IT-Sicherheitsausbildung an der RWTH Aachen

Transkript

1 IT-Sicherheitsausbildung an der RWTH Aachen Martin Mink Lehr- und Forschungsgebiet Verlässliche Verteilte Systeme Workshop zur Ausbildung im Bereich IT-Sicherheit 11. August 2005, Köln

2 Wer sind wir? Lehr- und Forschungsgebiet Verlässliche Verteilte Systeme Forschung in allen Bereichen von Verlässlichkeit erster Lehrstuhl in Deutschland, der sich sowohl mit safety als auch security beschäftigt Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 2

3 Übersicht IT-Sicherheitsausbildung an Universitäten Lehrplan für IT-Sicherheitsausbildung an der RWTH Aachen Erfahrungen Zusammenfassung/Ausblick Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 3

4 IT-Sicherheitsausbildung an Universitäten An wenigen deutschen Universitäten Lehrveranstaltungen zur IT-Sicherheit Inhalte theoretische Grundlagen defensive Techniken forschungsorientiert häufige Veränderungen in der IT-Sicherheit neue Entwicklungen werden vernachlässigt Absolventen werden nicht auf die Sicherheitsbedrohungen ihres Arbeitslebens vorbereitet Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 4

5 Unser Ansatz Theorie ist wichtig, aber: praktische Anwendung unerlässlich Speziell: offensive Herangehensweise inzwischen verbreitet und anerkannt Lücken finden in Computern, Software, Systemen in eigenem Wissen Praktische Erfahrungen in einer Umgebung, die sonst nicht legal möglich Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 5

6 Lehrplan Computer Forensik Verlässliche Verteilte Systeme Seminare Winter semester Hacking Lab Sommer semester Sommer Schule Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 6

7 Verlässliche Verteilte Systeme Klassische Grundlagenvorlesung Sicherheitskonzepte (UNIX) Passworte und Authentifikationsverfahren Zugriffskontrolle und Privilegeskalation Backups, physische Sicherheit Netzwerk- und Internetsicherheit Schwachstellen von und Angriffe gegen Internetprotokolle Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 7

8 Computerforensik Vorlesung über das Sammeln, Interpretieren und die Präsentation von Beweismaterial Inhalt (u.a.): Beweismaterial auf Informationssystemen sicherstellen und interpretieren Dokumentation Interaktion mit dem juristischen System Analyse von Sicherheitsvorfällen um die zukünftige Sicherheit zu verbessern Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 8

9 Seminare Hacker Seminar sicherheitsrelevante Themen z.b.: Spam, Malware, Programmierfehler Konferenzseminar Themen aus der Verlässlichkeit simulierte Konferenz Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 9

10 Hacking Lab Idee: "know your enemy" Kennenlernen der Methoden der Angreifer, um sich effizient vor Angriffen schützen zu können Sensibilisierung durch Erfahrung Erprobung von Angriff und Verteidigung in einem klinischen Netzwerk Eigene Computer sichern und Sicherheitslücken auf den anderen Computern finden Arbeit in Teams Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 10

11 Hacking Lab: Ziele Kritische Auseinandersetzung mit den Grundsätzen des "Hackens" und den prinzipiellen Angriffskonzepten Studierende für die Gefahren im Netzwerk sensibilisieren sowie ausbilden, die Gefahren zu erkennen und abzuwehren Nicht: Schreiben von Viren/Würmern Entwicklung neuer Exploits Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 11

12 Sommerschule Applied IT Security Weiterführung des Praktikums Sicherheitsprobleme im Kontext verstehen Wissen systematisch erarbeiten, wie Systeme in der Praxis versagen Nachwuchswissenschaftler fördern September 2004: 3 Wochen, vormittags Vorlesung, danach praktische Anwendung 14 Teilnehmer aus 3 Ländern Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 12

13 Erfahrungen Studenten sind sehr interessiert speziell die praktischen Aspekte von Sicherheit Gründung einer studentischen Penetration Testing Gruppe Industrie hat Interesse an Studenten mit Hacker- Erfahrung Vorbereitung von aktuellen Veranstaltungen erfordert viel Zeitaufwand Offensive Methoden können einen motivierenden pädagogischen Effekt haben... Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 13

14 Erfahrungen: CTF Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 14

15 Erfahrungen: CTF UCSB Capture-the-Flag Wettbewerb Anti-Hacker Wettbewerb, organisiert von der University of California at Santa Barbara Teams von Universitäten aus den USA und Europa testen ihre Sicherheitskenntnisse Teilnahme eines Teams der RWTH Studenten der Sommerschule, des Hacking Lab und des Hacker-Seminars jeweils 2. Platz im Dez (von 19) und Juni 2005 (von 11) 1. Aachener CTF im Juli 2005 Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 15

16 Zusammenfassung/Ausblick IT-Sicherheitslehrplan an der RWTH Kombination von theoretischen und praktischen Aspekten Praktische Erfahrung und forschungsorientierte Behandlung von offensiven Methoden Etablierung des Lehrplans als wesentlicher Teil der IT-Sicherheitsausbildung an der RWTH Evaluation Nachweis des Nutzens von offensiven Methoden in der Lehre Martin Mink IT-Sicherheitsausbildung an der RWTH Aachen 16