Aufbau eines Hacking-Labs für die Studierenden der FH-Aachen, Tim Höner

Tim Höner

Kurzfassung

Die voranschreitende Digitalisierung unserer Gesellschaft und unserer Unternehmen birgt viele Chancen, aber auch eine Menge Gefahren. Die stetig ansteigenden Zahlen von Cyberangriff
en zeigen dies ganz deutlich. Der Fachkräftemangel an IT-Sicherheitsexperten verstärkt diesen Effekt zusätzlich. Viele Schulen und Universitäten haben dies erkannt und bieten Interessierten vereinzelt die Möglichkeit sich fortzubilden. Doch häufig wird nur auf die Seite der Verteidiger eingegangen, ein Perspektivwechsel zur Sicht des Angreifers findet nur selten statt. Dabei bietet gerade dieser Blick die Möglichkeit, Konsequenzen und Ausmaße von Fehlkonfigurationen oder menschlichen Fehlern darzustellen. Sogenannte Hacking-Labs sollen genau diese Perspektive beleuchten und versetzen den Teilnehmer in die Rolle des Angreifers. Häufig überfordern diese Labs jedoch gerade Anfänger. Zum einen sind sie meist Bestandteil eines größeren Kurses oder einer Zertifizierung und können daher leicht Preise von über Eintausend Euro erreichen. Zum anderen richtet sich kaum eines dieser Hacking-Labs an absolute Anfänger. Ein Grundwissen in vielen Bereichen wird vorausgesetzt. Die zugehörige Dokumentation unterstützt den Nutzer oft nur unzulänglich, da viele den Ansatz von „Try Harder“ verfolgen, dem Nutzer also keine Hilfe bieten, sondern ihn auffordern, weitere Versuche zu unternehmen. Zusätzlich ist keines dieser Hacking-Labs in deutscher Sprache verfügbar, gute Englischkenntnisse werden zwingend vorausgesetzt. Für Fortgeschrittene oder Profis stellt dies meist kein Problem dar, aber für Anfänger kann es durchaus kritisch sein. Neben einer großen Anzahl an Fachbegriffen werden häufig auch noch Szenebegriffe verwendet, sodass ein Laie auf dem Gebiet neben den eigentlichen Angriffsmethoden auch noch die englische Sprache erlernen müsste. Durch all diese Punkte verlieren Anfänger sehr schnell die Motivation, da Erfolgserlebnisse ausbleiben.

Somit entstand der Wunsch, ein eigenes Hacking-Lab für die Studierenden der FH Aachen einzurichten. Dieses sollte die theoretischen Inhalte des Studiums praxisorientiert vermitteln. Ein starker Fokus lag dabei auf Didaktik und Gamification, also die spielerische Umsetzung der Thematik. Ein didaktischer Aufbau der Szenarien wurde dabei angestrebt, d.h. Techniken, welche in einem Szenario vorgestellt und erlernt wurden, sollten in späteren Szenarien in veränderter Form wieder auftauchen und mit neuen Methoden kombiniert werden, um so Schritt für Schritt die Vorgehensweisen eines Angreifers zu verstehen.

Ergebnis dieser Überlegungen war das Projekt „GetMe“, welches in einer Kooperation von mehreren Studierenden im Rahmen von Bachelor- sowie Seminararbeiten umgesetzt wurde. Ziel dieser Arbeit war die Erstellung von Szenarien und Kursen.

Schlagwärter: Hacking-Lab, Awareness, Fehlkonfigurationen, Exploit, GetMe, IT-Security, Linux, Privilege escalation, Vulnerabilities, Windows

Abstract

The advancing digitization of our society and our companies holds many opportunities but also a lot of dangers. The steadily rising numbers of cyberattacks show this quite clearly. The shortage of IT security experts further strengthens this effect. Many schools and universities have recognized this and offer individuals the chance to further their education. However, often only the side of the defender is mentioned, a change of perspective to the view of the attacker takes place only rarely. Yet this view offers the opportunity to present the consequences and dimensions of misconfigurations or human errors. So-called hacking-labs should shed light on this perspective and put the participant in the role of the attacker. However, these labs often overwhelm beginners. For one, they are usually part of a larger course or certification and can therefore easily reach prices of over one thousand euros. On the other hand, hardly any of these hacking labs are aimed at absolute beginners. Basic knowledge in many areas is required. The associated Documentation often only supports the user inadequate, since many use the approach of “Try Harder” pursue the user so no help, but ask him to make further attempts. Additionally, none of these hacking labs are available in German. Good knowledge of English is mandatory. For advanced users or professionals, this is usually not a problem, but for beginners it can be quite critical. In addition to a large number of technical terms, often also trendy terms are used, so that a layman in the field in addition to the actual methods of attack would also have to learn the English language. Because of all these points, beginners lose motivation very quickly, because there are no success experiences.

Thus, the desire arose to set up its own hacking lab for the students of the FH Aachen. This should convey the theoretical contents of the study in a practice-oriented way. A strong focus should be placed on didactics and gamification, i.e. the playful implementation of the topic. The scenarios should build on each other. Techniques presented and learned in a scenario should reappear changed in later scenarios and be combined with new methods to understand, step-by-step, what an attacker is doing.

The result of these considerations was the project “GetMe”, which was implemented in a cooperation of several students in the framework of bachelor and seminar papers. The aim of this work was the creation of scenarios and courses.

Keywords: Hacking Lab, Awareness, Misconfigurations, Exploit, GetMe, IT Security, Linux, Privilege escalation, Vulnerabilities, Windows