Banki szoftvereket törtek biztonságtechnikai játékként egyetemi csapatok
[heise-security] Nem kevesebb mint 25 egyetemi csapat versengett a hétvégén egy érdekes nemzetközi megmérettetésen: a Capture the Flag (CTF) hacking-versenyt a kaliforniai Santa Barbara Egyetem (UCSB) hirdette meg. A babérokat a We_0wn_Y0u, a Bécsi Műszaki Egyetem csapata aratta le, második a Darmstadti Műszaki Egyetem válogatottja, a Wizards of DoS lett, míg a harmadik helyet a dél-floridai Tampai Egyetem csapata, a WCSC szerezte meg.
Virtuális bank
A 11 órán keresztül tartó verseny nem egyszerű webszerver-feltörő show volt. A csapatok pontosan ugyanazt a banki szervert tartalmazó WMWare lemezképet kapták meg, melyen számlákat üzemeltető, részvényekkel kereskedő és biztosítási szolgáltatások futottak. Ezek a szolgáltatások több nyelven voltak elérhetőek és számos biztonsági hibát is tartalmaztak. A csapatok egy-egy bankot képviseltek 1-1 millió dollárral a számláikon, akiknek nem csak a saját értékeiket kellett megvédeniük a támadások elől, hanem más bankoktól kellett pénzt szerezniük.
A versenyt az nyerte, aki a legtöbb pénzt szedte össze, miközben saját bankjának szolgáltatásait folyamatosan elérhetővé kellett tennie. A pénzt három módszerrel lehetett megszerezni: a véletlenszerűen tesztelt, működő szolgáltatásokért is pénzt lehetett kapni a "központi" banktól, illetve néhány speciális feladat megoldásáért is jutalom járt. A legtöbb pénzt azonban illegális úton lehetett beszerezni, más bankok feltörésével, egyszerű lopással lehetett növelni a csapatok egyenlegét. A biztonsági rések kutatását elősegítette, hogy mindegyik csapat annyi számlát nyitott a rivális bankoknál, amennyit csak akart.
Nyertesek és vesztesek
A győztes csapat alaposan megalázta a többieket, hiszen a verseny végén keringő 15 millió dollárból nem kevesebb mint 12 millió a We_0wn_Y0u számláin ült. Miközben a csapat sikerrel tört meg más bankokat, kivédte a saját szerverét ért támadásokat úgy, hogy saját bankjuk elérhetőségén nem esett csorba. Számos csapat komoly veszteségeket szenvedett a verseny végére, volt olyan virtuális bank is, melynek csupán 637 dollárja maradt az induló egymilliós összegből.
A Capture the Flag verseny nem csak a szórakozásról szólt, hanem kitűnő gyakorlat volt az egyetemek diákjai számára is, hiszen a megmérettetés során egy átlagos példánál sokkal összetettebb környezetben tapasztalhatták meg a felmerülő biztonsági problémákat.