Cybersecurity Challenge Australia

Verdammt, ich hab völlig vergessen darüber einen Blogpost zu verfassen. Der Cybersecurity Challenge Australia (CySCA [seiska]) ist jetzt schon mehr als 2 Wochen her.

CySCA war ein Hackingwettbewerb zwischen vielen Australischen Universiäten. Jede Uni stellte bis zu 4 Teams mit 4 Bachelorstudenten, die dann innerhalb von 24 Stunden um die Wette hackten, um möglichst viele Punkte zu erreichen. Ich hatte leider ein wenig Pech mit meinen Teammitgliedern. Einer tauchte nach dem Entschluss, ein Team zu bilden, nie wieder auf und ein weiterer stellte sich als ziemlich nutzlos heraus. Letzterer hielt auch nicht die ganze Nacht durch und ging schon in den Morgenstunden nach hause. Jay und Ich waren letztendlich die einzigen Überlebenden unseres Teams. Eines von 3 Teams die die Nacht überstanden hatten.
Das große Thema dieses Challenges war “Internet of Things”.
Wikipedia:

Der Begriff Internet der Dinge (IdD) (auch: „Allesnetz“[1]; englisch Internet of Things, Kurzform: IoT) beschreibt, dass der (Personal) Computer in der digitalen Welt zunehmend von „intelligenten Gegenständen“ bis hin zu „KI“, künstlicher Intelligenz, ergänzt wird. Statt – wie derzeit – selbst Gegenstand der menschlichen Aufmerksamkeit zu sein, soll das „Internet der Dinge“ den Menschen bei seinen Tätigkeiten unmerklich unterstützen. Die immer kleineren eingebetteten Computer sollen Menschen unterstützen, ohne abzulenken oder überhaupt aufzufallen. So werden z. B. miniaturisierte Computer, sogenannte Wearables, mit unterschiedlichen Sensoren direkt in Kleidungsstücke eingearbeitet.

Die Challenges gingen über viele Bereiche. Corporate-Network-Hacking, Web-Application-Hacking, Reverse Engineering, Forensics, Cryptography und Mehr.
Wenn ihr euch jetzt folgendes vorstellt, liegt ihr nicht so ganz falsch.

Im Endeffekt saß unser Team für 24 Stunden in einem Raum vor unseren Laptops, angstöpselt an das Uninetzwerk, verbunden mit einem Server irgendwo in einem fernen Datenzentrum und ließen die geballte Macht unserer Köpfe und unserer Kali-Linux-Instanzen - benannt nach der Indischen Göttin des Todes und der Zerstörung - auf ein virtuelles Unternehmensnetzwerk los, um in dieses einzudringen und Geheimnisse zu finden, die wir dann gegen Punkte eintauschen konnten. In Hacker-Kreisen nennen wir das Capture The Flag (CTF) Challenge. Man findet also sogenannte Flaggen. Die sahen in der Regel so aus:

FLAG{99ae9c73e9bee6f9c76d6f4093a9882df06832cf}

Beim Corporate-Network-Pentest gab es mehrere Flags. Die erste war in einem DNS-Record versteckt. Über den DNS-Server konnte man dann einen FTP-Server finden, auf dem eine zwei weitere Flags waren; eine für den erfolgreichen Login auf dem server und eine für die Privilege-Escalation (sprich, mehr Rechte auf dem Server erhalten). Von dort aus konnte man dann auf den Rechner eines simulierten Angestellten der Firma zugreifen, aber hier habe ich mich dann anderen Dingen gewidmet.
Einer der IoT-Challenges bestand daraus einen Intelligenten Feuremelder zu hacken un den Feueralarm zu aktivieren. Wir hatten physikalischen Zugriff auf das Gerät, also war dieser Challenge ein wenig realitätsfern, aber nur ein wenig. Ich fand also den Code im Speicher des Geräts und änderte ihn so, dass das Gerät an statt der normalen Temperatur nun die Temperatur + 600°C berichtete. Lustigerweise, als ich einen Ansatz den Feueralarm zu aktivieren ausprobierte, aktivierte wirklich etwas den Feueralarm auf dem Stockwerk. Ich hätte gerne mein Gesicht gesehen, als ich völlig verdutzt die Webseite neu geladen habe, die mir sagen sollte ob der Feueralarm aktiviert wurde. Für einen Moment habe ich nämlich wirklich geglaubt, dass ich schuld war. Glücklicherweise war es nur ein Fehlalarm und wir mussten nicht evakuieren.

24 Stunden Zeitraffer von meinem Bildschirm. (Download)

Nach den 24 Stunden waren wir dann ziemlich fertig, aber glücklich und zufrieden mit unserer Leistung. Wir waren im Endeffekt nur zu zweit, haben es aber trotzdem auf Platz 30 von 72 geschafft. (Scoreboard) Die Gewinne wären schon geil gewesen…

• Major Prize: Flights, accommodation and entry to DEFCON 2017 for the winning team(courtesy of Hacklabs)
• Flights, accommodation and entry to Ruxcon Melbourne 2017 for the first year team that places the highest(courtesy of PwC)
• Surface Book Core i7 256GB devices, category TBA (courtesy of Microsoft)
• Cisco Live tickets for the winning team(courtesy of Cisco)
• Apple and Samsung prizes for top 3 placing teams, Corporate Penetration Testing winners and lucky door prize winners(courtesy of Telstra)
• Women In Cyber Mentoring Event in Canberra for all female participants and interested students(courtesy of the Department of the Prime Minister and Cabinet)

Jay, Ich und mein Koffein-Tower nach dem Challenge. 5 Kaffees, ein Energydrink, ein Proteindrink, eine Packung Gummibärchen und 3 Liter Wasser haben mich durch die Nacht gebracht. Ich muss dazu sagen: Es ist schon geil wenn einem seine Professoren und Tutoren Kaffee und Essen besorgen und direkt in den Raum bringen.

Am Morgen danach. Alle Macquarie-University Teilnehmer nach einem McDonald’s Frühstück/Mittagessen. Wie man sehen kann waren wir alle ziemlich fertig, aber zufrieden.

Meine Probleme fingen erst an, als ich mich danach noch durch 3 Vorlesungen kämpfen musste… =_=