ARD: Uni Bochum - Hacker Praktikum

ARD: Uni Bochum - Hacker Praktikum

Über einen Beitrag der ARD Mediathek wurde man auf das sogenannte "Hacker Praktikum" der Uni Bochum aufmerksam. In dem oben verlinkten Beitrag der ARD geht es um Fälle der Erpressung von Unternehmen durch böswillige Hacker und wie die Behörden und Sicherheitsspezialisten dagegen vorgehen. Der Bericht zeigt auch, wie sich Studenten der Uni, mit dem Kampf gegen derartige "Hacker" befassen und in einem sogenannten "Hacker Praktikum" lernen, wie ein böswilliger Angreifer arbeitet bzw. wie man dessen Angriffe abwehren kann.

Leider mussten wir nach einem kurzen Blick auf das Internetportal der Uni Bochum feststellen, dass dort zwar im Unterricht auf das Thema "Internet-Sicherheit" eingegangen wird, die eigene Website aber hier und da ihre Problemchen in Sachen Sicherheit hat. So wurden wir bereits nach wenigen Sekunden "Durchklicken" und einer einfachen Suchanfrage auf eine mögliche Schwachstelle aufmerksam, die unter gewissen Voraussetzungen als kritisch anzusehen wäre. Zwar werden Benutzereingaben gefiltert, um möglicherweise Angriffe abzuwehren - brauchbar ist dieser Filter aber nicht wirklich. Er schützt zwar vor den "typischen Tests", kann aber auch problemlos umgangen werden.

Im Video zeigen wir, dass es möglich ist, durch die Manipulation der Parameter, beliebige, externe Dateien und Code in die jeweilige Seite einzuschleusen. Ein Angreifer könnte so, gezieltes Phishing betreiben bzw. Daten aus dem Browser des "Opers" ausspähen. Theoretisch könnte ein Angreifer auch durch den gezielten Versand manipulierter Links an Studenten der Uni, in das interne Netzwerk oder die jeweiligen Computer der Benutzer eindringen. Natürlich haben wir bei unseren Tests keinerlei Unfug getrieben und lediglich unschädliche und legale Methoden verwendet, um die Anfälligkeit der Website überprüfen zu können. Auch wurde die Uni Bochum auf die Problematik hingewiesen. Man wartet nun auf eine Rückmeldung und ist gespannt über die Erklärung, warum derartige Schwachstellen bei einem "Lehrstuhl für Netz- und Datensicherheit" auftreten.

Während wir warten, spielen wir ein paar Runden:
http://tinyurl.com/3pgwmlm (Nyan Cat)
http://tinyurl.com/SOunibochumMoorhuhn (Moorhuhn)