für die Organisatoren“, urteilt Martin Rösler, Director Threat Research beim IT-Sicherheitsanbieter Trend Micro http://trendmicro.com , gegenüber pressetext. Denn im Prinzip ist es auch gleich ein kostenloser Härtetest für das Wettbewerbs-Setup. „Man sieht eventuell Angriffe, die man nicht bedacht hat, man lernt wie ein Angreifer zu denken – all das ist sehr nützlich!“
Spielerische Sicherheit
Ursprünglich ist „Capture the Flag“ ein Geländespiel, bei dem zwei Teams gegeneinander antreten und versuchen, die Fahne des jeweils anderen zu erobern. Dieses Prinzip findet sich häufig in Computerspielen wie „Team Fortress 2“ wieder und wurde auch auf die IT Security umgelegt – besonders bekannt als Wettbewerb auf der Hackerkonferenz DEF CON https://defcon.org . „Wir bei Trend Micro machen auch ab und an solche Capture-the-Flag-Spiele“, meint Rösler. Spielerisches Lernen funktioniert also auch im Bereich IT-Security.
Beim Stripe-Wettbewerb treten zwar nicht klassisch Teams im Duell gegeneinander an, das Prinzip ist aber ebenso spielerisch. Ziel der Teilnehmer ist es, in einer eigens für den Wettbewerb erstellten App eine Schwachstelle auszunützen und dadurch ein Passwort zu erobern. Mit diesem Preis schaltet ein Entwickler den nächsten Level frei – eine weitere App, die es nun ebenfalls zu attackieren gilt. Ein Leaderboard zeigt, welche Teilnehmer am weitesten gekommen sind und wer sich am schnellsten durch die Apps gehackt hat. Anberaumt ist der Wettbewerb auf eine Woche, nach nicht einmal einem Tag haben bereits die ersten Teilnehmer alle neun Level geknackt – als Preis dafür winkt ein spezielles Wettbewerbs-T-Shirt.
Ernstes Thema
Laut Stripe soll der Wettbewerb Teilnehmern insbesondere die Möglichkeit bieten, die Funktionsweise sogenannter CSRF-Attacken (Cross-Site Request Forgery) in der Praxis zu erleben. Das sind im Wesentlichen Angriffe, bei denen dem Webbrowser ohne Wissen des Users unerwünschte HTTP-Anfragen an eigentlich vertrauenswürdige Sites untergeschoben werden – zum Beispiel eine vom Nutzer gar nicht autorisierte Onlinebanking-Transaktion. Solche CSRF-Angriffe sind zwar laut Wenning derzeit nicht sehr weit verbreitet, aber sehr effektiv. „Ich halte das für ein wirkliches Problem, mit dem sich jede kommerzielle Website oder Web-App auseinandersetzen muss“, so Rösler.
pressetext.redaktionAnsprechpartner: Thomas Pichler
Fahne: bei Hacker-Wettbewerb virtuell zu erobern (Foto: flickr.com, fdecomite)