Praxiswissen kommt im Studium häufig zu kurz – nicht für die Studierenden der TU Darmstadt. Auch im Wintersemester zeigten Matthias Göhring, Tobias Hamann und Tim Wörner, Pentest Professionals des usd HeroLab, im „Hacker Contest“ wie sie IT-Systeme und Anwendungen auf Schwachstellen testen und wie diese Schwachstellen von Angreifern ausgenutzt werden könnten.
Anschließend hieß es für die 29 Studierenden in der Lehrveranstaltung auch selbst Hand anlegen: Das usd PentestLab bietet dafür eine kontrollierte Umgebung, in der verschiedene Tools und Angriffe ausprobiert werden können. So lernen die Studierenden, wie Pentester*innen arbeiten und wie wichtig ihre Rolle für die Informationssicherheit ist.
Fester Bestandteil und Teil der Abschlussnote der Lehrveranstaltung ist eine Praxisaufgabe. Diese bestand darin, in Projektteams Open-Source-Software eigenständig auf Schwachstellen zu untersuchen, die sich direkt auf Schutzziele der Informationssicherheit auswirken. Das Rechercheergebnis musste so dokumentiert werden, dass gefundene Schwachstellen im Rahmen von Responsible Disclosure an die Entwickler*innen gemeldet und somit möglichst kurzfristig geschlossen werden können.
Innerhalb von 9 Projekten wurden von den Studierenden insgesamt 14 Schwachstellen identifiziert. Der Großteil der Schwachstellen wurde innerhalb kürzester Zeit nach der Meldung behoben. Eine Schwachstelle im WordPress Plugin Price Ticker & Coins erhielt sogar eine CVE (CVE-2024-0709), die als critical (CVSS 9,8 von 10) eingestuft wurde.
„Es macht uns wirklich stolz, mit wieviel Leidenschaft die Studierenden unsere Mission „more security“ teilen. Dieses Semester konnten dank ihres Engagements diverse Schwachstellen identifiziert und geschlossen werden, bevor Angreifer sie ausnutzen konnten. Das ist ein großartiger Beitrag für mehr Sicherheit und das, was uns als IT Security Professionals jeden Tag antreibt“, berichtet Tobias Hamann.
Den dritten Baustein des Hacker Contest bildete dieses Jahr zum ersten Mal eine lehrveranstaltungsinterne Security Konferenz. Die Studierenden präsentierten dort den Pentest Professionals der usd und ihren Kommiliton*innen Tactics, Techniques and Procedures (TTPs) von typischen Cyber-Angriffen.
Du möchtest beim nächsten Hacker Contest dabei sein?
Um dich für den Hacker Contest anzumelden, musst du an der TU Darmstadt oder Hochschule Darmstadt (hda) eingeschrieben sein und zunächst eine Anmelde-Challenge lösen, die jedes Semester neu von unseren Pentest Professionals erstellt wird. Die Challenge ging am Montag, den 15. April 2024 online und du hast noch bis 02.05.2024 Zeit, deine Ergebnisse einzusenden. Kurz darauf erfährst du, ob du dabei bist. Die Musterlösung der Challenge wird anschließend in unseren usd HeroLab LabNews veröffentlicht.