Hallo, ich bin Bernhard und erzähle euch was über die Holiday Hack Challenge.

Wie viele von euch haben davon schon mal gehört? Eins? Okay, dann die zweite Frage übrig sich.

Dritte Frage, wer hat schon mal in einen Firmenechnikrechner eingebrochen?

Okay, wir werden aufgenommen. Wer hat davon geträumt, das schon mal zu machen?

Ah, perfekt. Hier ist alles Publikum.

Die Sands-Rolle-De-Hack-Challenge findet statt zwischen Weihnachten und Neujahr, also Mitte Dezember bis Mitte Januar, eigentlich jedes Jahr.

Es ist ein Online-Hack-Challenge, wie man mal was darüber verstehen will.

Veranstaltet von einem amerikanischen Trainingsinstitut, dem Sands-Institut.

Teilnahme ist frei, aber es gibt Preise zu gewinnen.

Und der größte Preis dabei ist, dass man unglaublich viel lernt, unglaublich kurze Zeit, über verschiedene Themen, von denen man vorher noch nie was gehört hat.

Das Ganze ist, ich sage mal, Ausgebot von Gamification.

Man versucht, Aufgaben zu lösen, schafft es, wird motiviert, macht die nächste weiter und eignet sich dabei jede Menge Wissen in verschiedensten Bereichen an.

Das ist ein Screenshot vom letzten Jahr, vom letzten Challenge.

Das Ganze ist so eine Art Adventure-Game im Browser als Rahmenhandlung des Ganzen.

Es geht meistens darum, irgendjemand, ein böser Schub, versucht Weihnachten zu verhindern.

Es geht darum, ihn aufzuhalten.

Man hat einen Avatar, interagiert mit anderen Spielern oder auch anderen Nichtspielerfiguren.

Typisches Computerspiel eigentlich, aber findet darin eingebettet teilweise leichte, teilweise sehr harte Rätsel oder Aufgaben.

So sieht das mal aus, wenn ein Raum etwas voll ist.

In der Mitte sieht man auch so einen Laser mit Terminal dran, wo man dann draufklickt, es geht ein Fenster auf und man hat tatsächlich ein Log-in-Fenster, wo man irgendwas tun muss.

Es gibt einen Add-on seit zwei Jahren.

Das ist nicht nur Rätsel, sondern das Ganze ist noch eingebettet, eine virtuelle Konferenz.

Für diese virtuelle Security-Konferenz haben echte Menschen Vorträge aufgenommen.

Entweder Vorträge, die sie speziell dafür gemacht haben oder Vorträge, die sie schon mal in einem anderen Kontext gehalten haben.

Die gibt es dann als embedded YouTube-Video in einer der Räume, in die man reingehen kann.

Oder mehreren, es gibt sieben Konferenzräume, wo man reingehen kann, YouTube-Videos anschauen kann.

Man kann sie auch extra anschauen, die Links gibt es auch.

Also es ist cool gemacht.

Aufgaben, ja ich red viel drüber, von Trivial bis Schweinehart.

Trivial, mal an ein Terminalfenster ist ein Add-Editor eingeloggt, muss wieder rauskommen.

Wer die richtige Taste findet, hat gewonnen.

Forensische Analyse von Logfiles.

SQL-Injection ausführen, um über die Datenbank eine Applikation zu hacken.

Eine Android-App mal herunterladen, zerlegen, anschauen, was die macht.

Schwachstellen finden, wieder zusammenbauen, nach leichten Änderungen vielleicht und schauen, was sie dann macht.

Und Online-Spielen betrügen, auch ganz wichtig für das Leben nebenbei.

Oder auch, was ich besonders witzig fand, eine Windows-Binary zerlegen, durch ein List Assembler jagen.

Code analysieren, Algorithmen analysieren und Schwachstellen in den verschwendeten Krypto-Algorithmen finden und die dann ausnutzen.

Geht alles. Und es kann jeder, man wird nämlich hingeführt.

Über die Videos, über entsprechende Informationen, über Webseiten Informationen geben.

Man schafft das tatsächlich.

Damit. So hat man es erst mal klingen mag.

Was hat es mit Perl zu tun?

Einiges. Man kann in Großteil der Aufgaben auch in Perl lösen.

Hier ein Beispiel. Das ist jetzt nur zwischen trivial und einfach.

Es geht darum, in einen verschlossenen Raum reinzukommen.

Es gibt ein Keypad und es gibt zwei Hinweise.

Der Pin ist eine Primzahl und eine Ziffer wiederholt sich.

Wenn man sich den Keypad so ein bisschen anschaut, sieht man auch bei weiteren Hinweisen,

dass nicht alle Ziffern verwendet sind, sondern nur die 1, 3 und die 7.