Hackerspace News

News

Neue Generation der Squareroots bei ihrem zweiten gemeinsamen Attack/Defense-CTF

🇩🇪 · RaumZeitLabor · itronik

Am vergangenen Wochenende haben die Squareroots nach ihrem Comeback vor einem Monat erneut an einem gemeinsamen Attack/Defense-CTF teilgenommen: dem SaarCTF 2025 , organisiert vom Team Saarsec . Zielstrebig, vorbereitet und mit neuer Energie erreichten sie Platz 23 von rund 290 angemeldeten Teams — eine starke Leistung der noch jungen Generation an Flaggenjägern. Bei einem Attack/Defense-CTF erhält jedes Team identische virtuelle Maschinen mit verschiedenen Services (z. B. Web-, Telnet- oder Mail-Servern). Die Aufgabe: Schwachstellen finden und schließen, um die eigenen Flaggen zu schützen — und gleichzeitig die Systeme der anderen Teams angreifen, um deren Flaggen zu erobern. Im Unterschied zum ersten gemeinsamen CTF lag unser Fokus diesmal nicht nur auf Verteidigung. Mit vorbereiteten Tools wie einer Traffic‑Analyse , einem automatisierten Flag‑Submitting‑Framework und einer Exploit‑Toolchain sind wir offensiv aktiv geworden. Verteidigung war Pflicht, Angriff unser Ziel — und mit über 39.000 eroberten Flaggen haben wir dieses Ziel erreicht! Die Challenges im Überblick Das diesjährige SaarCTF stellte acht Dienste bereit – von Kryptographie über Binary-Exploits bis zu Web-Services: BlockRope : ein in Python geschriebener Telnet‑Server mit Path‑Manipulation‑Lücke. Exploit entwickelt. Calendar : eine kompilierte Anwendung mit Redis‑Datenbank. Enthielt eine Lua‑Code‑Injection und einen Heap‑Buffer‑Overflow. Licenser : kompilierte Anwendung mit Remote‑Code‑Execution Lücke (RCE). No‑Service: hatte keine eigene Sicherheitslücke, konnte aber über andere verwundbare Dienste kompromittiert werden. RCEaaS : CMD‑Emulator in Rust („ACMD‑ähnlich“). Anfällig für Path‑Traversal und RCE. Mehrere Exploits entstanden. Routerploit : PHP‑basierter Webshop mit fehlerhafter Rechteprüfung. Zwei unterschiedliche Exploits implementiert. SSSG : Multi‑Webserver mit OAuth‑Flow. Enthielt eine RCE. SaarLandCryptoGalore : nutzte einen Linear Congruential Generator (LCG) zur Verschlüsselung und war anfällig für einen Known‑Plaintext‑Angriff. Fazit Wir sind mehr als zufrieden: Die Squareroots haben gezeigt, dass sie nach dem Comeback nicht nur defensiv stabil sind, sondern auch offensiv angreifen können. Die Kombination aus guter Vorbereitung, passender Toolchain und entschlossener Durchführung spiegelt sich im Ergebnis wider — Platz 23 von rund 290 Teams spricht für sich. Wenn du Lust hast, bei einem CTF mitzumachen oder einfach Interesse am Thema und Austausch hast, melde dich gerne bei uns ! Wie kannst du uns erreichen Matrix: #rzl-ctf:hax404.de Oder komm einfach an einen unserer zweiwöchentlichen treffen im RaumZeitLabor vorbei. Im Kalendar kannst du die Tage & Uhrzeiten finden: Link

Keine Aushöhlung digitaler Rechte in der EU!

🇩🇪 · Chaos Computer Club

Die EU-Kommission plant im Rahmen des sogenannten „Digital Omnibus“ tiefe Einschnitte in grundlegende Rechte der europäischen Bevölkerung im digitalen Raum. Im Eilverfahren sollen zentrale Bausteine des Schutzes vor übergriffigem staatlichen Handeln und umfassender kommerzieller Überwachung entfernt werden und den mehr als fragwürdigen Praktiken einer umstrittenen KI-Industrie ein weitgehender Freifahrtschein erteilt werden. Der kommerzielle Handel mit sensiblen Daten durch die Werbewirtschaft würde weitgehend legalisiert und damit nicht nur der Datenschutz der europäischen Bevölkerung, sondern auch die Sicherheit aller gefährdet, da diese Daten ohne weiteres auch zu kriminellen und Spionage-Zwecken genutzt werden können. Statt einer Stärkung des gemeinsamen Rechtsrahmens und der Rechtssicherheit für Vereine, öffentliche Institutionen und die Wirtschaft, würden die problematischen Geschäftsmodelle nicht zuletzt großer Tech-Unternehmen und der Tracking-Industrie gestärkt. Insbesondere die deutsche Bundesregierung hat auf einige der geplanten Änderungen gedrängt. Während fast alle anderen EU-Staaten allenfalls kleine Änderungen befürworten würden und vielmehr Mechanismen für eine einheitliche und effektive Durchsetzung anmahnen, drängt die Bundesregierung auf eine weitgehende Abschaffung von Betroffenenrechten, womit sie offenkundig bei der Kommission unter Ursula von der Leyen auf offene Ohren gestoßen ist. Elina Eickstädt, Sprecherin des Chaos Computer Clubs (CCC): „Bürger*innen sollen entmachtet, sensible Daten freigegeben und die fragwürdigen Praktiken der KI-Industrie legalisiert werden. Statt an einer digitalen Zukunft für alle zu arbeiten, verkauft die Kommission unsere Grundrechte und überlässt Tech-Konzernen die Kontrolle.“ Ella Jakubowska, European Digital Rights (EDRi): „Wir sind bereits meilenweit davon entfernt, dass die Kommission glaubhaft behaupten könnte, dies würde die Dinge vereinfachen. Dies ist ein umfassender Angriff auf unsere Grundrechte und bürgerlichen Freiheiten, der die digitale Welt für Kinder und Erwachsene gleichermaßen unsicherer machen würde.“ Tom Jennissen, Digitale Gesellschaft: „Die geplanten Änderungen stellen keine Vereinfachungen in der Praxis dar. Sie zielen einzig auf den Abbau von Betroffenenrechten und die Legalisierung problematischer Geschäftspraktiken. Gerade die Rolle der Bundesregierung ist äußerst bedenklich: Statt die Probleme der Digitalisierung in Deutschland endlich effektiv anzugehen, wird mal wieder alle Schuld auf den Datenschutz geschoben. In der nächsten Woche wird die Bundesregierung mit großem Popanz den ‚europäischen Gipfel zur digitalen Souveränität‘ veranstalten. Doch statt sich endlich aus der Abhängigkeit von Big Tech zu lösen, schleift sie hinter den Kulissen den Rechtsrahmen, der genau diese Tech-Unternehmen unter Kontrolle halten soll.“ Svea Windwehr, Co-Vorsitzende von D64 – Zentrum für Digitalen Fortschritt: „Wer digitale Souveränität will, aber Grundrechte opfert, verspielt die Jahrhundertchance, die digitale Transformation demokratisch, offen und fair zu gestalten. Europäische Digitalregulierung abzubauen, kommt in erster Linie den Hyperscalern zugute. Diese stemmen sich vehement gegen strengere Wettbewerbsregeln, bessere Nutzer:innen-Rechte und zumindest grundlegende Regeln für KI.“ Bereits im Frühjahr hatte die EU-Kommission angekündigt, im Rahmen ihrer ausdrücklichen Deregulierungs-Agenda auch technische Anpassungen an der Datenschutzgrundverordnung (DSGVO) sowie der ePrivacy-Richtlinie vorzunehmen. Die nun durchgesickerten Pläne gehen aber weit über die seinerzeit ins Auge gefassten Änderungen hinaus. So sehen die geplanten Änderungen eine weitgehende Ausnahme von pseudonymisierten Daten in der Definition der „personenbezogenen Daten“ vor, obwohl sich gerade durch die Zusammenführung verschiedener Daten angesichts umfassender Datensammlungen oft unschwer auf die Identität von Personen schließen lässt. Die Kommission möchte insofern einen rein subjektiven Ansatz verfolgen, was nicht zu Vereinfachungen, sondern zu neuen Rechtsunsicherheiten führen wird. Besonders sensible Daten, etwa zu religiösen und weltanschaulichen Ansichten, zur ethnischen Herkunft oder zu Gesundheitsdaten sollen nur geschützt werden, wenn sie ausdrücklich erhoben werden, aber nicht, wenn sich aus den Daten auf sie schließen lässt. Angesichts der Praxis staatlicher und vor allem kommerzieller Stellen würde das den Schutz dieser Daten ganz weitgehend aufheben und sogar dazu führen, dass Menschen, die aus guten Gründen entsprechende Angaben vermeiden, den Schutz verlieren. Für KI-Anwendungen ist eine Art Bereichsausnahme geplant, so dass diese besonders geschützten Daten weitgehend für das Training von KI-Modellen verwendet werden dürfen. Sogenannte „Omnibus-Verfahren“ werden derzeit von der EU in bestimmten Bereichen genutzt, um verschiedene regulatorische Pläne in einem Verfahren zu bündeln. Dabei wird der Eindruck erweckt, dass es sich weitgehend um technische Anpassungen handeln würde. Im Detail stecken darin jedoch auch tiefgreifende Einschnitte in etablierte regulatorische Strukturen. Durch die Bündelung sehr verschiedener Maßnahmen werden die üblichen gesetzgeberischen Abläufe unterlaufen und durch den Anschein der „technischen Anpassung und Vereinfachung“ demokratische Beteiligung erschwert. Verkaufte Grundrechte Schutz sensibler Daten wäre weitgehend aufgehoben Weiterführende Links: Brief in englischer Fassung Brief in deutscher Fassung