"Die Russen sind wirklich gut"

Inhaltsverzeichnis

Giovanni Vigna kommt aus Italien, ist 39 Jahre alt und organisiert alljährlich den weltweiten Hacker-Wettbewerb "Capture the flag" (ICTF). Nach seinem PhD-Abschluss in Mailand forschte er in den USA als Post Doc auf dem Gebiet der IT-Sicherheit und erhielt schließlich eine Professur am Lehrstuhl für Informatik der University of California Santa Barbara. Bereits mit 14 Jahren experimentierte er am Commodore 64 und anderen Heimrechnern der ersten Generation und beackert sein Fachgebiet nach eigenen Angaben auch heute noch mit großer Leidenschaft. Technology Review sprach mit ihm über die Organisation des iCTF und die dabei gemachten Beobachtungen.

Technology Review: Können Sie kurz das Thema des im Dezember abgehaltenen iCTF-Wettbewerbes umreißen?

Giovanni Vigna: Das Schlagwort wäre "Angriff auf ein Cyber-Terroristennetzwerk" sagen. Ein ziemlich unglücklicher Zufall: Während wir an dem Konzept arbeiteten, war dieser Terroranschlag in Indien. Das ließ mich innehalten und überlegen, ob das nicht vielleicht die Grenzen des guten Geschmacks überschreitet. Unsere Arbeiten waren zu dem Zeitpunkt allerdings schon recht weit fortgeschritten. Wir wurden aber beruhigt, dass wohl niemand annehmen würde, wir fänden Terrorismus spaßig. Unsere Story: Die Teams sollten in das Netzwerk der Terroristen eindringen und eine Bombenexplosion verhindern.

TR: Wie kommen Sie auf solche Geschichten?

Vigna: Das hebt unseren Capture-the-Flag-Wettbewerb von den anderen ab, insbesondere von dem von DEFCON. Wir entwickeln ein Thema und legen alle Services, Webseiten um dieses Szenario herum an. Im ersten Jahr lautete das Thema: "Microsoft Windows wird Open-Source-Software". Dann die weltweite UN-Wahl 2014. Gefolgt von der Mafia-Website, der Hillbilly-Bank und dem Spammer-Museum. Wir setzen uns im Vorfeld zusammen und überlegen uns ein interessantes, unterhaltsames, harmloses Thema, entwickeln die Geschichte dazu und schreiben den Text. Diesen Part übernehme ich in der Regel selbst.

TR: Werden wir bald einen Cybercrime-Thriller von Ihnen lesen?

Vigna: Nein, eigentlich nicht. In einer Unterhaltung mit einem Hollywood-Drehbuchautoren schlug dieser vor, ich solle ein Drehbuch darüber schreiben, dass die Teams denken, sie nehmen an einem Wettbewerb teil. In Wirklichkeit aber handelt es sich um einen echten Hacker-Angriff. Ich habe die Idee aufgegriffen. Tatsächlich habe ich für den diesjährigen Wettbewerb die Website www.softerror.com erstellt.

TR: Glichen auch die Anfänge des iCTF auch einem Hollywood-Film?

Vigna: Es fing im Jahr 2001 an, als ich meinen Lehrauftrag an der University of California, Santa Barbara annahm. In einem Graduiertenkolleg zum Thema Sicherheit überlegten wir uns eine Art von Wettbewerb, um das Erlernte in der Praxis anzuwenden. Ich richtete dafür zwei Netzwerke im Kurs ein. Dann teilte ich die Teilnehmer in zwei Gruppen auf: die eine Hälfte waren die Angreifer, die andere Hälfte sollte diese Angriffe abwehren. Das fand also kursintern statt und war unser erstes Experiment dieser Art. Die Studenten fanden das Konzept toll, räumten aber ein, dass sie sowohl Angriff als auch Abwehr ausprobieren wollten.

TR: Auf welche Weise erfolgte die Implementierung? Waren die Studenten im selben Zimmer?

Vigna: Ja, in der Tat. Es war alles lokal, nichts verteilt. Mehr LAN geht nicht, wenn man so will. Wir wollten die Probleme ermitteln. Das war alles noch vor dem eigentlichen CTF-Wettbewerb, der weitaus größere Ausmaße angenommen hat. Wir wollten herausfinden, was passierte, welche Probleme bestanden, wie die Treffer gezählt werden usw. Andere machten sich parallel zu uns ähnliche Gedanken dazu. Unser Konzept war aber anders als das der Hacker-Wettbewerbes DEFCON.

TR: Wie sah das aus?

Vigna: Das war ein serverbasierter Ansatz. Bei diesem Wettbewerb wurde Sieger, wer als Erster in das System eindrang und zeigte, dass die Sicherheitsmaßnahmen geknackt wurden. Es gab also ein konkretes Ziel und ein Wettrennen darum, es vor allen anderen zu erreichen, also vor allen anderen den Computer zu knacken.