Hacker Contest

Titel: Hacker Contest WS 2022/2023

Art: 4 P

Dozent: Prof. Dr. phil. nat. Marc Fischlin; Matthias Göhring und Tobias Hamann, USD AG

Credits: 6

Zeit: Dienstags, 14:30 h – 16:00 h

Ort: virtuell

Zur Teilnahme an der Veranstaltung ist das Bearbeiten einer Anmeldeaufgabe und eine anschließende Zulassung notwendig. Die Anmeldeaufgabe geht am 30.09.2022 online.

Einsendeschluss ist Mittwoch, der 19. Oktober 2022 um 23:59. Die Anmeldeaufgabe und Informationen zur Abgabe finden Sie hier.

Die Aufgabe können Sie hierAnmeldeaufgabe (wird in neuem Tab geöffnet) herunterladen.

Das Praktikum gibt die Gelegenheit, IT-Sicherheit praktisch zu erfahren. In einer abgesicherten Umgebung können Angriffsmethoden und Schutzmaßnahmen für Netzwerke und Rechner ausprobiert werden. Ebenfalls behandelt wird das Thema IT-Forensik.

An den regelmäßigen Terminen findet ein gemeinsames Treffen statt. Dazwischen ist freie Zeiteinteilung möglich. Die Arbeit erfolgt in Teams.

Lernziele:

• Methodische Untersuchung des Sicherheitszustands von IT-Systemen und Anwendungen zur Identifikation von Schwachstellen inklusive der Bewertung ihrer Kritikalität
• Praktisches Verständnis für Sicherheitslücken und ihre Auswirkungen
• Anwendung verbreiteter Techniken und Werkzeuge für technische Sicherheitsanalysen
• Verantwortungsvoller Umgang mit identifizierten Schwachstellen
• Einblick ins Berufsbild Penetration Testing und Abgrenzung zu Capture-the-Flag (CTF)
• Arbeit im Team

Stoffplan:

Der Fokus der Veranstaltung besteht in der Analyse von unbekannten IT-Systemen und Anwendungen, um Sicherheitslücken gezielt zu identifizieren und auszunutzen. Analyse- und Exploit-Werkzeuge können dabei in einer kontrollierten Umgebung (PentestLab) erprobt werden.

Ergänzend werden zu jedem Veranstaltungstermin Themenbereiche der IT-Sicherheit von den Studierenden im Team vorgestellt. Dabei werden sowohl allgemeine Hintergründe beleuchtet als auch konkrete Methoden und Werkzeuge zur Identifikation, Ausnutzung und Behebung relevanter Schwachstellen praxisnah vorgestellt.

Zum Semesterende erhalten die Teilnehmenden die Möglichkeit, das Erlernte anzuwenden, um bisher unbekannte Schwachstellen in Open-Source Software zu identifizieren, einen Vorschlag für die Behebung zu entwickeln und diese Informationen gemäß Best Practices der „Resonible Disclosure“ an die Entwickler zu melden.

Damit ergibt sich der folgende Aufbau des Praktikums:

• Vorstellung eines Teilbereichs der praktischen IT-Sicherheit: relevante Schwachstellen, (automatisiertes) Identifizieren und Ausnutzen dieser Schwachstellen, Gegenmaßnahmen
• Sicherheitsanalysen von IT-Systemen und Anwendungen in einem klassischen Capture-the-Flag (CTF) Aufbau in mehreren Runden
• Diskussion identifizierter Schwachstellen und ihrer Kritikalität
• Diskussion und Bewertung von allgemeinen und konkreten Härtungsmaßnahmen
• Identifikation bisher unbekannter Schwachstellen in einer Open-Source Software
• Verantwortungsvolle Meldung von Schwachstellen im Rahmen eines „Resonible Disclosure“ Prozesses

Voraussetzungen:

Informatikkentnisse entsprechend den ersten 4 Semestern des Bachelorstudiengangs Informatik werden vorausgesetzt, insbesondere Grundkenntnisse in Betriebssystemen, Netzwerkprotokollen und Programmiersprachen. Erfahrung in der Administration von Linux-Systemen sowie Netzwerken sowie Erfahrung mit CTF-Events und -Plattformen (z.B. Hack the Box) sind von Vorteil. Die Teilnahme setzt die Bereitschaft voraus, sich zeitintensiv über das gesamte Semester hinweg in verschiedene Themen der praktischen IT-Sicherheit einzuarbeiten und Challenges diesbezüglich zu lösen.

Fr, 30. September 2022 Livegang der Anmeldeaufgabe

Mi, 19. Oktober 2022, 23:59 h: Abgabeschluss der Anmeldeaufgabe

Feedback zur Teilnahme am 21. Oktober 2022.

Di, 25. Oktober 2022, 14:30 – 16:00 h

Di, 8. November 2022, 14:30 – 16:00 h

Di, 22. November 2022, 14:30 – 16:00 h

Di, 6. Dezember 2022, 14:30 – 16:00 h

Di, 20. Dezember 2022, 14:30 – 16:00 h

Di, 17. Janaur 2023, 14:30 – 16:00 h

Di, 31. Janaur 2023, 14:30 – 16:00 h