Hacking ganz legal: Praxisnähe im Informatik-Studium

Informatik-Studierende sammeln praktische Erfahrungen beim Hacken und werden so fürs Thema «Informationssicherheit» sensibilisiert. Kai Waelti ist einer von ihnen.

«Die Informatik durchdringt alle Lebensbereiche und sämtliche Industrien. Sie ermöglicht mir, in der Welt einen positiven Unterschied zu machen. Deshalb habe ich mich für ein Informatik-Studium entschieden», erklärt Kai Waelti, Student an der Hochschule Luzern. Gleich im nächsten Satz fügt er mit einem verschmitzten Lächeln an: «Und natürlich auch, weil man hervorragende Berufsperspektiven hat.»

Er hat Recht. Informatikerinnen und Informatiker sind gesucht. Gerade weil sie alle Lebensbereiche durchdringen und in Zukunft noch stärker durchdringen werden. Data Scientist, Software Engineer oder Information Security Officer heissen die gesuchten Positionen auf dem Arbeitsmarkt. Wie wichtig die Aufgabe eines Information Security Officer ist, wurde durch die verschiedenen Cyber-Attacken in den vergangenen Wochen unterstrichen: DDoS-Angriffe auf Online-Shops, Malware-Attacken auf Newsportale und Hacker-Angriffe auf die RUAG.

Information Security im Studium

Auch die Informatik-Studierenden der Hochschule Luzern beschäftigen sich mit diesen Themen. Im Modul «Information Security» haben sie Projekte erarbeitet, die sich mit der Sicherheit, beziehungsweise den Sicherheitslücken von Computersystemen beschäftigen. Es geht also um Themen wie Hacking, Malware, Darknet, digitale Währungen, Biometrie oder die Sicherheit von Festplatten. Die praktischen Experimente sollen die Studierenden (und vielleicht zukünftigen IT-Sicherheitsbeauftragten) für Sicherheitslücken sensibilisieren, welche die mangelhafte Programmierung und Konfiguration von Computersystemen oder das Fehlverhalten eines ungeschulten Benutzers gezielt ausnutzen.

Ihre Experimente demonstrieren die Studierenden am Live Hacking Marktplatz vom 2. Juni 2016, zwischen 17:30 und 19:00 Uhr. Auch Kai Waelti wird dann sein Projekt vorstellen. Er hat sich ein Semester lang mit der Sicherheit von Android-Smartphones beschäftigt und dabei den Fokus auf eine ganz bestimmte Schwachstelle gelegt: Stagefright. Was relativ harmlos klingt, kann zur kompletten Fremdsteuerung des eigenen Smartphones führen.

Der Angreifer sendet eine MMS mit einer mp4-Datei an sein Opfer. Das führt zum Absturz der Multimedia-Komponente und zu einer Remote Code Execution. Das heisst, dass der Angreifer sämtliche Berechtigungen der Multimedia-Bibliothek für die Smartphone-Bedienung hat. «Das Gefährliche daran ist, dass der Angreifer keine Nutzerinteraktion braucht. Es reicht, wenn das MMS auf dem Handy ankommt und schon ist es zu spät», erklärt Informatik-Student Kai Waelti. Nach Bekanntwerden dieser Sicherheitslücke im Sommer 2015 hat Google sofort reagiert. Doch bereits Anfang 2016 fanden die Hacker einen neuen Weg, die Angriffe weiterzuführen. Metaphor war geboren.

Fokus auf der Verteidigung

Genau diese Möglichkeit des Angriffs versucht Kai nun zu reproduzieren. Nicht, um zu wissen, wie man Schaden anrichtet. Er betont: «Systeme sicherer machen muss das übergeordnete Ziel sein. Der Fokus liegt auf Verteidigung, nicht auf Angriff.» Wie kann man sich denn vor so einem Angriff schützen? «Indem man den automatischen Empfang von MMS deaktiviert und sein Smartphone regelmässig updatet», erklärt Kai. Das bedingt jedoch, dass die Hersteller auch ältere Geräte weiter mit Betriebssystem-Updates versorgen. Die fehlende Support-Bereitschaft kann Smartphone-Userinnen und -User mit älteren Geräten zum Angriffsziel machen. Deshalb ist es gemäss Kai Waelti auch wichtig, sich beim Kauf eines Smartphone zu informieren, ob der Hersteller die regelmässige Update-Philosophie unterstützt. Doch auch diese Massnahme alleine reicht nicht aus, sagt Kai: «Es ist wichtig, dass man informiert bleibt und aufpasst, worauf man klickt. Sei es in einer Mail oder im Internet.» Denn der erläuterte Angriff kann nicht nur via MMS sondern auch über eine Webseite erfolgen, auf der die mp4-Datei liegt, und so die Multimedia-Bibliothek zum Absturz bringt.

Hacking live erleben

Die Reproduktion von Metaphor ist für Kai eine grosse Herausforderung. «Zum Glück», sagt er, «so kann nicht jede und jeder ganz einfach einen Exploit schreiben und Leute angreifen».
Ob es Kai schafft, die Sicherheitslücke zu reproduzieren? Erfahren Sie es am Live Hacking Marktplatz vom 2. Juni 2016 zwischen 17:30 und 19:00 Uhr im Foyer der Mensa, Hochschule Luzern – Technik & Architektur. Neben dem Projekt Stagefright zeigen Studierende auch, wie heutzutage ein Computervirus geschrieben wird, inwieweit man gelöschte Festplatten-Inhalte wiederherstellen kann oder wie man ein WiFi zum Ausspionieren von Passwörtern manipuliert.