Für Schüler*innen

Was genau ist das Lühack?

Beim Lühack könnt ihr in Teams spannende Challenges aus der IT-Sicherheit lösen. Dabei tritt ihr gegen andere Teams an und sammelt Punkte.

Mitmachen können alle Schüler*innen ab der 10. Klasse. Wenn ihr schon früher fit seid: Kommt gern trotzdem dazu!

Auch Schulen außerhalb Lübecks dürfen Teams stellen.

Was ist ein CTF?

CTF steht für Capture the Flag. Normalerweise geht es darum, im Spiel die Flagge des gegnerischen Teams zu schnappen. Direkt ins digitale übertragen nennt sich dieses Format Attack-Defense. Hier hat jedes Team eigene Systeme, die es schützen muss, während es gleichzeitig versucht, die Server der anderen Teams anzugreifen, um deren Flaggen zu erbeuten. Das ist technisch anspruchsvoll und erfordert viel Vorbereitung.

Beim Lühack verwenden wir das Jeopardy-Format, wo ihr nach versteckten Flaggen in Webseiten, Dateien oder kleinen Programmen sucht. Die Organisator*innen stellen alle Systeme, Webseiten und Dateien zentral bereit. Ihr müsst also keine echten Angriffe auf fremde Computer durchführen, sondern arbeitet sicher in einer kontrollierten Umgebung.

Die Aufgaben sind wie beim bekannten PicoCTF der Carnegie Mellon University aufgebaut. Dort könnt ihr vorher schon trainieren, wenn ihr wollt.

Warum sollte ich mitmachen?

Weil Hacken hier erlaubt ist! Und weil es spaß macht :)

Egal ob Mathe, Programmierung oder einfach nur Neugierde: jeder Skill zählt! Und ja: Googeln und künstliche Intelligenz ist ausdrücklich erlaubt.

Wo soll ich anfangen?

Wir organisieren Aufgaben in Kategorien. Am besten beginnt man mit der Kategorie Sanity Check. Damit prüft ihr, ob bei euch alles funktioniert. Danach wählt ihr Aufgaben aus, auf die ihr Lust habt. Tipp: Aufgaben, die schon viele Teams gelöst haben, sind oft leichter.

Was brauche ich, um teilzunehmen?

• Laptop oder PC
• Internetzugang
• Die Möglichkeit, Programme zu installieren (Smartphone/Tablet geht im Notfall, ist aber viel schwieriger und nicht zu empfehlen)

Welches Betriebssystem sollte ich verwenden?

Egal! Windows, macOS oder Linux funktionieren alle. Am besten das nutzen, womit man sich am besten auskennt.

Die Mehrheit der mit dem Internet verbundenen Geräte nutzt allerdings ein Linux-Betriebssystem (die meisten Server, alle Android-Smartphones, Smart-TVs, Autos und fast alles, was “Smart” ist). Auch die CTF-Aufgaben, die eine Verbindung zu einem Server beinhalten, laufen auf Linux-Servern.

Daher sind Linux-Kenntnisse in manchen Fällen hilfreich. Wer selbst ein Linux ausprobieren möchten, der/die ist vermutlich mit einem aktuellen Ubuntu gut beraten.

Mit einer virtuellen Maschine (VM) kann man auch ein Betriebssystem in einem Betriebssystem laufen lassen, um es auszuprobieren, ohne, dass das eigentliche Betriebssystem verändert wird.

Wir werden für das Lühack26 wieder eine Ubuntu-VM aufgesetzt, die für das CTF genutzt werden kann.

Wer die VM nutzen möchte, installiert VirtualBox und importiert die heruntergeladene VM.

Lühack25-VM auf Ubuntu Basis
Download: https://cloud.uni-luebeck.de/index.php/s/NxHWJJEg9E85DRC
Passwort: luehack25vm

Wie baue ich eine TCP-Verbindung zu einem Server auf?

Viele Aufgaben geben euch dafür einen einfachen Befehl wie:

nc challenges.sshuzl.de 12321

Programme wie ncat, telnet oder PuTTY helfen euch dabei.

Wer die Nmap-Implementierung von Netcat (ncat) nutzt, kann einfach ein selbstgeschriebenes Computerprogramm mit dem Server verbinden, indem der Kommandozeilenparameter -c "<Befehl>" genutzt wird. Beispiel:

ncat -c "python my_solution_script.py" challenges.sshuzl.de 12321

Wie gehe ich mit den großen Zahlen in der Kryptografie am besten um?

Nutzt eure Computer! Am besten auch die Tools, die ihr schon kennt, bspw. GeoGebra.

Wer Erfahrung in Python hat, kann die Aufgaben auch direkt in Python lösen, da Python keine Maximalgröße für Zahlen kennt. Installiert man das Python-Paket PyCryptodomex ist man für alle Challenges gut gewappnet.

Das beliebteste Tool von CTF-Spieler*innen für die Kategorie Crypto ist Sagemath. Es ist in Python geschrieben und kann auch Python-Code direkt ausführen.

Wie hacke ich eine Webseite?

Schaut euch die Seite genau an – die Entwicklertools im Browser helfen euch dabei. Probiert mal F12 zu drücken. Kenntnisse in HTML, JavaScript und HTTP sind hilfreich, vieles lernt man aber unterwegs!

Für Lehrkräfte

Warum sollten Schulen am Lühack teilnehmen?

Gamification ist eine moderne und erfolgreiche Möglichkeit, um spielerisch Lehrinhalte zu vermitteln. Während sich die Methoden der Gamification für die meisten Unterrichtsfächer oft noch im Entwicklungsstadium befinden, da sie von spezieller Software abhängen, ist die Gamification in der IT-Sicherheit schon lange präsent und es existieren diverse Frameworks, die eine einfache Realisierung ermöglichen. Mit der Einführung der Informatik als Pflichtfach ab dem Schuljahr 2022/2023 werden alle Schüler*innen in Schleswig-Holstein mit diesem Themenfeld konfrontiert. Die Motivation der Schüler*innen für dieses neue Fach kann durch einen spielerischen Anteil gesteigert werden. Das Lühack bietet den Lehrkräften einen Einblick in mögliche Aufgabenstellungen und auch ein Blick auf die technische Umsetzung unserer CTF Plattform ist möglich, falls Sie das Format für Ihren Unterricht adaptieren möchten. Sie brauchen nur einen handelsüblichen Computer!

Warum bietet das ITS das Lühack an?

Der Bedarf an Fachkräften im Bereich IT-Sicherheit steigt seit Jahren. Das spüren auch wir am Institut für IT-Sicherheit, denn unsere Studierenden werden immer häufiger bereits während des Studiums von Firmen an- und abgeworben. Gleichzeitig sehen wir, dass die Einschreibungen im gesamten MINT Bereich stagnieren. Wir glauben, dass das Lühack eine tolle Möglichkeit ist, um das Interesse an dem spannenden Feld der IT-Sicherheit bei den Schüler*innen zu wecken. Somit stellt Lühack unseren Beitrag dar, um dem Fachkräftemangel entgegenzuwirken.