Hacker Contest

Titel: Hacker Contest SS 2024

Art: 4 P

Dozent: Prof. Dr. phil. nat. Marc Fischlin;

Matthias Göhring, Tobias Hamann, Tim Wörner, USD AG

Credits: 6

Zeit: Dienstags, 15:20 h – 17:00 h

Ort: virtuell

Anmeldung SoSe 2024

Zur Teilnahme an der Veranstaltung ist das Bearbeiten einer Anmeldeaufgabe und eine anschließende Zulassung notwendig. Die Anmeldeaufgabe geht am 15.04.2024 online.

Rückmeldung zur Teilnahme ist Donnerstag, der 2. Mai 2024.

Anmeldeaufgabe

Die Aufgabe können Sie hier Anmeldeaufgabe WS23/24 (wird in neuem Tab geöffnet) herunterladen.

Inhalt

Das Praktikum gibt die Gelegenheit, IT-Sicherheit praktisch zu erfahren. In einer abgesicherten Umgebung können Angriffsmethoden und Schutzmaßnahmen für Netzwerke und Rechner ausprobiert werden. Ebenfalls behandelt wird das Thema IT-Forensik.

An den regelmäßigen Terminen findet ein gemeinsames Treffen statt. Dazwischen ist freie Zeiteinteilung möglich. Die Arbeit erfolgt in Teams.


Lernziele:

  • Methodische Untersuchung des Sicherheitszustands von IT-Systemen und Anwendungen zur Identifikation von Schwachstellen inklusive der Bewertung ihrer Kritikalität
  • Praktisches Verständnis für Sicherheitslücken und ihre Auswirkungen
  • Anwendung verbreiteter Techniken und Werkzeuge für technische Sicherheitsanalysen
  • Verantwortungsvoller Umgang mit identifizierten Schwachstellen
  • Einblick ins Berufsbild Penetration Testing und Abgrenzung zu Capture-the-Flag (CTF)
  • Arbeit im Team


Stoffplan:

Der Fokus der Veranstaltung besteht in der Analyse von unbekannten IT-Systemen und Anwendungen, um Sicherheitslücken gezielt zu identifizieren und auszunutzen. Analyse- und Exploit-Werkzeuge können dabei in einer kontrollierten Umgebung (PentestLab) erprobt werden.

Ergänzend werden zu jedem Veranstaltungstermin Themenbereiche der IT-Sicherheit von den Studierenden im Team vorgestellt. Dabei werden sowohl allgemeine Hintergründe beleuchtet als auch konkrete Methoden und Werkzeuge zur Identifikation, Ausnutzung und Behebung relevanter Schwachstellen praxisnah vorgestellt.

Zum Semesterende erhalten die Teilnehmenden die Möglichkeit, das Erlernte anzuwenden, um bisher unbekannte Schwachstellen in Open-Source-Software zu identifizieren, einen Vorschlag für die Behebung zu entwickeln und diese Informationen gemäß Best Practices der „Responsible Disclosure“ an die Entwickler zu melden.

Damit ergibt sich der folgende Aufbau des Praktikums:

  • Vorstellung eines Teilbereichs der praktischen IT-Sicherheit: relevante Schwachstellen, (automatisiertes) Identifizieren und Ausnutzen dieser Schwachstellen, Gegenmaßnahmen
  • Sicherheitsanalysen von IT-Systemen und Anwendungen in einem klassischen Capture-the-Flag (CTF) Aufbau in mehreren Runden
  • Diskussion identifizierter Schwachstellen und ihrer Kritikalität
  • Diskussion und Bewertung von allgemeinen und konkreten Härtungsmaßnahmen
  • Identifikation bisher unbekannter Schwachstellen in einer Open-Source-Software
  • Verantwortungsvolle Meldung von Schwachstellen im Rahmen eines „Responsible Disclosure“ Prozesses


Voraussetzungen:

Informatikkenntnisse entsprechend den ersten vier Semestern des Bachelorstudiengangs Informatik werden vorausgesetzt, insbesondere Grundkenntnisse in Betriebssystemen, Netzwerkprotokollen und Programmiersprachen. Erfahrung in der Administration von Linux-Systemen sowie Netzwerken sowie Erfahrung mit CTF-Events und -Plattformen (z.B. Hack the Box) sind von Vorteil. Die Teilnahme setzt die Bereitschaft voraus, sich zeitintensiv über das gesamte Semester hinweg in verschiedene Themen der praktischen IT-Sicherheit einzuarbeiten und Challenges diesbezüglich zu lösen.

Mo., 15. April 2024 – Livegang der Anmeldeaufgabe

Do., 2. April 2024 – Feedback zur Teilnahme

Di., 14. Mai 2024, 15:20 – 17:00 Uhr

Di., 28. Mai 2024, 15:20 – 17:00 Uhr

Di., 11. Juni 2024, 15:20 – 17:00 Uhr

Di., 25. Juni 2024, 15:20 – 17:00 Uhr

Di., 9. Juli 2024, 15:20 – 17:00 Uhr

Di., 23. Juli 2024, 15:20 – 17:00 Uhr

Di., 6. August 2024, 15:20 – 17:00 Uhr