Møt studentene bak Oslos CTF-forening: - Holder ikke med det du lærer på studiet

- Avhengig av å gjøre din egen research og å lære ting på egenhånd, sier Oslo CTF-gjengen.

Oslo CTF arrangerer workshops relatert til Capture the flag-øvelser (CTF), programmering og ulike sikkerhetstema. Fra venstre: William Lægreid Solem, Stian Kvålshagen, Tiril Celine Buck og Marius Kotlarz. 📸: Mattis Vaaland
Oslo CTF arrangerer workshops relatert til Capture the flag-øvelser (CTF), programmering og ulike sikkerhetstema. Fra venstre: William Lægreid Solem, Stian Kvålshagen, Tiril Celine Buck og Marius Kotlarz. 📸: Mattis Vaaland Vis mer

- Hacking kan høres litt skummelt ut. Vi har derfor prøvd å lage en trygg lavterskel møteplass, der du ikke trenger å kunne masse programmering eller kommandoer for å være med, sier Tiril Celine Buck, leder i studentforeningen Oslo CTF, til kode24.

Vi møter Buck, Stian Kvålshagen, Marius Kotlarz og William Lægreid Solem i et seminarrom i Forskningsparken, som er en del av Universitetet i Oslo (UiO).

Alle er medlemmer av Oslo CTF, som består av en gruppe sikkerhetsentusiaster og utviklere fra UiO, OsloMet og Noroff. Foreningen arrangerer workshops relatert til Capture the flag-øvelser (CTF), programmering og ulike sikkerhetstema.

Det er mandag kveld, og de har nettopp veiledet de mange oppmøtte studentene i Wargames fra Overthewire.

Supplement til studiene

Oslo CTF sprang opprinnelig ut i 2021 av en sikkerhetsinteressert vennegjeng.

- Vi så at det var en økende interesse for sikkerhet, og ønsket å lage et sted hvor studenter føler at det er trygt å lære mer, men også få vite om hva man faktisk kan jobbe med, forteller Buch, som studerer cybersikkerhet ved Noroff.

Buck forteller at da hun startet på utdanningen regnet lærerne med at studentene kunne Linux-kommandoer fra før av.

- Etter hvert som folk går dypere inn i sikkerhetsfeltet, merker nok mange at det ikke er nok med det du lærer på skolen. Sannsynligheten for at ting utvikler og endrer seg er stor. Du blir derfor avhengig av å gjøre din egen research og å lære ting på egenhånd. Det er nettopp det man gjør i Oslo CTF, sier hun.

Kvålshagen, som er nestleder i Oslo CTF, sier at foreningen introduserer særlig førsteårsstudenter til konsepter som de ikke ante fantes i sikkerhetsverdenen.

- Så er det også en ekstra mulighet til å møte folk med erfaring og bli kjent med sikkerhetsmiljøet, sier han, som studerer cybersikkerhet ved Høyskolen i Kristiania.

Flere av foreningens aktiviteter er orientert rundt CTF-øvelser. 📸: Mattis Vaaland
Flere av foreningens aktiviteter er orientert rundt CTF-øvelser. 📸: Mattis Vaaland Vis mer

Lærer å gjøre research

Flere av foreningens aktiviteter er orientert rundt CTF-øvelser - "capture the flag". William Lægreid Solem, som har tatt på seg rollen som CTF-ansvarlig, forteller at en typisk CTF introduserer et system med en bevisst sikkerhetsfeil. Du skal utnytte denne feilen for å få tak i et «flagg», for eksempel en streng av tall og bokstaver.

- CTF-er eksponerer deg for problemstillinger som krever at du lærer deg noe nytt, som du kanskje ikke møter i utdanningen. En annen kul ting med CTF er at du må lære på egenhånd, i stedet for at noen underviser deg, sier Lægreid Solem, som studerer språkteknologi på Institutt for Informatikk ved UiO.

«Da er det fint å ha en gjeng du kan gå til, med nybegynnere og erfarne, som hjelper deg i gang.»

Marius Kotlarz, som er sosiale medier og rekrutteringsansvarlig, legger til at det finnes mange ulike CTF-kategorier.

- Du har også programmeringskategorier der du må finne en algoritme og optimalisere ting. Hvis du er utvikler kan CTF-er få deg til å tenke på en mer løsningsorientert måte når du utvikler noe, sier Kotlarz, som jobber fast som penetrasjonstester og tar en master i informasjonssikkerhet ved NTNU.

Kotlarz viser til at det finnes mange som arrangerer CTF-er i Norge.

- Men det kan være vanskelig å finne et sted å starte. Da er det fint å ha en gjeng du kan gå til, med nybegynnere og erfarne, som hjelper deg i gang.

Samler folk fra flere bakgrunner

Ifølge Buck hadde hun opprinnelig ikke en teknisk bakgrunn. Derfor var det fint å være i et miljø med blandede bakgrunner, slik som i Oslo CTF.

- Når jeg ble med på en CTF kunne jeg bidra med noe, selv om jeg ikke var den mest tekniske. Man sitter heller ikke like fast på oppgaver, som hvis man gjør dem alene. Alle har sine styrker og svakheter. Du trenger ikke å være best i alt, sier hun.

Buck legger til at ettersom folk har ulike bakgrunner og interesser, får medlemmene også mye ulike innspill på hva man kan lære fra informasjonssikkerhet.

- Neste uke skal vi ha om sikker koding. Andre ganger kan det for eksempel bli skysikkerhet eller pentesting. Man får et mye større nettverk i tillegg. Jeg har for eksempel blitt kjent med mange fra Høyskolen i Kristiania og UiO, sier hun.