Frederik Möllers

Capture the Flag – Jeopardy Style

© Mega Pixel/shutterstock.com

Frederik Möllers

Angewandte IT-Sicherheit als Lernspiel

Das Spielprinzip Jeopardy Style oder auch Challenge Based CTF ist ein Variante des Capture-the-Flag-Wettbewerbs, bei dem Einzelne oder Mannschaften gegeneinander antreten, gelerntes Wissen anwenden und sich in kurzer Zeit selbstständig weiterbilden.

In diesem Beitrag wird das Spielprinzip für den Themenbereich IT-Sicherheit beleuchtet und an Beispielen ein Einsatz im Unterrricht verdeutlicht. Lehrkräfte können auf dieser Grundlage Schülerinnen und Schülern dabei unterstützen, Zugang zu derartigen Wettbewerben zu finden.
Einordnung
Capture-the-Flag-Wettbewerbe lassen sich in zwei unterschiedliche Kategorien einteilen. Gemeinsam ist beiden, dass bei den Teilnehmenden ein gewisses Grundwissen über die thematisierten Sicherheitslücken vorausgesetzt wird. So ist es in der Regel schwierig und frustrierend, wenn keine Anhaltspunkte zum Lösungsweg erkennbar sind und sämtliches für das Lösen einer Aufgabe notwendige Wissen innerhalb des Wettbewerbs erlernt werden muss. Deshalb werden CTF-Wettbewerbe meist im universitären Kontext begleitend zu Lehrveranstaltungen eingesetzt oder neben bzw. nach der Veranstaltung in der Freizeit bearbeitet (s. Anmerkung).
Projektablauf
Jeopardy-CTF-Wettbewerbe sind wie der Name suggeriert an die Quizsendung Jeopardy angelehnt. In der Sendung wählt eine Kandidatin bzw. ein Kandidat die Kategorie und den Schwierigkeitsgrad der nächsten Frage. Anschließend entscheidet die schnellste Reaktion darüber, welche Person die Frage beantworten darf.
Die CTF-Wettbewerbe bestehen aus einer Reihe von klar voneinander abgetrennten und in der Regel unabhängigen Aufgaben, die einzeln und in beliebiger Reihenfolge bearbeitet werden können. Die Aufgaben sind dabei wie in der Sendung oft in verschiedene Themenbereiche unterteilt und nach dem jeweiligen Schwierigkeitsgrad sortiert. Die Reihenfolge und Geschwindigkeit der Bearbeitung ist jedoch den Teilnehmenden überlassen. Jede Person kann parallel an einer beliebigen Aufgabe arbeiten. Je nach Ausgestaltung besteht auch die Möglichkeit, bestimmte Aufgaben erst später freizuschalten.
Die Teilnahme an Jeopardy-Style- CTFs ist sowohl für Einzelpersonen als auch Teams möglich. Der einzige Vorteil von Gruppen besteht in dem für gewöhnlich breiter gestreuten Wissen, das die Lösung verschiedener Aufgaben ermöglicht. Der Zeitfaktor spielt dagegen nur eine untergeordnete Rolle. Auch Einzelpersonen haben üblicherweise genügend Zeit, sich an allen Aufgaben zu versuchen.
Die jeweiligen Aufgaben ähneln denen in Hausaufgaben oder Übungszetteln. Meist soll eine bestimmte Sicherheitslücke gefunden und ausgenutzt werden. Durch das Ausnutzen den sogenannten Exploit gelangen die Teilnehmer an eine geheime Information die Flagge. Diese wird oft in Form einer Zeichenkette nach einem bestimmten Muster abgebildet, etwa „CTF{XXX}, wobei „XXX eine zufällig gewählte 32-stellige Zahl ist. So wird sichergestellt, dass die Lösung zwar nicht erraten, aber beim Auffinden doch eindeutig identifiziert werden kann. Die folgende Aufzählung nennt einige für den Schulbereich denkbare Themengebiete und Beispielaufgaben.
Beispiele für den Schulkontext
  • Pwn/Binary/Reversing: Das „Reverse Engineering von Programmen etwa beschreibbar als „umgekehrtes Programmieren. Dabei muss ohne Zugriff auf den ursprünglichen Quellcode die Funktionsweise eines Programms, z.B. am Verhalten der Ein- und Ausgabe, ermittelt werden. So könnte etwa ein Programm, das ein Kennwort abfragt, schneller reagieren, je mehr Buchstaben korrekt sind. Durch geschicktes Ausprobieren der möglichen Buchstaben kann das Kennwort ermittelt werden.
  • Crypto: Sicherheitslücken in kryptografischen Algorithmen, z.B. Verschlüsselung. Ein per Buchstabenverschiebung (sog. Cäsar-Verschlüsselung) kodierter Text kann entschlüsselt werden, wenn der Anfang oder einige Wörter bekannt sind. Wikipedia-Artikel weisen z.B. eine Struktur auf, die...

Friedrich+ Geschichte

Sie sind bereits Abonnent?

Jetzt anmelden und sofort lesen

Jetzt ganz einfach mit F+ weiterlesen

  • 30 Tage kostenloser Vollzugriff
  • 5 Downloads gratis enthalten

30 Tage kostenlos testen

Mehr Informationen zu Friedrich+ Geschichte

Fakten zum Artikel
aus: On lernen digital Nr. 2 / 2020

IT-Sicherheit

Kennzeichnung Premium-Beitrag aus der Zeitschrift "on. Lernen in der digitalen Welt" Praxis Schuljahr 11-13