Oberösterreichische Hacker-Buam!
Darius Pavelescu von der HTL Leonding und Jonas Heschl von der HTL Grieskirchen haben an der Cyber Security Challenge teilgenommen. Sie wurde bereits 2012 ins Leben gerufen und hat sich mittlerweile auch zu einer großen European Cyber Security Challenge weiterentwickelt. Das Finale hätte im Rahmen der Cyber Security Conference im Design Center stattfinden sollen. Das Bundesheer ist Mitveranstalter bei der Challenge. Wir haben mit den beiden über ihre Teilnahme an der Challenge und das Hacking an sich gesprochen.
Was hat Sie beide dazu bewogen, an der Cyber Security Challenge teilzunehmen?
Bei uns in der HTL sind die Poster gehangen. Dann habe ich E-Mails bekommen und die Lehrer haben die Challenge erwähnt. In der ersten Klasse kann man das noch nicht. Habe mir so etwas Ähnliches angesehen. CTF von Google. Das hat mir gefallen. Dann habe ich vor etwas mehr als vor zwei Jahren daran teilgenommen. Es hat am Anfang eine öffentliche Liste gegeben. Die war dann weg. Per E-Mail ist man dann benachrichtigt worden.
Anmerkung:
CTF, oder Capture The Flags, auf Deutsch „erobere die Fahne“, ist eine Art von Computer Sicherheitswettbewerb. Teams von Teilnehmern oder auch einzelne Teilnehmer treten gegeneinander an, um ihre Fähigkeiten bei Computersicherheit zu messen. Oftmals beginnt damit eine Karriere im Bereich Cyber Security. https://ctf101.org/
Wie läuft so eine Challenge ab? Was ist da zu tun?
Darius: Mehrere Aufgaben, alle zwölf etwa muss man lösen. Von Kryptographie bis Anwendungen, dort soll man Sicherheitslücken finden. Für das Lösen der Aufgaben hat man Punkte bekommen. Eine Aufgabe kann vielleicht 1.000 Punkte bringen. Wenn man die schafft, bekommt man alle. Es gibt ein Dashboard wo man das Ergebnis und das Ranking sehen kann. Man ist live dabei und wird in einem Ranking System aufgenommen.
Jonas: Es wurde auch bewertet, wie man die Aufgabe löst. Es ist essentiell, dass man die Problemlösung beschreiben kann. Write-up, nennt man das. Wie wurde die Sicherheitslücke gefunden? Wie kann die Sicherheitslücke ausgenutzt werden? Wie tritt sie auf und wie kann Sie repariert werden? Darius: Je besser man die Write-ups geschrieben hat, desto besser ist man bewertet worden. Das haben dann die Experten angesehen.
Wird da nicht geschummelt?
Darius: Die Aufgaben waren sehr originell angelegt. Man kann sie nicht einfach googeln und die Lösungen hinschrieben. Aber Ratschläge kann man sich natürlich holen. Von anderen, die man fragt, wie könnte man das lösen oder angehen. Schummeln würden die Leute, die sich die Übungen ansehen, und gleich merken. Das sieht man dann bei den Lösungen. Und spätestens im Finale, muss man die Aufgaben alleine bearbeiten.
Jonas: Es ist natürlich möglich sich mit anderen Teilnehmern abzusprechen. Praktisch kommt das kaum vor da einerseits beim Ansehen der Lösungen solches abschauen auffallen kann und das Finale physisch stattfindet.
Was hat Sie dazu bewogen, beim Hacking einzusteigen?
Darius: Mein Antrieb für Hacking hat mit 10 oder 12 Jahren begonnen. Ich habe diese Zeit Action Filme angesehen. Da haben Hacker mitgespielt. Das hat mich fasziniert und interessiert und ich habe im Internet recherchiert. Dort habe ich gesehen, dass das nicht nur Phantasie ist. Dann habe ich angesehen, wie das geht und bin eingestiegen. Mr. Robot ist eine Serie, in der die Dinge sehr realitätsnah dargestellt werden.
Jonas: Wie es in den Medien dargestellt wird, ist es schon übertrieben. Doch in der Realität ist es schon möglich, dass ein Hacker ein Stromnetz lahmlegt. Das ist keine Science Fiction.
Wie würden Sie beide Ihre Hackergeneration charakterisieren?
Jonas: Der Hacker, der mit der Maske und dem Hoody vor dem grünen Bildschirm hackt, ist ein Klischee. In der Realität sind Hacker ganz einfach Leute, die sich für Technologie interessieren und sich damit auskennen. Sie wollen halt hinter die Kulissen schauen. Wie funktioniert das Programm? Was spielt sich dahinter ab? Die Neugierde macht einen Hacker aus! Ich verstehe ethisches Hacking als einen wichtigen Beitrag zur Gesellschaft. Hacker decken immer wieder kritische Sicherheitslücken in Applikationen bis zu Wahlprogrammen auf.
Darius: Black Hats sind die Bösen. Sie hacken, um Schaden anzurichten. Die White Hats arbeiten für Firmen, um Programme zu fixen. Grey Hats suchen auch nach Sicherheitslücken. Wenn sie welche gefunden haben, dann nehmen sie Kontakt mit Firmen auf, die die Programme programmiert haben, und teilen ihnen mit, dass sie eine Sicherheitslücke gefunden haben. Das ist zwar illegal, aber es sind gute Absichten dahinter. Gemacht wird es illegal.
Anmerkung:
Black Hat Hacker sind die Bösen, die ihre Fähigkeiten dazu einsetzen, andere zu betrügen oder sogar zu erpressen. Sie dringen in Computer und Netzwerke ein, suchen Sicherheitslücken und umgehen Sicherheitseinrichtungen.
White Hat Hacker sind das Gegenteil von den Black Hats. Sie verwenden ihre technischen Fähigkeiten dazu, um die Welt vor den böswilligen Hackern zu beschützen. Firmen und Behörden greifen gerne auf sie zurück, um Sicherheitslücken herauszufinden. Das machen sie mit Zustimmung derer, denen die Computersysteme gehören.
Grey Hat Hacker sind irgendwo zwischen den Blacks und Whites. Ihre Absichten sind grundsätzlich gut, doch sind die Wege, die sie gehen, nicht immer legal. Sie dringen beispielsweise in Netzwerke ein, nützen das dann jedoch nicht für kriminelle Aktivitäten aus.
Wie kann man das Hacken üben?
Darius: Es gibt ja die Bug Bounty Websites. Die Dienste stellen diese Websites her. Da erlauben sie, dass man versuchen kann, Sicherheitslücken zu finden. Wenn man die Lücke findet, dann entscheidet die Firma, wie man für das Schließen der Lücke bezahlt wird. Mit Hacker101 kann man sich darauf vorbereiten. Da kann man das Hacken trainieren.
Jonas: Ich halte es für eine gute Entwicklung, dass Bug Bounty Programme entstanden sind. Das hilft das Stigma des Hackers als Kreditkartendieb beiseite zu schieben.
Anmerkung:
Bug Bounty Programm: Unternehmen loben finanzielle Belohnungen für diejenigen aus, die in ihren Netzwerken und Systemen Lücken und Schwächen feststellen und diese den Unternehmen dann melden. So sollen Sicherheitslücken geschlossen werden, bevor böswillige Hacker sie ausnützen können. Im Internet findet sich eine ganze Liste davon.
https://www.bugcrowd.com/bug-bounty-list/#accept
Auf Hacker101 kann man kostenlos das Hacken lernen, egal, ob man ein Programmierer oder jemand ist, der sich für das Bug Bounty Programm vorbereiten will.
https://www.hacker101.com/
Gibt es eine oberösterreichische Hacker-Gemeinschaft?
Darius: Ich finde, dass die Community eng ist. Ich habe noch keinen im Netz gefunden, der aus Oberösterreich ist. Wenn man jemanden im Internet finden würde, dann würde er natürlich nicht bekanntgeben, woher er ist. Viele beschäftigen sich damit und die sagen nichts und niemandem etwas darüber, wo sie eigentlich wohnen.
Was halten es Sie mit dem Darkweb?
Jonas: Ich denke es ist einfach eine Technologie. Die ist weder gut noch böse. Natürlich kann man da Waffen und Drogen kaufen. Man muss beide Seiten sehen. Deswegen soll man das nicht stigmatisieren. Man sollte das nicht unterdrücken, weil es auch viele gute Seiten hat. Beispielsweise können Journalisten über das Darkweb Informationen austauschen, was sonst vielleicht nicht gehen würde. Wenn man es ausschaltet, dann könnten Leute sich nicht ausdrücken, wo freie Meinung nicht erlaubt ist. Der Schwarzmarkt würde sich dann sowieso was anderes suchen.
Darius: Schwarzmärkte kann man regulieren. Das FBI bringt beispielsweise Honeypots, also Webseiten im Darknet unter, die Fakeseiten sind, etwa im Drogenmarkt. So finden sie die Leute heraus, die damit handeln und können die festmachen. Sie sehen, wer auf diese Webseiten zugreift. Das Darknet soll angeblich anonym sein. Das stimmt so nicht. Wenn man etwas Schlimmes macht, dann würde das schon herauskommen. Man wird dort schon auch beobachtet. Ich war ein paar Mal drinnen, aus reiner Neugier. Es gibt verschiedenste Sachen. Man kann alles finden. Viele Seiten, die chinesisch oder russisch sind, von wo die Leute nicht so einfach kommunizieren können. Oder komische Seiten, die Geschichten erzählen, die merkwürdig aussehen. Es kann sein, dass die Leute was hinter den Seiten verstecken. Man weiß es aber nicht.
Anmerkung:
Mit den Standard-Browsern erreicht man nur etwa 10% aller im Netz verfügbaren Informationen. Das ist das Surfcace Web. Das Darkweb oder auch Darknet liegt dahinter und umfasst alle Daten, die man nur mit speziellen Browsern auffinden kann. Die meisten Informationen liegen im Deep Web, wo diese geschützt gespeichert sind.
Früher waren Hacker meist alleine. Heute arbeitet man eher im Team. Ist das so?
Jonas: Ich bespreche mich meistens mit Freunden. Im Team, vier Augen sehen mehr als zwei. Ich bespreche das im Netz genauso wie mit meinen Freunden in der realen Welt. Man erkennt mehr, wenn man mit mehreren Leuten darauf schaut. Beim Hacking bekommt man schnell einen Tunnelblick. Den kann man vermeiden, wenn man das mit anderen gemeinsam ansieht. Man lernt zwar, wie man den Tunnelblick vermeidet, doch es ist immer wieder gut, wenn man aus dem wieder herauskommt.
Darius: Ich finde, Teamwork ist besser als alleine. Man hat mehrere Perspektiven. Ich war einmal bei einem Algorithmus-Contest, man musste Algorithmen herausfinden, die hinter Programmen standen. Wir habe uns das geteilt. Einmal war ich am Werk und dann meine Freunde. Dann sieht man, wie macht denn der das? So kann man sich ergänzen. Man ist im Team schneller, man hat mehrere Ideen. Es kommt nämlich darauf an, wie man darauf schaut. Ich habe im Internet zwei Freunde, mit denen ich viel mache. Wir schauen uns gerne Sicherheitsbeispiele an und versuchen sie zu lösen.
Sind Sie auch misstrauisch?
Darius: Ich schaue mir alles immer genau an. Im Internet kann man nicht immer vertrauen haben. Es kann jemand kommen, der meint, ich bin dein Freund, was hast du denn im Netz gemacht. Die andere Person könnte die Sicherheitslücke, die man gefunden hat, im Darkweb verkaufen. Dann macht er was Illegales.
Bringt die Beschäftigung mit Sicherheitslücken etwas für die Schule?
Jonas: Wir machen in der Schule Security. Die häufigsten Sicherheitslücken werden angesprochen. Für diese Übungen ist das natürlich sehr hilfreich. Genauso hilfreich wie bei den Security-Übungen an sich sind die Hacking-Erfahrungen beim generellen Entwickeln und Konfigurieren. Durch das Hacking bekommt man eine gute Übersicht über die IT-Landschaft.
Darius: Ich finde, dass man mit dem Hacking generell einen Überblick über die Applikationen bekommt. Das hilft schon beim Programmieren einer Homepage und so. Oft wird man beim Hacking mit interessanten Themen konfrontiert, mathematische Funktionen beispielsweise. Das bringt einem schon was. Hacker haben einen guten Überblick, was im Netz passiert und was im Hintergrund so läuft.
Sehen Sie Ihre berufliche Zukunft im Bereich Cyber Security?
Jonas: Wenn man irgendwas in Informatik machen will, dann ist Security sehr wichtig. Ob ich rein in Security arbeiten will, weiß ich noch nicht. Ich bin mir nicht sicher, ob ich nicht eher bei Applikationen bleiben will. Beides finde ich sehr interessant. Ich habe schon die eine oder andere Applikation entwickelt. Geld kann man mit beidem verdienen.
Darius: Software Engineering ist zwar auch interessant, aber ich würde lieber etwas mit Cyber Security zu tun haben. Ich würde schon gerne was damit machen. Beides hat seine Vor- und Nachteile.
Haben Sie schon Jobangebote?
Darius: Derzeit nicht direkt. Für das Thema Cyber Security gar nicht, sondern eher fürs Programmieren. Ich weiß gar nicht Bescheid, ob Österreich im Bereich Cyber Security mit Firmen überhaupt prominent vertreten ist.
Jonas: Jobangebote bekomme ich gelegentlich. Aktuell habe ich einen Nebenjob als Softwareentwickler neben der HTL.
Wie geht es weiter?
Darius: Es kommt immer mehr das Internet of Things. Die elektrischen Geräte sind „hackbar“, weil sie Sicherheitslücken haben. Da ist es gut, wenn man die Lücken findet und schließen kann. Wer wird in Zukunft schon ständig seine smarten Glühbirnen im Haus updaten.
Jonas: Es wird smart. Man kann sich Zugang zu smart Glühbirnen verschaffen, die Heizung umstellen, die Garagentore auf- und zumachen. Es gibt schon heute eigene Websites, die das Internet nach Überwachungskameras durchsuchen, die nicht gesichert sind und wo man sich die Bilder ansehen kann.
Bleibt neben der Schule und dem Hacking noch Zeit für etwas anderes?
Darius: Ich spiele Basketball und Fußball, aber nicht im Verein und spiele Gitarre. Und natürlich meine Freundin ist wichtig. Wenn ich mit ihr beisammen bin, dann sitze ich nicht vor dem Computer und programmiere. Meine Freundin hat nichts dagegen. Wir sprechen aber nicht viel darüber.
Jonas: Ich fahre gerne Fahrrad. Zwischen Schule, Nebenjob und Beziehung bleibt nicht viel Zeit. Zeit hat man nicht, die nimmt man sich. Man muss Prioritäten setzen.
Werden Sie bei der nächsten Cyber Security Challenge mitmachen?
Darius: Wenn es stattfinden kann, dann werde ich dabeisein. Es wird spannend sein, wie die Leute die Sicherheitslücken finden, sich in Teams finden und gemeinsam arbeiten. Es wird interessant sein die Leute zu finden, die sich damit auseinandersetzen.
Jonas: Ich habe im nächsten Mai Matura und muss mir dafür Zeit nehmen. Wenn Zeit bleibt werde ich teilnehmen.