Das Praktikum gibt die Gelegenheit, IT-Sicherheit praktisch zu erfahren. In einer abgesicherten Umgebung können Angriffsmethoden und Schutzmaßnahmen für Netzwerke und Rechner ausprobiert werden. Ebenfalls behandelt wird das Thema IT-Forensik.

An den regelmäßigen Terminen findet ein gemeinsames Treffen statt. Dazwischen ist freie Zeiteinteilung möglich. Die Arbeit erfolgt in Teams.

Lernziele:

• Methodische Untersuchung des Sicherheitszustands von IT-Systemen und Anwendungen zur Identifikation von Schwachstellen inklusive der Bewertung ihrer Kritikalität
• Praktisches Verständnis für Sicherheitslücken und ihre Auswirkungen
• Anwendung verbreiteter Techniken und Werkzeuge für technische Sicherheitsanalysen
• Verantwortungsvoller Umgang mit identifizierten Schwachstellen
• Einblick ins Berufsbild Penetration Testing und Abgrenzung zu Capture-the-Flag (CTF)
• Arbeit im Team

Stoffplan:

Der Fokus der Veranstaltung besteht in der Analyse von unbekannten IT-Systemen und Anwendungen, um Sicherheitslücken gezielt zu identifizieren und auszunutzen. Analyse- und Exploit-Werkzeuge können dabei in einer kontrollierten Umgebung (PentestLab) erprobt werden.

Ergänzend werden zu jedem Veranstaltungstermin Themenbereiche der IT-Sicherheit von den Studierenden im Team vorgestellt. Dabei werden sowohl allgemeine Hintergründe beleuchtet als auch konkrete Methoden und Werkzeuge zur Identifikation, Ausnutzung und Behebung relevanter Schwachstellen praxisnah vorgestellt.

Zum Semesterende erhalten die Teilnehmenden die Möglichkeit, das Erlernte anzuwenden, um bisher unbekannte Schwachstellen in Open-Source-Software zu identifizieren, einen Vorschlag für die Behebung zu entwickeln und diese Informationen gemäß Best Practices der „Responsible Disclosure“ an die Entwickler zu melden.

Damit ergibt sich der folgende Aufbau des Praktikums:

• Vorstellung eines Teilbereichs der praktischen IT-Sicherheit: relevante Schwachstellen, (automatisiertes) Identifizieren und Ausnutzen dieser Schwachstellen, Gegenmaßnahmen
• Sicherheitsanalysen von IT-Systemen und Anwendungen in einem klassischen Capture-the-Flag (CTF) Aufbau in mehreren Runden
• Diskussion identifizierter Schwachstellen und ihrer Kritikalität
• Diskussion und Bewertung von allgemeinen und konkreten Härtungsmaßnahmen
• Identifikation bisher unbekannter Schwachstellen in einer Open-Source-Software
• Verantwortungsvolle Meldung von Schwachstellen im Rahmen eines „Responsible Disclosure“ Prozesses

Voraussetzungen:

Informatikkenntnisse entsprechend den ersten vier Semestern des Bachelorstudiengangs Informatik werden vorausgesetzt, insbesondere Grundkenntnisse in Betriebssystemen, Netzwerkprotokollen und Programmiersprachen. Erfahrung in der Administration von Linux-Systemen sowie Netzwerken sowie Erfahrung mit CTF-Events und -Plattformen (z.B. Hack the Box) sind von Vorteil. Die Teilnahme setzt die Bereitschaft voraus, sich zeitintensiv über das gesamte Semester hinweg in verschiedene Themen der praktischen IT-Sicherheit einzuarbeiten und Challenges diesbezüglich zu lösen.