Menü
Technology Review

Sicherheitsexperte plädiert für aktives Hackertraining

Von
vorlesen Drucken Kommentare lesen 25 Beiträge

Giovanni Vigna: "Nur wer genau weiß, wie sich eine Schwachstelle nutzen lässt, kann auch die richtigen Schutzmaßnahmen entwickeln."

(Bild: Giovanni Vigna)

Im Interview mit Technology Review plädiert Giovanni Vigna, Organisator eines weltweiten Hacker-Wettbewerbs "Capture the flag" (ICTF), dafür, Angriffe auf Netzwerke gezielt zu üben, um Sicherheitsexperten besser auszubilden. Technology Review 06/09 ist seit dem 20.5. am Kiosk oder portokostenfrei online zu bestellen.

"Es ist wichtig zu wissen, wie man einen Service angreift, denn nur wer genau weiß, wie sich eine Schwachstelle nutzen lässt, kann auch die richtigen Schutzmaßnahmen entwickeln", sagt Vigna im Interview mit TR. "Klassisches Beispiel: Jemand, der einen Wandsafe baut. Sie glauben doch nicht, dass diese Leute nicht wüssten, wie man einen Safe knackt? Natürlich wissen sie das. IT-Mitarbeiter, die sich Sicherheitsexperten schimpfen, aber gleichzeitig einräumen, sie wissen nicht, welche Remote-Sicherheitslücken es beim Integrieren von PHP-Dateien gibt, werden mit ziemlicher Sicherheit Fehler machen und PHP-Dateien mit der falschen Konfiguration installieren, wodurch Sicherheitslücken entstehen."

Der iCTF-Wettbewerb, der einmal jährlich, meist im Dezember, stattfindet, ist in der Regel in ein fiktives Szenario eingebettet. Im vergangenen Jahr hatten die Veranstalter um Vigna eine Art Terrorübung angesetzt: Die Teilnehmer hatten sieben Stunden Zeit, um ein mit der Site Softerror.com verbundenes Netzwerk zu knacken, da sie nur so das dort laufende Steuerprogramm für "einen atomaren Sprengsatz" entschärfen konnten. TR-Redakteur Gordon Bolduan hat den Vorjahressiegern des Teams Squareroot Mannheim in dieser Nacht über die Schulter geschaut. Die Mannheimer mussten sich allerdings in diesem Jahr der Berliner Mannschaft ENOFLAG geschlagen geben.

Bedenken, die Studenten könnten die so erworbenen Kenntnisse missbrauchen, hat Vigna nicht. "Jeder kann einen Baseballschläger kaufen. Der dient dazu, Baseball zu spielen. Aber niemand kann verhindern, dass jemand den Schläger nimmt und damit einen anderen Menschen erschlägt", sagt Vigna. "Was soll man denn dann machen? Den Leuten nicht mehr beibringen, wie man Baseball spielt? Oder wie man einen Baseballschläger benutzt? In meinen Vorlesungen verwende ich übrigens eine Menge Zeit darauf, ethische Aspekte anzusprechen. Was ist legal, was ist illegal? Wie werden diese Sicherheitstests ausgeführt? Im eigenen Netzwerk, nicht in fremden. Und das ist ziemlich effektiv. Ich hatte in dieser Hinsicht noch nie irgendwelche Probleme mit meinen Studenten."

Das Interview mit Giovanni Vigna:

Die Reportage in TR 06/09:

(wst)

Anzeige
Anzeige