Das CAP-Logo zum Projekt

Während der aktuellen Schulgebäudeschließung (im Mai 2020 schreibe ich diesen Blogeintrag) wird der Informatikunterricht in die Cloud verlagert. Wir haben an der Schule drei Informatikkurse im 11. Jahrgang mit etwas über 60 SuS, die für die anstehende Projektarbeit in ein gemeinsames „CAP-Team“ unserer Kollab-Plattform eingeladen wurden. Den weiteren Hintergrund erläutere ich kurz am Ende.

Das Fundstück

Die Einladung erfolgte Ende April per Mail über ein „Fundstück“ in einer Bilddatei, dessen Text per Häufigkeitsanalyse (oder 23x ausprobieren) entschlüsselt werden kann. Für die Erstellung der Geheimbotschaft habe ich einen den Cäsar-Generator von Cryptool Online verwendet, der das Cäsar-Verfahren mit eigener Schlüsselwahl unterstützt. Damit gewiefte SuS nicht einfach ein Texterkennungsprogramm über das Bild laufen lassen und das Ergebnis online entschlüsseln lassen, habe ich den Geheimtext in einer Textverarbeitung eingefügt, die Rechtschreibprüfung aktiviert und einen Screenshot erstellt. Das Bild habe ich anschließend im Zeichenprogramm mit Strichen überzogen. Vermutlich dürfte die Texterkennung noch einiges rausholen, auf jeden Fall geht es per Häufigkeitsanalyse schnell genug.

Das Fundstück

Die Nachricht lautet im Klartext:

hallo codeknacker schoen dass du es geschafft hast diese nachricht zu entschluesseln punkt hast du die haufigkeitsanalyse oder eine brute force methode verwendet fragezeichen lass es uns wissen und gib deine antwort im team cap bei der ersten abstimmung im kanal allgemein ab punkt der teamcode zum beitreten lautet pigjnfs punkt was es mit cap auf sich hat und warum wir alle informatikkurse in diesem team sammeln komma erfaehrst du auch bald punkt sei so nett und lasse den anderen auch ihren spass doppelpunkt verrate den teamcode und die loesung nicht komma bis alle im team cap sind punkt bis dann ausrufezeichen ha und roe 

Im CAP-Team erwarten die SuS bisher vier Aufgaben: „Vor der Hackerkonsole“, „An der Hackerkonsole“, „Im Datenstrom“ und „In der CAP-Zentrale“. Eine Aufgabenbeschreibung und zum Lösen der Rätsel notwendige Materialien sind jeweils angehängt und müssen zum Teil aus Alltagsgegenständen gebastelt werden. Die Aufgaben im Einzelnen:


Vor der Hackerkonsole

Du benötigst:

oder

Anweisung:

Schneide die ausgedruckten beiden Streifen aus. Lege den linken Streifen so über den rechten, dass sich beide schwarzen Striche genau berühren. Klebe beide Streifen zu einem langen Streifen zusammen. Alternativ schneidest du aus einem A4-Blatt Karopapier zwei jeweils 2 cm breite Streifen aus und klebst sie einen Zentimeter überlappend zusammen. Übertrage mit einem Stift die Buchstaben aus Chiffre.pdf möglichst genau auf den Streifen.

Decodiere nun die Geheimnachricht! Du findest mit etwas Suchen auf der Skytale ein Dir bekanntes Wort in Großbuchstaben (>4 Zeichen), das du für die nächste Aufgabe An der Hacker-Konsole brauchst. 

Abzugeben ist der ermittelte Klartext!

Ressourcen

Zwei Streifen mit der verschlüsselten Nachricht.

Lösung

Korrekt aufgewickelt ist das Wort CORONA zu lesen:

Beweisfoto eines Schülers

Tipps zur Durchführung

Der Papierstreifen sollte nicht zu schmal sein, da sonst die Buchstaben nicht mehr so leicht notiert werden können auf der Rolle. Da beim Ausdruck die Seiten eventuell skaliert werden könnten, habe ich erstens die den Scan nicht als reine Bilddatei, sondern als Pdf erstellt. Zum Aufkleben ist die Strichmarkierung, siehe Pdf, hilfreich.


An der Hackerkonsole

Du benötigst:

Anweisung:

Knacke den abfotografierten Code mit dem vor der Hacker-Konsole erhaltenen Schlüssel!

Es soll sich gerüchteweise um eine Vigenère-Verschlüsselung handeln…

Befolge dann die weiteren Anweisungen im Klartext. Am Ende erfährst du, was abzugeben ist.

Ressourcen

Die Geheimnachricht an der Hackerkonsole

Lösung

Die Nachricht kann mit dem Vigenère-Verfahren und dem Schlüssel CORONA entschlüsselt werden und lautet:

ERMITTLE MIT TRACEROUTE DIE IP ADRESSE DER SCHULHOMEPAGE UND RUFE SIE IM BROWSER AUF UND BEFOLGE DIE ANWEISUNG DORT

Auf der Schulhomepage ist über die IP-Adresse folgende Seite zu finden:

Screenshot der „versteckten“ Schulhomepage

Die erste Zeile der Schulhomepage wurde von den SuS als Screenshot, Audiomitschnitt, handschriftliche Notiz oder Foto aus dem Schulplaner eingereicht.

Beweis-Screenshot einer Schülerin

Tipps zur Durchführung

Zum Erstellen des Geheimtexts habe ich Cryptii verwendet und so eingestellt, dass der Text zunächst in Großbuchstaben konvertiert und dann per Vigenère-Verfahren verschlüsselt wird.

Vigenère-Chiffre mit Cryptii

Zum Erstellen der Grafik habe ich den LCD Display Screenshot Generator verwendet.

Wer an Smartphones oder Tablets arbeitet, kann auch ein webbasiertes Traceroute nutzen.


Im Datenstrom

Ein Spalt in der Hackerkonsole öffnet sich und du rutschst in den Datenkanal unweigerlich mit hinein. Quasi huckepack auf dem Binärstrom aus Nullen und Einsen reist du mit dem Datenstrom mit. Würdest du selbst in Nullen und Einsen codiert sein, würde man dich kaum entdecken im Datenrausch. Das klingt ganz nach Steganographie! Du fischst aus der Binärsuppe nebenbei eine Bildgrafik (Caps Lock.jpg) und eine Tonaufzeichnung (Genuschel.m4a). 

Und hey, da du gerade eh im Internet unterwegs sein musst, um diese Aufgabe lesen zu können, besuche doch einfach die Schulhomepage, klicke im Navigationsmenü ein paar Seiten an und versuche dabei, mit den Hinweisen in der Tonaufzeichnung und dem Bild etwas anzufangen. Zur Steganographie selbst findest du Spannendes im verlinkten Wikipedia-Artikel.

Viel Erfolg!

Was abzugeben ist, erfährst du am Ziel dieser Challenge!

Ressourcen

Wikipedia-Artikel zu Steganographie

Genuschel.mp3
Caps Lock
Urheber: Büşra ÖZCOŞKUN, Lizenz: CC-BY-SA 4.0 International
(Bild verändert durch Steganographie)

Lösung

Unsere Schulhomepage arbeitet wie meine Homepage mit WordPress. Jede Seite besitzt eine eindeutige ID, die in der Adresszeile des Browsers abgelesen werden kann. Umgekehrt kann eine ID natürlich auch an passender Stelle in der URL eingefügt werden. Die versteckte Seite ist passwortgeschützt, das Kennwort steht im Bild („Caps Lock“).

Auf der Seite ist per iframe-Plugin eine weitere Seite eingebettet, mit der Plaintext in Bilddateien per Steganographie versteckt werden kann. Diese Seite habe ich angepasst, so dass unter der Begrüßung nur die Möglichkeit zum Decodieren eines Bilduploads zu finden ist.

Versteckte Seite auf der Schulhomepage

Die versteckte Nachricht lautet:

CAP bedeutet Corona App Projekt

Beweisfoto eines Schülers

Tipps zur Durchführung

Wird eine WordPress-Seite passwortgeschützt, so erscheint sie nicht mehr in einer Suchanfrage. Nachweislich hatten SuS nach „CAP“ auf der Schulhomepage gesucht…

Als Steganographie-Tool habe ich Steganography Online verwendet. Der Quelltext liegt auf Github offen. Zum Verstecken einer Textnachricht sind kleinere Bilder besser geeignet, da das Ver- und Entschlüsseln im lokalen Browser durchgeführt wird. Das kann ältere Smartphones doch etwas ausbremsen.

Für die Audionachricht habe ich mir einfach die Nase zugehalten und etwas genuschelt.


In der CAP-Zentrale

Der Router spuckt dich in der CAP-Zentrale aus. Du hast es geschafft. Du bist drin! Willkommen! 😁

Für jeden Mitarbeiter gilt das gleiche Aufnahmeritual: Knacke den letzten Code und verewige dich an der Firmenwand.

Wo und wie, erfährst du mit dem Gepiepe, dem Poster und dem Zettel. 

Bis bald!

Was abzugeben ist, steht am Ende auf der Firmenwand!

Ressourcen

Poster
Urheber: Praxelius, Lizenz: CC-BY-SA 3.0 unported
Gepiepe
langsames Gepiepe
Zettel

Lösung

Wird die Audiodatei (beide spielen den gleichen Morse-Code ab) mit Hilfe der Morse-Tabelle decodiert, erhält man eine Internetadresse eines URL-Shorteners. (Ich verlinke diese hier nicht , um Bots / interessierten Lesern entgegenzukommen. Die Adresse wird mit Projektende deaktiviert. Die letzte Meile ist ohne Login in unsere Kollab-Plattform eh nicht zugänglich.

Der Zugang zur vollständigen URL ist kennwortgeschützt. Das Kennwort steht in der Bilddatei „Zettel“. (Die Bitfolge darin ist auf meiner Seite zerstückelt, da das Projekt aktuell noch läuft.) Ist das Ziel erreicht und die Whiteboard-Anwendung in unserer nicht-öffentlichen Plattform erreicht, findet man die letzte Anweisung dieser Aufgabe darin notiert:

Handschriftliche finale Anweisung auf der „CAP-Wall“

Während ich diesen Blogbeitrag aufschreibe, füllt sich die Leinwand langsam, aber sicher mit vielen kreativen CAP-Logos:

Tipps zur Durchführung

Den Link habe ich mit dem URL-Shortener kurzelinks.de gekürzt. Bei den Kurz-URL Einstellungen lässt sich unter anderem ein Passwort festlegen und ein Deaktivierungslink erzeugen. Auch der QR-Code ist ein nettes Gimmick für Escape Games (den ich hier aber nicht weiter verwendet habe).

Die Audiodatei mit dem Morse-Code habe ich online mit Text to Audio Morse Code Converter erstellt. Nach Eingeben des Klartextes und Einstellen der Tonhöhe und Geschwindigkeit, verwendet habe ich 5 WPM (Wörter pro Minute) und 700 Herz, kann die Audiodatei weiter unten im WAV-Format heruntergeladen werden. Auch die Punkt-Strich-Folge kann bequem kopiert und in eigenes Material übernommen werden. Achtung bei Internetadressen mit vorangestelltem Protokoll, Doppelpunkt und Doppe-Schrägstrich: Obwohl der Doppelpunkt in der Punkt-Strich-Folge steht, wird er im Audiofile nicht mit ausgegeben. Der Schrägstrich ist aber kein Problem.

Die WAV-Datei habe ich mit Audacity in das MP3-Format konvertiert, um „für später“ ein den SuS bekanntes Beispiel zum Thema Kompression zu haben. Der VLC Player kann auch konvertieren, wenn man Audacity gerade nicht zur Hand hat.

Auf Wunsch einer Schülerin habe ich das Gepiepe mit Audacity verlangsamt (Menü Effekt, Geschwindigkeit ändern) ohne Beibehaltung der Tonhöhe (Menü Effekt, Tempo ändern), da sonst das Jittern für Missverständnisse sorgen könnte, was Piepen und Pausen betrifft. Diese Version ist das langsame Gepiepe.

Das Bild mit dem Kennwort habe ich mit der Webcam aufgenommen und zugeschnitten. Es Sieht so einfach authentischer für ein Escape Game aus.

Die Idee, gemeinsam in ein Whiteboard ein Abschlussbild zu zeichnen, kann auf andere Onlinetools übertragen werden. Es müssen keine kollaborativen Zeichen-Apps sein. Genauso gut geht auch ein Etherpad, beispielsweise bei ZUMPad. Speicherfristen beachten (aktuell 6 Monate bei ZUMPad)!

Zum Hintergrund

Im Informatikunterricht wurden bis zur Schulgebäudeschließung die Themenbereiche Netzwerke und Kryptographie/Kryptologie behandelt. Die Idee eines Escape Games lag auf der Hand, da einerseits geheime Nachrichten entschlüsselt werden müssen und die aufzusuchenden Informationen im Internet per URL, POST-Variablen, IP, Port- und Protokollangaben wie Puzzlestücke vorab verteilt werden können.

Es handelt sich strenggenommen nicht um ein EduBreakout, da die Zusammenarbeit der SuS untereinander im Escape Game in den ersten fünf Aufgaben zwar empfohlen, aber nicht eingefordert wurde beziehungsweise zum Lösen der Rätsel nicht notwendig ist. Die erste Begrüßung der SuS im CAP-Team war wie folgt:

Hallo liebe CAP-Mitglieder! Die Aufgaben im 1. Level werden am Mittwoch, den 13. Mai, um 06:00 Ortszeit für alle Informatik-Kurse freigeschaltet. Nutzt diesen Kanal, um über die Aufgaben zu diskutieren. Insbesondere der Austausch mit den anderen Informatik-Kursen kann euch helfen!  Einzige Spielregel: Verratet keine Lösungen, wenn ihr sie gefunden habt. CAP ist wie ein gutes Videospiel: Man hat am meisten Spaß, wenn man möglichst viel selbst entdeckt und schafft!

Die verbindliche Kollaboration kommt nun, nachdem sich alle CAP-Teamer auf der Firmenwand verewigt haben: Die Zusammenarbeit im Corona App Projekt. Doch das ist ein anderes Thema.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.