Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung

Größe: px

Ab Seite anzeigen:

Download "Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung"

Wilhelmine Beckenbauer
vor 8 Jahren
Abrufe

1 Ist Angriff besser als Verteidigung? Der richtige Weg für IT-Sicherheitsausbildung Martin Mink Universität Mannheim 10. Deutscher IT-Sicherheitskongress des BSI Bonn, 23. Mai 2007

2 Vorstellung Lehrstuhl Prof. Felix C. Freiling 2003 bis 2005: RWTH Aachen seit Okt. 2005: Universität Mannheim Forschung und Lehre in den Bereichen safety und security Martin Mink Ist Angriff besser als Verteidigung? 2

3 Übersicht Motivation Untersuchung Ergebnisse Fazit und Ausblick Martin Mink Ist Angriff besser als Verteidigung? 3

4 Motivation: Lehre an der RWTH Aachen offensiv ausgerichtete Kurse offensiv alles was darauf abzielt, etwas kaputt zu machen DoS, Password Cracker, Netzwerk-Sniffer defensiv Firewall, Intrusion Detection System, Grundschutzhandbuch Möglichkeiten der Angreifer kennenlernen und praktisch erfahren Martin Mink Ist Angriff besser als Verteidigung? 4

5 Motivation: Lehre an der RWTH Aachen (2) Praktikum Hacking Lab Angriff und Verteidigung in einem geschlossenen Netzwerk Summer School Applied IT Security Anwendung und Analyse fortgeschrittener Angriffstechniken diverse Vorlesungen Einführung IT-Sicherheit Sicherheit von Webanwendungen Martin Mink Ist Angriff besser als Verteidigung? 5

6 Motivation: Capture-the-Flag (CTF) Wettbewerb weltweit verteilte Teams verteidigen eigenen Server und greifen fremde Server an Offensivpunkte für erfolgreiche Angriffe, Defensivpunkte für Anbieten von Serverdiensten Dauer: mehrere Stunden Beispiele ictf (UCSB) Cipher CTF (RWTH Aachen) Team der RWTH immer auf den ersten Plätzen auch große Anzahl interessierter Zuschauer Martin Mink Ist Angriff besser als Verteidigung? 6

7 Motivation: Erfahrungen gute Erfahrungen mit dem Lehrplan Studenten arbeiten motiviert großes Interesse der Studierenden... und der Wirtschaft an Studenten mit Hacker-Erfahrung Anfragen insbesondere nach CTF-Wettbewerben eine Gruppe von Studenten hat ein Unternehmen für Penetrationstests gegründet Martin Mink Ist Angriff besser als Verteidigung? 7

8 Bewertung offensiver Ansatz für Ausbildung scheint erfolgsversprechend aber lässt sich dies wissenschaftlich zeigen? bisher keine diesbezügliche Arbeiten empirischer Ansatz: nutze Methoden aus den Sozial- und Humanwissenschaften empirische Studie Martin Mink Ist Angriff besser als Verteidigung? 8

9 Untersuchung: Empirische Studie Martin Mink Ist Angriff besser als Verteidigung? 9

10 Empirische Studie: Ansatz Vergleich von zwei Gruppen eine mit offensiver Ausbildung eine mit rein defensiver Ausbildung Vergleich durch Experiment Wissen sichtbar machen und messen Daten sammeln für empirischen Vergleich Martin Mink Ist Angriff besser als Verteidigung? 10

11 Empirische Studie: Hypothese Hypothese: Studenten, die eine offensiv orientierte Ausbildung in Computersicherheit erhalten haben, haben ein tiefergehendes Verständnis für IT-Sicherheit als Studenten, die rein defensiv ausgebildet wurden Variablen unabhängige Variable (UV): Art der Lehre (offensiv-defensiv) abhängige Variable (AV): Verständnis von IT- Sicherheit Einfluss der UV auf die AV bestimmen Martin Mink Ist Angriff besser als Verteidigung? 11

12 Empirische Studie: Diplomarbeiten Frank van der Beek (RWTH Aachen): Wie lehrt man IT-Sicherheit am besten? - Eine empirische Studie Planung und Durchführung der Studie Christian Mertens (RWTH Aachen): Wie lehrt man IT-Sicherheit am besten? - IT-Sicherheitskurse weltweit: Überblick, Klassifikation und Basismodule Analyse existierender IT-Sicherheits-Kurse Martin Mink Ist Angriff besser als Verteidigung? 12

13 Empirische Studie: Durchführung an der RWTH Aachen im März 2007 Angebot von zwei Kursen einer defensiv-, der andere offensiv-orientiert Festlegung auf einen 3-tägigen Kompaktkurs übersichtlich und konzentriert ermöglicht Wiederholung in kurzen Zeitabständen Sammeln von empirischen Daten Korrektur von Fehlern Martin Mink Ist Angriff besser als Verteidigung? 13

14 Empirische Studie: Gruppenbildung Experimental- (A) und Kontrollgruppe (B) Verwendung einer zweiten UV: Vorwissen um zusätzlich zu testen, ob Verständnis von Vorwissen abhängt Bestimmen des Vorwissens durch Fragebogen 2x2-faktorielles Design: Offensiv Defensiv Wenig Vorwissen A1 B1 Viel Vorwissen A2 B2 Gruppengröße: mind. 20 Personen Martin Mink Ist Angriff besser als Verteidigung? 14

15 Empirische Studie: Gruppenbildung (2) Teilnehmer- Pool Wenig Vorwissen Viel Vorwissen 50% 50% 50% 50% A1 A2 B1 B2 DEFENSIV-GRUPPE OFFENSIV-GRUPPE Martin Mink Ist Angriff besser als Verteidigung? 15

16 Empirische Studie: Fragebogen Aufbau Teil 1: Sicherheitsbewusstsein (Awareness) Teil 2: Wissenstest Multiple-Choice-Fragen zu Netzwerk, Betriebssysteme Update-, Backupverhalten Einsatz von Verschlüsselung Sicherheitslücken, Malware Problem: misst der Fragebogen das gewünschte? Martin Mink Ist Angriff besser als Verteidigung? 16

17 Kurse: Aufbau Zeit Tag 1 Tag 2 Tag 3 09:30-11:30 Einführung Netzwerk I Webanwendungssicherheit 12:45-14:45 Unix-Sicherheit Netzwerk II Malware/Rootkits 15:00-17:00 Softwaresicherheit Firewalls Abschlusstest 9 Module (3 pro Tag) jedes Modul: 2 Stunden ca. 30 Min. Einführung in Thematik ca. 60 Min. praktische Bearbeitung abschließend: Besprechung der Aufgaben letztes Modul: Experiment Martin Mink Ist Angriff besser als Verteidigung? 17

18 Kurse: Inhalt Einführung in Unix, Netzwerke, Programmierung Unix-Sicherheit Passwortsicherheit, Zugriffskontrolle Softwaresicherheit Buffer Overflows, Race Conditions Netzwerksicherheit Scannen, Sniffen, Angriffe und Gegenmaßnahmen Martin Mink Ist Angriff besser als Verteidigung? 18

19 Kurse: Inhalt (2) Firewalls Paketfilter-Firewall Webanwendungssicherheit Kommando-/SQL-Injektion, ungeprüfte Parameter Malware Rootkits, Würmer, Backdoors Martin Mink Ist Angriff besser als Verteidigung? 19

20 Empirische Studie: Experiment praktischer Test gegeben: Computersystem mit Sicherheitslücken und Fehlkonfigurationen Aufgabe: Überführen des Systems in einen sicheren Zustand defensiv offensiv unsicher PC Kriterien: - Anz. gefundener Sicherheitslücken - benötigte Zeit - Ergebnis - Strategie sicher PC Martin Mink Ist Angriff besser als Verteidigung? 20

21 Empirische Studie: Wissensvergleich Feststellen der Veränderung von Wissen und Sicherheitsbewusstsein (Awareness) in beiden Gruppen Stand vor Kurs mit Fragebogen festgestellt Fragebogen nach Kurs für Vergleich evtl. weiterer Fragebogen einige Zeit nach Kursende Martin Mink Ist Angriff besser als Verteidigung? 21

22 Ergebnisse Martin Mink Ist Angriff besser als Verteidigung? 22

23 Ergebnisse: Experiment Abschluss-Test in % - wenig Vorwissen 37, , , , , ,5 10 7,5 5 2,5 0 Mittelwert offensiv defensiv Abschluss-Test in % - Gesamt Abschluss-Test in % - viel Vorwissen Mittelwert offensiv defensiv Offensiv Defensiv Mittelwerte Martin Mink Ist Angriff besser als Verteidigung? 23

24 Ergebnisse: Fragebogen Ausgangslage der beiden Gruppen Nach den Kursen Offensiv Defensiv Offensiv Defensiv Awareness Wissen Relative Verbesserung der Ergebnisse vor und nach Kurs in % 0 Awareness Wissen Offensiv Defensiv Awareness Wissen Martin Mink Ist Angriff besser als Verteidigung? 24

25 Ergebnisse: Einschränkungen Offensiv-Kurs (zweiter Termin) besser vorbereitet durch Erfahrungen aus Defensiv-Kurs (erster Termin) Probleme bekannt (und gelöst) Unterscheidung der Kurse nicht sehr stark ausgeprägt welche Themen in welchem Kurs? Ergebnisse haben nur beschränkte Aussagekraft! Martin Mink Ist Angriff besser als Verteidigung? 25

26 Fazit und Ausblick Martin Mink Ist Angriff besser als Verteidigung? 26

27 Fazit Möglichkeit gezeigt, um Wissen über IT-Sicherheit zu messen vielversprechender Anfang großes Interesse an Kursen zu IT-Sicherheit Einschränkung: Experiment ist auf (praktische) Systemverwaltertätigkeit ausgelegt berücksichtigt derzeit andere Gebiete von Computersicherheit nicht Martin Mink Ist Angriff besser als Verteidigung? 27

28 Ausblick Kurse und Konzeption überarbeiten anhand Erfahrungen, Feedback der Teilnehmer und Ergebnisse der Diplomarbeit weitere Studien durchführen und empirische Daten erheben Ansatz der offensiven Lehre kann behindert werden durch Gesetzesvorschlag zur Bekämpfung der Computerkriminalität vom abhängig davon, welche Verwendung von sog. Hacker-Tools strafbar sein wird Martin Mink Ist Angriff besser als Verteidigung? 28

Ähnliche Dokumente

IT-Sicherheitsausbildung an der RWTH Aachen

IT-Sicherheitsausbildung an der RWTH Aachen Martin Mink Lehr- und Forschungsgebiet Verlässliche Verteilte Systeme Workshop zur Ausbildung im Bereich IT-Sicherheit 11. August 2005, Köln Wer sind wir? Lehr-