Phish2Own
Version 1<<1
Prof.Dr. Lars Fischer
- Hochschule Bremerhaven seit 2020
- Denomination: IT-Sicherheit
- Labor: SiReaL
- Motivation: Studierende hacken
- Technisch
- Modelle und Metriken
- Haskell, Bash, C, Java
- Vernetzte Systeme
- Nicht-Technisch:
- Motivation
- Kreative Namen
- Debattieren
- Hobby: Klettern
Thema
- Schwachstellenforschung
- Systemsicherheit
- Security Mindset
- Realitätsnahes Training
Schwachstellen
- Improper Initialization (CWE 665)
- XSS Demonstration
- SQL Injection
- Double freeing memory
- Integer Overflow
Kennst du sie alle?
Systemsicherheit
Read the source until you reach the bitter end.
Security mindset
Everyone is able to build a cryptographic system that he himself is unable to break
-- Bruce Schneier
Realitätsnahes Training
- Opportunistische "Wettkampfsituation"
- Vulnbox sichern
- Attack-Defense
- Stressbewältigung
- Teammanagement
- Wettbewerb
Projektziele
- Aufbau eines CtF-Teams
- Aufbau einer Trainingsplattform
- Attack-Defence Wettkämpfe
- Eigener CtF-Wettkampf
Phish2Own 2021
- Platz 20 in Deutschland
- Wöchentliche Trainings
- Trainingsplattform mit unterschiedlichen Aufgaben
Ablauf
- Teambuilding
- Teamprofile
- Exploration
- Wettkämpfe und Teams
- Wettkampfgruppe aufbauen
- Schwachstellen, Exploits und Patches
- Infrastrukturaufbau
- Trainingsplattform
- Techniques, Tactics and Proceedures (TTP)
- Persistierung
- Demonstration
- Tag der Informatik
- Vorstellung des Projektes
- Veranstaltung eines CtF
Dein erster Tag im Projekt
Finde den ersten Wettkampf
Projektarbeit
- ~10h/Woche
- 3h/Woche Präsenz
- ~30m/Woche Plenum
- 2,5h/Woche Labor
- 6h/Woche Selbstständige Arbeit
- 3h/Woche Präsenz
- Präsenz:
- Arbeitsplan
- Umsetzung
- Ergebnissammlung
- Ja, auch in den Semester"ferien"
- Urlaub: 6 Wochen
Projektkalender (Anfang)
Kurzvorträge
(jeweils 1 Seite A4 Dokument)
| Titel | Hinweis | Vortragende |
|---|---|---|
| CtF Infrastruktur | Beispiel SaarCtF | cherryNo.7 |
| Exploit WriteUp Format | dropshot | |
| Python Cheat Sheet | Howto Socket/Web | |
| Networking with bash | Instant Reverse Shell Server, ncat, curl und /dev/tcp | |
| Linux for Hackers | Cheat Sheet | BlackMissionary |
| CTFd/rctf | technojaw | |
| Phish2Own Projektbericht | Was können wir daraus lernen? | CUL1C1D43 |
| Network Traffic Analysis | wie kriegen wir die Information | sikor |
| P2O Server | Bestehende Infrastruktur | gigamesh |
| CtF Scoring | Beispiel SaarCtF | sithuriel |
| Liste Web-Schwachstellen lernen | 3 Codebeispiele, CVE, OWASP | lukma |
| Howto Projektmeeting | Vorschlag erarbeiten zum Ablauf und der Organisation des Donnerstags | DaleDenton |
| Hackerprofile | Personalbogen | saibot |
| Hacking Tools | Metasploit etc | berner |
| CheatSheet Binary Analysis | Tools und "first steps" | snaptrax |
Kurzvorträge Ablauf
- Zeit:
- max. 10 Minuten pro Vortrag
- Format:
- HTML (reveal.js)
- Frist:
- 28.04.22
- Formatvorlage
- Phish2Own Vorstellung
Projektorganisation
Rollen
- Sportdirektion
- Organisation eines CtF und der Spieler vor und während CtF
- Netzadmin
- CtF Netzinfrastruktur
- Netzüberwachung
- Aufklärung gegnerischer Aktivitäten im CtF
- Admin
- Vulnbox-Installation, -Verwaltung
- Webadmin
- Betreut den P2O Webserver
- Coach
- Organisiert das Training
- Manager:in
- Projektzeitverwaltung, Deadlines und Tasks
- Redaktion
- Dokumentation, Web-Content, Endbericht
- Dungeon-Master/Mistress
- Gameserver Inhalt, Organisation und VM
- Marketing
- Teilnehmerwerbung, Mailingliste, Präsentationen
- <x>-Referenz
- Referenzperson für Programmiersprache <x>
- <Tool>
- Referenzperson für Tool
Warum ich?
