News+Stories: Kürzlich haben Forschende der TU Graz gravierende Sicherheitsprobleme bei Computer-Prozessoren aufgedeckt, Stichwort „Meltdown“ und „Spectre“. Ist es das, was ihr tut – solche Lücken ausforschen?
Stefan: Es geht in diese Richtung, allerdings machen die Forscherinnen und Forscher am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) das beruflich und daher deutlich intensiver. Bei LosFuzzys beschäftigen wir uns in der Freizeit mit Sicherheitsproblemen. Das fängt bei Web-Anwendungen, Kryptografie oder bei Netzwerkprotokollen, also der Basis der Informationsübertragung, an und geht bis zur Systemsicherheit auf Ebene der Software oder der Betriebssysteme. Kurz gesagt liegt unser Schwerpunkt darauf, wie die Software tut und wie sie mit der Hardware interagiert. Das Team rund um Meltdown und Spectre am IAIK forscht auch an der Hardware selbst, das kommt bei uns nicht so oft vor.Um sinnvolle Soft- und Hardware zu bauen, die sicher ist, ist es notwendig zu verstehen, wie jemand vorgehen würde, der sie angreifen will. (Stefan)
Die LosFuzzys beschäftigen sich also ausschließlich mit Software?
Roman: Hauptsächlich, ja. Wenn zukünftig bei einem Wettbewerb jemand eine Meltdown-Attacke als Challenge realisiert – was nicht ganz trivial zu bauen wäre – würden wir uns aber auch damit auseinandersetzen. Grundsätzlich kommen Problemstellungen bei Turnieren aus dem gesamten Bereich der IT-Security. Daher finden sich aktuelle Hot-Topics naturgemäß in Hacker-Wettbewerben wieder.Stichwort Hacken: Ihr seid die auf der guten Seite der Macht?
Karl: Genau, in der Community reden wir meist von White Hat- und Black Hat-Hackern. Die „Black Hats“ sind die bösen und die „White Hats“ die guten Hacker. Die Begriffe leiten sich von Western ab. Die guten Cowboys und die Sheriffs haben immer die weißen Hüte auf, die bösen die schwarzen (grinst).Stefan: Um sinnvolle Soft- und Hardware zu bauen, die sicher ist, ist es notwendig zu verstehen, wie jemand vorgehen würde, der sie angreifen will. Deshalb gibt es konstruktives Hacken – alles im legalen Umfeld. Das ist uns sehr wichtig. Auf der LosFuzzys-Homepage haben wir ein Manifest, das regelt, wie wir uns ethisch verhalten. Das heißt, LosFuzzys als Team beschäftigt sich nur mit dem Eindringen oder Aufbrechen von Systemen, die extra dafür gebaut wurden. Beispielsweise im Zuge von CTF Turnieren oder anderen Trainings. Wir verfolgen das Ziel, zu verstehen und zu lernen, und nicht, Schaden anzurichten.
Ihr seid also ein White Hat-Team, das bei offiziellen Wettbewerben mitmacht. Wie läuft das konkret ab?
Stefan: Es gibt laufend CTFs –Capture The Flag-Turniere. Wir machen alle paar Wochen mit. Prinzipiell kann jeder oder jede weltweit sagen, ich veranstalte jetzt ein Turnier. Meist machen das Konferenzen, Firmen, oder andere Teams. Als LosFuzzys machen wir dann zum Beispiel mit, wenn die Problemstellung spannend klingt, oder wenn es etwas zu gewinnen gibt. Bei internationalen Turnieren finden Leute aus aller Welt online zusammen und am Ende gibt es einen High Score, also eine Reihung nach der Punktezahl. In manchen CTFs werden danach die zehn besten Teams an einen Austragungsort eingeladen, wo sie noch einmal gegeneinander antreten. Das Banner da drüben (deutet zur Wand) ist von einem CTF in Paris, für den wir uns letztes Jahr qualifiziert haben. Außerdem waren zwei Leute in Singapur – da waren wir das beste europäische Team. Solche Bewerbe vor Ort sind aber eher die Ausnahme – das meiste läuft online. Bei den gewöhnlichen CTF-Turnieren treffen wir uns im LosFuzzys-Lab oder im IAIK Seminarraum, laden uns die Challenges herunter, beschäftigen uns mit der Problematik, lösen sie, und senden die Lösung ein.Wie geht Ihr Challenges im Team an?
Stefan: Die meisten Aufgabenstellungen erfordern intensive Beschäftigung um sie zu lösen, daher arbeiten wir gemeinsam daran. Dabei kommt es bei Wettbewerben sehr stark darauf an, sich auszutauschen und Ideen zu teilen. Im Team ist es viel leichter, sich das nötige Wissen für Challenges anzueignen. Wir sitzen also nicht allein vor einem PC sondern arbeiten gemeinsam. Überhaupt gibt es einen starken sozialen Faktor im Team – und wir haben alle Spaß an der Herausforderung.Karl: Extrem spannend und lustig sind beispielsweise kryptografische Challenges, weil das meistens mathematische Rätsel sind. Letztens haben wir zum Beispiel zu viert an einer Challenge gearbeitet. Da schaut sich jeder das Problem an, um einen Überblick zu haben und dann zeichnen wir auf einer Tafel die Struktur auf und reden darüber. Sobald eine Idee entstanden ist, gehen wir zum Computer und probieren diese aus.
Wieviel Zeit bleibt, um eine Challenge zu lösen?
Roman: Challenges laufen meist über 24, 36 oder 48 Stunden, das ist maximal ein Wochenende. Da arbeitet aber nicht das ganze Team ein Wochenende lang an der Lösung - manche Leute treffen sich am Vormittag, manche kommen erst am Nachmittag, am nächsten Tag kommen sie noch einmal. Ein Teammitglied kann sagen, „Cool, ich habe am Sonntag drei Stunden Zeit, ich komme für drei Stunden vorbei.“ Das macht den Einstieg leichter.Karl: So habe ich auch angefangen. Dann hat es mich gepackt und ich habe mir mehr Zeit genommen.
Roman: Das Problem ist, wenn Du kurz vor der Lösung stehst, beißt Du rein und willst nicht mehr aufhören. Dann werden aus drei ganz schnell neun Stunden.
Wie können Interessierte LosFuzzys kennenlernen?
Stefan: Wir haben ja außerhalb der Turniere auch viele Aktivitäten wie zum Beispiel seit Herbst das „Fuzzy Land“, ein ständiges Turnier, das wir selbst betreiben. Dort kann man sich die Challenges online ansehen und mitmachen. Das ist für alle Interessierten offen, dazu muss man nicht auf der TU Graz studieren. Man kann dadurch Erfahrung gewinnen, und es ist einfach ein cooler Zeitvertreib.Roman: Teil der Idee ist natürlich auch, dass man neuen Mitgliedern Challenges zur Verfügung stellt, die man selbst erstellt hat – mit sehr einfachen, anschaulichen Beispielen, um in die Materie einzusteigen. Seit Wintersemester 2017/18 bieten wir auch ein Seminar zum Thema Web Security als offizielle Lehrveranstaltung an. Außerdem gibt es jede Woche mittwochs am Abend eine offene Trainingssession. Die ist auch offen für Leute, die nicht an der TU Graz sind, zum Beispiel auch für Interessierte vor der Matura.
Es kommt auch vor, dass Leute, die noch nicht ihre Matura abgelegt haben schon zu uns kommen. Das wollen wir ausbauen. (Roman)
Welche Eigenschaften müsste ich haben, um im LosFuzzys-Team aufgenommen zu werden?
Roman: Es gibt keine formale Mitgliedschaft. Man sollte neugierig sein, Motivation mitbringen. Man sollte die Bereitschaft haben, sich reinzuhängen und immer neue Sachen zu erlernen. Die meisten Teammitglieder kommen aus der Fakultät für Informatik und Biomedizinische Technik. Aber wir haben auch Studierende aus der Physik dabei, und aus der Elektrotechnik. Die Aufgabenstellungen sind breit gefächert und eine gewisse Streuung ist für uns absolut positiv. Es kommt auch vor, dass Leute, die noch nicht ihre Matura abgelegt haben schon zu uns kommen. Das wollen wir ausbauen.Fuzzing ist eine Technik zur Softwareanalyse, bei der Zufallszahlen eine Rolle spielen. fuzzy bedeutet auch unscharf, flauschig.