OWASP AppSec Europe 2014

Erster Platz für Informatik-Team bei internationalem Hacking-Contest

Teilnehmerinnen und Teilnehmer des OWASP Wettbewerbs in Cambridge
Eindrücke aus der Universitätsstadt Cambridge

Beim OWASP University Challenge in Cambridge, England, haben Studenten der Fakultät Informatik der Hochschule Furtwangen den 1. Platz errungen. Im Wettbewerb mit anderen Uni-Teams ging es darum, unter kontrollierten Bedingungen Schwachstellen im Netz zu identifizieren, Systeme unter kontrollierten Bedingungen anzugreifen und zum Beispiel mittels SQL-Injection zu hacken sowie anspruchsvolle Knobelaufgaben aus dem Bereich IT- Sicherheit zu lösen. Gewertet wurden dabei insbesondere Geschwindigkeit, die fachliche korrekte Beschreibung des Lösungswegs sowie Erfolg und Qualität der Lösung. Veranstalter des Wettbewerbs ist die OWASP (Open Web Application Security Project), eine Non-Profit-Organisation, die das Ziel verfolgt, die Sicherheit von Anwendungen und Diensten im Internet zu verbessern.

Die Fakultät Informatik legt seit Jahren einen ihrer Studienschwerpunkte auf das hochaktuelle Thema IT-Sicherheit. Deshalb unterstützte sie das studentische Team wiederum sehr gerne organisatorisch und finanziell bei diesem Wettbewerb, der die fachliche Qualifikation und den internationalen Austausch gleichermaßen fördert. Auf Seiten der Fakultät Informatik zeigten sich Prof. Dr. Bertold Laschinger und der ehemalige Doktorand Frank Dölitzscher verantwortlich. Hochmotiviert reisten Manuel Messner, Marcel Müller, Julian Keller und Marco Israel, die Allgemeine Informatik und Computer Networking studieren, vom 21.06.2014 - 26.06.2014 nach Cambridge, um, wie bereits in den Vorjahren, gemeinsam gegen andere studentische Teams anzutreten. Selbstverständlich kam auch der kulturelle und gesellige Aspekt beim Besuch der weltbekannten Universitätsstadt Cambridge nicht zu kurz. Erkundungen der Stadt gehörten ebenso zum Programm wie das Knüpfen von Kontakten mit internationalen Studierenden sowie Vertretern internationaler Universitäten und Unternehmen.

„Viele bleibende Eindrücke, wichtige Kontakte und mit dem ersten Platz ein toller Erfolg“, fasst Marco Israel zusammen. Als Student des Studiengangs Computer Networking will er sich im kommenden Semester an der Fakultät noch stärker für die Themen IT-Security und Hacking engagieren und eine bereits vorhandene studentische Gruppe weiter ausbauen. 

Siehe auch OWASP 2014 Cambridge Präsentation

AppSec Research 2013 in Hamburg

Suche nach Sicherheitslecks in der IT

Bei der „University Challenge“ in Hamburg haben acht Studenten der Fakultät Informatik der Hochschule Furtwangen den 2. Platz erreicht. Im Wettbewerb zwischen Teams aus drei deutschen Hochschulen ging es darum, die Schwachstellen simulierter IT-Infrastrukur zu finden und unter Ausnutzung dieser Lücken möglichst rasch in diese Strukturen einzubrechen. Mit Hilfe eines Punktesystems, das zählte, wieviele solcher Schwachstellen erfolgreich ausgenutzt werden konnten, ergab sich die Rangliste der Teams.

Die Fakultät Informatik der HFU legt schon seit Jahren einen Studienschwerpunkt auf das Thema IT-Sicherheit. Hochmotiviert reiste das Team aus Studenten der Studiengänge Allgemeine Informatik und Computer Networking unter Leitung des akademischen Mitarbeiters Gerd Bitzer zu dem Wettbewerb, der vom 20. bis 21. August 2013 in Hamburg stattfand.

Dieser Wettbewerb ist eine Erweiterung des Konzepts, das an der HFU regelmäßig als Hacking Event „Hack2Improve“ in praxisnaher Weise durchgeführt wird. Alle Mitglieder des Hamburger HFU-Teams hatten sich zuvor schon bei der Teilnahme an Hack2Improve Wissen angeeignet und vertieft. „Neben den hervorragenden Berufsaussichten, die dieses anspruchsvolle Spezialwissen mit sich bringt, profitieren die Studierenden auch persönlich von der Teilnahme an der University Challenge“, erklärt Gerd Bitzer. „Die Studenten aus unterschiedlichen Semestern und Studiengängen bereiteten sich in Eigenregie auf den Wettbewerb vor. Sie konnten Erfahrungen in Teamarbeit machen, lernen Verantwortung zu übernehmen und in den Diskussionen bei auftauchenden Problemen eine optimale Lösung zu finden.“

Veranstalter der University Challenge, die im Rahmen der Konferenz „AppSec Research 2013“ stattfand, ist Martin Knobloch von OWASP (Open Web Application Security Project). Diese Non-Profit-Organisation hat das Ziel die Sicherheit von Anwendungen und Diensten im Internet zu verbessern. So wird etwa die „OWASP Top 10“ erstellt, die schwerwiegende Sicherheitsschwachstellen auflistet. OWASP und Martin Knobloch sind an der HFU bekannt; Knobloch war als Referent bereits mehrfach bei Hack2Improve.

Dass IT-Sicherheit ein hochaktuelles Thema ist, haben die jüngsten Entwicklungen gezeigt. Das Bundesamt für Informationssicherheit nennt Zahlen zur stark steigenden Internetkriminalität: 250.000 Identitäten wurden innerhalb von drei Monaten geraubt. Und spätestens nach dem Bekanntwerden nachrichtendienstlicher Aktivitäten wie „Prism“ und „Tempora“ dürfte klar sein, wie wichtig Sicherheit im Internet ist.

Siehe auch prezi.com/mze6lsudpqnv/appsec-2013

iCTF 2011

International Capture the Flag 2011 Hacking Event an der Hochschule Furtwangen

Am Freitag, 2.12.2011 trafen sich 20 Studierende der Hochschule Furtwangen, um zur Übung in die Rolle eines „Hackers“ zu schlüpfen. Die angehenden Informatiker traten in dem internationalen Wettbewerb iCTF 2011 gegen mehrere hundert Studierende von über 80 Universitäten aus 18 verschiedenen Ländern gegeneinander an, um Ihre IT-Sicherheitskenntnisse unter Beweis zu stellen. Das von der Universität Santa Barbara in Kalifornien gestellte Thema hätte nicht aktueller sein können: Durch Hacking-Aufgaben sollte virtuelles Schwarzgeld verdient und gewaschen werden. Um die Aufgaben erfolgreich zu lösen, galt es, z.B. Passwörter zu knacken und verschlüsselte Daten wieder herzustellen.

Die Studierenden der Fakultät Informatik konnten bei diesem kontrollierten Hacking Event Ihre Kenntnisse rund um die Computersicherheit sehr erfolgreich unter Beweis stellen und vertiefen. ITSicherheit, d.h. die Absicherung von Computersystemen, ist ein wesentlicher Bestandteil des Informatikstudiums; aktuelles Wissen zu den unterschiedlichen Angriffsmöglichkeiten auf Netzwerke und mobile Systeme ist daher unerlässlich.

Nicht nur die Aufgaben, sondern auch die Tageszeit forderte die Furtwanger Studierenden heraus. Da der Wettbewerb weltweit gleichzeitig stattfand, hackten sich die „Furtwanger KriptSciddies“ von 17:00 – 2:00 Uhr nachts durch die eigens dafür vorbereiteten Systeme der Kalifornier. Schon jetzt steht bei den Initiatoren der Veranstaltung, den Doktoranden Frank Dölitzscher, Fabian Berner und Denis Jurkovic fest: Die Furtwanger „Hacker“ werden auch nächstes Jahr wieder mit dabei sein.

OWASP Day 2011 in München: Fakultät Informatik beim TOP-Thema Web-Sicherheit ganz vorne mit dabei

Fast jeder benutzt inzwischen ein Smartphones oder ein mobiles Tablet-PC. Aktuelle Datenleck-Skandale zeigen, dass Webanwendungen oder ‚Apps' verstärkt in den Fokus von Hackern rücken. Auf dem 4. Deutschen OWASP Tag präsentierten nun Vertreter der Hochschule Furtwangen aus der Fakultät Informatik, zusammen mit verschiedenen IT-Sicherheitsdienstleistern in München, die erste Version der deutschen OWASP Top 10. OWASP - das Open Web Application Security Project - ist eine weltweit agierende Non-profit Organisation mit dem Ziel die Sicherheit von Web- und Anwendungssoftware zu verbessern. „Mit der deutschen Übersetzung der OWASP Top 10 ist ein wichtiger Schritt in Richtung sichere Softwareentwicklung aus Deutschland getan worden" sagt Frank Dölitzscher, Top 10 Co-Autor und Doktorand an der Fakultät Informatik.

Projektzeit- und Kostendruck führen bei Programmierern und Web-Anwendungsentwicklern leider immer noch dazu, die Sicherheit Ihrer Anwendungen stiefmütterlich zu behandeln. Die OWASP Top 10 Liste beleuchtet die kritischsten Sicherheitsrisiken von Webanwendungen und gilt als De-Facto Standard bei der Web-Sicherheit. Das Top 10 Projekt wird unter anderem von der Payment Card Industry Data Security Standard, einem Regelwerk für den Zahlungsverkehr von Kreditkartentransaktionen, eingesetzt. Die deutsche Übersetzung der Top 10 ist frei erhältlich unter:

www.owasp.org/images/b/b8/OWASPTop10_DE_Version_1_0.pdf

Die Fakultät Informatik unterstreicht mit ihrem Engagement die wachsende Bedeutung von IT-Sicherheit in unserer heutigen vernetzten Welt.

International Capture the Flag 2010 in Furtwangen

Furtwanger Informatikstudenten hacken sich international unter die Top 20

Am Freitag, 3.12.2010 trafen sich zukünftige Informatiker an der Hochschule Furtwangen, um in einer Veranstaltung außerhalb des Studiums in die Rolle eines „Hackers“ zu schlüpfen. In dem  internationalen Wettbewerb iCTF 2010 traten 900 Studenten von 72 Universitäten aus 16 verschiedenen Ländern gegeneinander an, um ihre IT-Sicherheitskenntnisse unter Beweis zu stellen. In dem von der Universität Santa Barbara, Kalifornien ausgerichteten Wettbewerb galt es die IT-Infrastruktur des imaginären Staates „Litya“ zu infiltrieren und durch Netzwerkangriffe geheime Informationen und Punkte zu sammeln.

In insgesamt 40 Aufgaben  mussten unter anderem gelöschte Dateien wiederhergestellt, Passwörter geknackt oder Verschlüsselungsalgorithmen dekodiert werden. Auch aktuelle Themen aus der realen Internet-Welt wurden behandelt: Spielend lernten die zukünftigen Informatiker, welche weitreichende Folgen es haben kann zu viele persönliche Daten über sich in sozialen Netzwerken zu veröffentlichen. In einer Aufgabe gelang es den Teilnehmern als Einzige, den virtuellen Facebook Klon „Lityabook“ zu infiltrieren und so gezielt Personendaten zu „stehlen“.  In einer anderen Aufgabe konnte der Aufenthaltsort einer Person mittels Google Street View und Google Goggles herausgefunden werden. Lauter Jubel brach aus, als es einem Teilnehmer gelang aus dem Netzwerkmitschnitt eines Druckauftrages ein geheimes Dokument zu rekonstruieren und so die dafür vergebenen Punkte einzusammeln. „Eine Technik, die auch bei Klausuren hilfreich sein kann“ meinte der Student hinterher.

Nicht nur die Aufgaben, sondern auch die Zeit forderte die 17 Furtwanger Studierenden heraus. Da der  Wettbewerb weltweit gleichzeitig stattfand, hackten sich die „Furtwanger KriptSciddies“ von 18:00 – 3:00 Uhr durch die eigens dafür vorbereiteten  Systeme der Kalifornier. Richtig spannend wurde es um 2:30 Uhr, als der entscheidende Durchbruch gelang und sich das Team von -300 auf die finalen 4200 Punkte hocharbeitete. Insgesamt belegten die Furtwanger den 17. der insgesamt 73 Plätze. Besonders stolz ist der Initiator Frank Dölitzscher, dass das Furtwanger Team schon bei seiner ersten Teilnahme andere namhafte Universitäten wie UC Berkeley oder Moskau State University hinter sich lassen konnte. Eine Teilnahme in 2011 ist fest geplant.