Informatikstudium Akademisches Hackertraining
An mehreren Hochschulen lernen Studenten, wie man Computersysteme knackt, um diese so besser schützen zu können. Die Lehrmethode bewegt sich am Rande der Legalität
"Wir trainieren nicht, wie man Angriffe macht. Wir bilden keine Hacker aus", beteuert Jörg Schneider von der TU Berlin. Als wissenschaftlicher Mitarbeiter eines Informatik-Lehrstuhls betreut er dort die Arbeitsgruppe Rechnersicherheit. Unter dem Namen "Enoflag" gewann sie im Dezember 2008 den renommierten internationalen IT-Sicherheitswettbewerb "Capture the Flag". Dabei galt es, unter hohem Zeitdruck die Sicherheitslücken im eigenen, von den Veranstaltern vorbereiteten, Netzwerk zu schließen und gleichzeitig die Lücken in den Netzen der konkurrierenden Studententeams für Angriffe auszunutzen. Doch trotz des Erfolgs ist Schneider vorsichtig geblieben. Er fürchtet den Vorwurf in der Öffentlichkeit, in solchen universitären Veranstaltungen könnten anrüchige oder gar illegale Hackermethoden unterrichtet werden.
Dabei herrscht in der Fachwelt Einigkeit darin, dass es zur Ausbildung von fitten IT-Sicherheitsexperten höchst sinnvoll ist, dass sie gelernt haben, sich in die Lage des Angreifers zu versetzen. "Das ist geradezu unverzichtbar. Sonst entsteht der Eindruck, dass die vorhandenen technischen Sicherheitsmittel ausreichen", sagt Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg. Der Professor für Informationssicherheit ist Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik. Seit Jahren beschäftigt er sich mit den Möglichkeiten digitaler Kriegsführung und sicherer Software-Entwicklung. "Mir ist das Ausbildungsziel wichtig, dass die Studenten unbekannte Lücken finden. Es wird nämlich kritisch, wenn Unternehmen Jahre lang ihre individuelle Software nutzen und deren Lücken nicht kennen."
Anzeige
In einer Übung zu seiner Vorlesung trainieren zehn Studenten zwei Semester lang Angriffe innerhalb eines Hochschullabors. Die "Erfolgsquote" schwankt je nach Sicherheit des anvisierten Servers zwischen 50 und 95 Prozent. "Dafür sind keine großartigen IT-Kenntnisse nötig", so Pohl. Die Studierenden können für die Attacken auf zehn verschiedene Software-Werkzeuge zurückgreifen, die ihnen gestellt werden. Dazu zählen Tools wie Core Impact, Metasploit und Canvas. Man kann sie abends einschalten. Am Morgen darauf liefern sie einen Bericht, der die Sicherheitslücken des geprüften Systems auflistet. Diese kann man anschließend gezielt attackieren.
Ähnlich sieht das Felix Leder, Dozent einer Übung zur Netzwerksicherheit an der Uni Bonn und kürzlich Autor einer viel beachteten Analyse des Conficker-Wurms: "Je kreativer man im Angriff ist, desto kreativer ist man auch in der Verteidigung. In jedem System gibt es Lücken. Das hängt einfach damit zusammen, dass es im Durchschnitt in 1000 Zeilen Programmiercode drei Fehler gibt. Die gefundenen Lücken dann auszunutzen ist nicht so schwierig." An der Uni Bonn tummeln sich mehrere Dutzend Studenten in zwei Lehrveranstaltungen, in denen das Vorgehen von Hackern unterrichtet wird und Schadprogramme untersucht werden.
Anzeige
- Datum 06.08.2009 - 09:22 Uhr
- Seite 1 | 2 | 3 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 9
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
"Der Paragraf 202c des Strafgesetzbuchs stellt das Herstellen und das Verbreiten von Hackerwerkzeugen unter Strafe, wenn sie dazu dienen, das Ausspähen und Abfangen von Daten vorzubereiten."
... der Internet-Ausdrucker. Zu dumm aber auch, wenn man eine Sache bestrafen will, die man nicht ansatzweise versteht und dazu auch noch gleich zu umfassenden Kopier- und Herstellungsverboten greift. Gummi-Gesetze die eine effektive Willkürpolitik möglich machen.
Im Übrigen glaube ich eher, dass ein Großteil der Firmen sich strafbar macht, denn das Ausspähen und Abfangen von Mitarbeiterdaten, die im Internet surfen, ist so ziemlich Gang und Gäbe, nur würde halt nie jemand die Log-Funktion eines Servers als "Hackertool" bezeichnen. Oder doch? Wer weiß...
Gesetze werden vom Justizministerium ausgebrütet und dem steht, in Person von Frau Zypries, die fleischgewordene Inkompetenz vor. Die Dame ist republikweit die schlimmste Bürgerfeindin nach Schäuble und von der Laien.
Dass es in Deutschland überhaupt noch freie Softwareentwickler gibt ist ausschliesslich einem Machtwort des Basta-Kanzlers zu verdanken. Hätte die Zypresse feie Hand gehabt, wäre jede mögliche Software, die irgendwer irgendwann hätte schreiben können, von MicroSoft&Co schon vorab patentiert gewesen. Aber in dieser einen Hinsicht ist auf deutsche Politiker Verlass: Dümmer geht immer. Und so kam der 202c zur Welt.
_________________________________________________
Lassen wir Taten folgen:
Werden Sie Mitglied, wählen Sie die Piratenpartei.
Für Freiheit und Demokratie.
Denn etwas besseres als den Tod finden wir überall.
[Anmerkung: Bitte tragen Sie zu einer sachlichen Diskussion bei und unterlassen Sie die Verballhornung von Namen. Vielen Dank. / Die Redaktion as]
Wo war da eine Verballhornung eines Namens ?
Der Name von Frau Zypries und Herrn Schäuble ist wohl korrekt und dementsprechend (auch aus dem Kontext ersichtlich) der Name "von der Laien" versehendlich falsch geschrieben. Ich weis auch nie wie man die Dame schreibt.
Herr Schröder ist auch nicht verballhornt sondern eher positiv hervorgehoben. Also was soll Ihre Anmerkung ?
Früher laß ich tagesschau.de und heute.de. Ich bin auf Zeit-Online umgestiegen weil die Artikel ausgewogener zusammengestellt sind und ich durch die Kommentarfunktion Meinungen anderer Leute zu den Artikel erhalte. Früher (bei tageschau/heute) habe ich oft gedacht: Was für ein grottenschlechter verfälschter Artikel, merken das die Leser nicht ? Wenn soetwas bei Zeit-Online passiert, wird der Artikel in den Kommentaren aufbereitet. Dadurch verändert sich oft meine Sicht auf das Beschriebene (bzw. den Artikel) oder ich merke, dass ich richtig liege. Das finde ich klasse. Also weiter so Redaktion.
P.S.: Ich finde es auch gut, dass Ihr wieder die Bewertungsfunktion eingeführt habt. Wen es stört soll sie einfach nicht nutzen.
Wo war da eine Verballhornung eines Namens ?
Der Name von Frau Zypries und Herrn Schäuble ist wohl korrekt und dementsprechend (auch aus dem Kontext ersichtlich) der Name "von der Laien" versehendlich falsch geschrieben. Ich weis auch nie wie man die Dame schreibt.
Herr Schröder ist auch nicht verballhornt sondern eher positiv hervorgehoben. Also was soll Ihre Anmerkung ?
Früher laß ich tagesschau.de und heute.de. Ich bin auf Zeit-Online umgestiegen weil die Artikel ausgewogener zusammengestellt sind und ich durch die Kommentarfunktion Meinungen anderer Leute zu den Artikel erhalte. Früher (bei tageschau/heute) habe ich oft gedacht: Was für ein grottenschlechter verfälschter Artikel, merken das die Leser nicht ? Wenn soetwas bei Zeit-Online passiert, wird der Artikel in den Kommentaren aufbereitet. Dadurch verändert sich oft meine Sicht auf das Beschriebene (bzw. den Artikel) oder ich merke, dass ich richtig liege. Das finde ich klasse. Also weiter so Redaktion.
P.S.: Ich finde es auch gut, dass Ihr wieder die Bewertungsfunktion eingeführt habt. Wen es stört soll sie einfach nicht nutzen.
Wenn man es genau betrachtet sind alle "Hackertools" nur Such- und Protokol-Programme. Da gibt es nicht wirklich eine Differenzierung in meinen Augen.
Ich würde das immer über die Absicht des Nutzers definieren.
"Ich würde das immer über die Absicht des Nutzers definieren."
Besser noch über die Taten des Users, also ob er damit Schaden angerichtet hat, denn Absichten sind idR schwer zu erkennen. Wir haben in unserer Uni auch die Passwörter von unseren Professoren geknackt (bzw. versucht), da aber nie jemand zu Schaden gekommen ist, warum sollte man sowas unter Strafe stellen? Wenn ich an einer Wohnungstür klinke, dann bedeutet das ja auch nicht automatisch, dass ich demjenigen die Bude ausräumen möchte. Und der Besitz und die Herstellung von Stemmeisen ist auch nicht verboten, noch nichtmal der Einsatz, außer ich tue es entgegen dem Willen des Eigentümers :-)
"Ich würde das immer über die Absicht des Nutzers definieren."
Besser noch über die Taten des Users, also ob er damit Schaden angerichtet hat, denn Absichten sind idR schwer zu erkennen. Wir haben in unserer Uni auch die Passwörter von unseren Professoren geknackt (bzw. versucht), da aber nie jemand zu Schaden gekommen ist, warum sollte man sowas unter Strafe stellen? Wenn ich an einer Wohnungstür klinke, dann bedeutet das ja auch nicht automatisch, dass ich demjenigen die Bude ausräumen möchte. Und der Besitz und die Herstellung von Stemmeisen ist auch nicht verboten, noch nichtmal der Einsatz, außer ich tue es entgegen dem Willen des Eigentümers :-)
Ein Skalpell ist schließlich auch eine Waffe;-) Nee, dass ist ja das klassische Sicherheitsdilemma. Wenn die Jungs und Mädels nicht mal wissen, wie die bösen Buben in das System eindringen, woher sollen sie dann wissen, wie sie dagegen vorgehen sollen? Genau genommen ist das ohnehin kein Hacking, was sie da machen. Ein Zwölfjähriger könnte diese Tools verwenden, um Server zu hacken. Erst, wenn man selber solche Lücken ausnützt oder Tools programmiert, wäre man ein Hacker.
Die c't hat kürzlich darüber berichtet. Wenn ich den Artikel noch richtig im Gedächtnis habe, sind die Entscheidungen durchaus mit Sachverstand ergangen, und die böse Absicht bei der Herstellung der Tools ist entscheidend. Wer also Conficker als Einbruchswerkzeug verwendet, der handelt illegal (weil Conficker ganz absichtlich als bösartiger Wurm programmiert wurde, und der Einbruch auch eine böse Tat ist), wer dagegen für gute wie böse Zwecke verwendbare Tools programmiert oder kopiert, handelt auf jeden Fall legal - solange er sie nicht selbst gezielt für illegale Attacken verwendet (und auch dann ist nicht das Tool schuld).
Dass die ganze Idee dahinter natürlich krank ist, versteht sich von selbst. Nicht das Tool ist böse, die Hacker sind es. Und solange Zypries es nicht mal hinkriegt, Leute zu stoppen, die Kindern per Abo-Falle das Taschengeld klauen (Jamba), braucht sie gar nicht erst mit so etwas kompliziertem anfangen.
"Ich würde das immer über die Absicht des Nutzers definieren."
Besser noch über die Taten des Users, also ob er damit Schaden angerichtet hat, denn Absichten sind idR schwer zu erkennen. Wir haben in unserer Uni auch die Passwörter von unseren Professoren geknackt (bzw. versucht), da aber nie jemand zu Schaden gekommen ist, warum sollte man sowas unter Strafe stellen? Wenn ich an einer Wohnungstür klinke, dann bedeutet das ja auch nicht automatisch, dass ich demjenigen die Bude ausräumen möchte. Und der Besitz und die Herstellung von Stemmeisen ist auch nicht verboten, noch nichtmal der Einsatz, außer ich tue es entgegen dem Willen des Eigentümers :-)
Akademiker betreiben so manches Illegale. NIEMALS darf der Zweck die ittel heiligen!
der an Oberflächlichkeit nicht zu überbieten ist. Gratulation dazu!
Zum Thema:
Wenn man etwas verteidigen will, sollte man doch wissen wie ein potentieller Angreifer vorgeht.
Genauso wie schon einige geschrieben haben sind viele Tools, die man zum analysieren eines Netzwerks einsetzt, grundsätzlich dazu fähig, auch zum 'Hacken' eingesetzt zu werden.
Jeder der nur annähernd etwas mit Netzwerktechnik zu tun hat kommt an solchen Tools nicht vorbei.
der an Oberflächlichkeit nicht zu überbieten ist. Gratulation dazu!
Zum Thema:
Wenn man etwas verteidigen will, sollte man doch wissen wie ein potentieller Angreifer vorgeht.
Genauso wie schon einige geschrieben haben sind viele Tools, die man zum analysieren eines Netzwerks einsetzt, grundsätzlich dazu fähig, auch zum 'Hacken' eingesetzt zu werden.
Jeder der nur annähernd etwas mit Netzwerktechnik zu tun hat kommt an solchen Tools nicht vorbei.
der an Oberflächlichkeit nicht zu überbieten ist. Gratulation dazu!
Zum Thema:
Wenn man etwas verteidigen will, sollte man doch wissen wie ein potentieller Angreifer vorgeht.
Genauso wie schon einige geschrieben haben sind viele Tools, die man zum analysieren eines Netzwerks einsetzt, grundsätzlich dazu fähig, auch zum 'Hacken' eingesetzt zu werden.
Jeder der nur annähernd etwas mit Netzwerktechnik zu tun hat kommt an solchen Tools nicht vorbei.
Bitte melden Sie sich an, um zu kommentieren