Erfahrungsbericht Hackerpraktikum

system · 3. März 2013 um 18:24

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

Damon · 3. März 2013 um 18:24

Erfahrungsbericht Hackerpraktikum
Nachdem ich das vergangene Semester das Hackerpraktikum absolviert habe, will ich hier einfach mal darüber informieren, wie es denn so war.

Generell gibt es 5 Themen, die behandelt werden: Network Security, Web Security, System Security, Binary Exploitation und Reverse Engineering. Zu jedem Thema werden je 2 Vorträge von Studenten gehalten, wobei diese zum Teil aus Zweiergruppen bestehen können. Dabei kommt es aber vor allem darauf an, wie viele das Praktikum dann machen.

Maximal können 16 Studenten am Hackerpraktikum teilnehmen. Die Anmeldung erfolgt über StudOn [1]. Dabei muss man auch eine kleine “Bewerbung” schreiben, die aufzeigt, warum man besonders geeignet, bzw. motiviert ist. Falls sich mehr als 16 Teilnehmer anmelden, dann entscheidet auch dieser Eignungstext darüber, ob man teilnehmen darf. Die Auswahl erfolgt normalerweise bis zum Beginn der Vorlesungszeit.

In der ersten Woche trifft man sich zur Vorbesprechung und es wird gleich das erste Blatt ausgeteilt. In den folgenden Wochen findet dann wöchentlich ein Vortrag statt, bei dem Anwesenheitspflicht herrscht. Der Vortrag dauert normalerweise nicht länger als 60 Minuten und im Anschluss werden auch gerne noch fragen zum aktuellen Übungsblatt beantwortet.

Die Note ergibt sich zu beinahe 100% aus den erreichten Punkten bei den fünf Übungsblättern. Nur über den Vortrag hat man noch -0.3, 0 oder +0.3 Einfluss auf die Note. Der Schlüssel ist linear in 5%-Schritten gestaffelt, also >= 95%: 1.0, >= 90%: 1.3, usw.

Wir hatten für jedes Blatt 3 Wochen Zeit, ich weiß allerdings nicht, ob das Sommersemester auch 5 * 3 Wochen hergibt (Edit: Doch, reicht genau). Pro Blatt gab es immer 6 oder 7 Aufgaben, die zusammen 30 Punkte wert waren. Öfter gab es pro Blatt auch mal eine Bonusaufgabe mit bis zu 5 Bonuspunkten (meistens waren es eher so 2-3 Bonuspunkte). Man muss in fast jeder Aufgabe in irgendeiner Form ein Programm oder Script schreiben, welches man über SVN abgibt. Die Deadline ist dabei Sonntag 24:00 Uhr - ist allerdings eine weiche Grenze und wenn man kurz darauf noch etwas eincheckt, wird das normalweise ohne Abzug in die Bewertung mit aufgenommen. Wer ein Blatt nicht bis zur Deadline schafft, hat die Möglichkeit zu überziehen, verliert aber am ersten Tag 5% der maximal möglichen Punkte bei der (den) entsprechenden Aufgabe(n), am zweiten 10% und dann jeweils +10% pro weiteren Tag. Dabei ist der Grund des Versäumnisses unerheblich und es werden keine Ausnahmen gemacht.

In jedem Fall ist der Arbeitsaufwand enorm. Wer sich eine 1.0 zum Ziel gesetzt hat und keine speziellen Vorkenntnisse hat, darf gut und gerne 40-60 Stunden pro Blatt einplanen, da man sich das meiste selbst aneignen muss. Es gibt zwar die Vorträge aber deren Qualität und Nützlichkeit variiert auch teils deutlich. Natürlich gibt es noch die Bonusaufgaben - die sind aber auch alles andere als geschenkt und bei uns hatte meist keiner mehr Lust (und vor allem Zeit), die auch noch zu machen. Insgesamt muss man pro Blatt mindestens 50% der Punkte erreichen, um bestehen zu können. In der Beschreibung [2] steht auch, dass man insgesamt 2/3 der Punkte erreicht haben muss. Das deckt sich allerdings nicht mit der Notenskala, die auf dem Handout die 4.0 mit 50% angibt.

Richtig cool ist, dass einem die Programmiersprache komplett freigestellt ist. Wer allerdings in irgendeiner exotischen Programmiersprache entwickelt, darf nicht erwarten, dass der Korrektor irgendwas noch fixt, falls das Programm/Script nicht funktioniert. Ferner darf man auch so ziemliche jedes Tool oder Library verwenden, insofern die Aufgabenstellung es nicht explizit ausschließt. Ist die Aufgabe nicht ohnehin platformunabhängig, dann muss man fast immer - Ausnahme ist das letzte Blatt Reverse Engineering - für Linux entwickeln. Auch eine bestimmte Distribution ist nicht vorgeschrieben, es empfiehlt sich aber, diese für den Korrektor zu dokumentieren.

Obwohl dieses Semester der beste Schnitt seit Bestehen des HPra erreicht wurde (Ø 1,4), ist der Arbeitsaufwand sehr kritisiert worden. Deshalb soll es für das kommende Semester etwas (vom Aufwand her) entschärft werden. Es bleibt auch zu erwähnen, dass am Anfang 16 Leute angemeldet waren aber nur 8 auch abgeschlossen haben.

Abschließend kann ich behaupten, dass ich beim Hackerpraktikum extrem viel gelernt habe und mich durchaus sicher in der behandelten Thematik fühle. Die Kehrseite ist der wirklich exorbitante Arbeitsaufwand, wodurch die meisten von uns zeitweise kein Leben mehr hatten. Soweit ich weiß, würde es aber jeder noch einmal machen, weil es trotz des Aufwands auch viel Spaß gemacht hat. Besonders attraktiv ist es, das HPra z.B. zusammen mit “Angewandte IT-Sicherheit” bei Prof. Freiling zu machen. Durch das HPra sollte das dann wirklich sehr gut machbar sein.

Wer also an IT-Sicherheit und insbesondere an Hacking interessiert ist, gerne programmiert, mit Linux klar kommt und bereit ist (um die Beschreibung von der Homepage [2] zu zitieren) “viel Zeit in das Praktikum zu investieren”, der ist hier genau richtig. Wer aber mit möglichst wenig Aufwand eine gute Note kassieren will, sollte sich nach einem anderen Praktikum umsehen.

Ich hoffe ich konnte einen Einblick in das Praktikum gewähren und dadurch eine Hilfestellung für die geben, die sich noch unsicher sind. Wenn noch jemand Fragen hat, beantworte ich diese gerne und würde mich natürlich auch über Erfahrungen von anderen Teilnehmern freuen.

[1] Anmeldung über StudOn
[2] Informationen zum HPra vom LS1

styx · 3. März 2013 um 22:17

Soweit ich weiss beziehen sich die 5% auf die zu spaet abgegebene Aufgabe und nicht auf das ganze Blatt, glaube das wurde mal erwaehnt.

Kann ich nur bestaetigen, hab ich so gemacht und auch eine sehr gute Note in der Pruefung von AppITSec bekommen.

Damon · 3. März 2013 um 22:27

Jetzt wo du es sagst, da war was. Auch die Skala für den Abzug ist etwas strikter. Ich korrigier’ das mal.

domi · 4. März 2013 um 09:56

… Hinter die 40-60 Stunden kann ich noch ein Plus ergänzen. Dafür lernt man aber auch sonst im Ganzen Studium nicht so viel wie in der Veranstaltung. Bootcamp sozusagen. Kanns also trotz des Aufwandes auch wärmsten empfehlen. War geil und soll ja auch weniger werden.

P.S.: bereitet unter Umständen eure Freundin mental darauf vor.

CFP · 4. März 2013 um 11:01

[quote=domi]
… Hinter die 40-60 Stunden kann ich noch ein Plus ergänzen.[/quote]

Ach du heilige Sch**** :huh: , da weiß man dann, was einen erwartet.
Vielen Dank für den ausführlichen Bericht

Maddoc · 4. März 2013 um 11:01

Hattet ihr für das Praktikum eigentlich irgendwelche speziellen Vorkenntnisse? Also neben den Grundlagen aus dem Bachelor und vielleicht noch Angewandte IT-Sicherheit …

CFP · 4. März 2013 um 11:18

So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht

Damon · 4. März 2013 um 12:11

Ich bin selbst noch im 3. Semester Bachelor, hatte also bis zu Beginn des Semesters nur GOP-Zeug gehört. Allerdings konnte ich nicht feststellen, dass ich jetzt irgendwelche Nachteile gegenüber Teilnehmern aus dem 5. Semester oder gar aus dem Master hatte.
SP gehört zu haben ist sicher ganz nützlich und man sollte C schon drauf haben, da man z.B. ein Kernel-Mode Rootkit komplett selbst schreiben muss. Wenn Quellcode gegeben ist, dann meistens in C. Die Exploits kann man aber - wie schon erwähnt - in jeder beliebigen Programmiersprache anfertigen. Die meisten haben da Python genommen.
GRa ist für Binary Exploitation und natürlich für Reverse Engineering recht nützlich. Nach dem HPra könnt ihr einen Stack auf jeden Fall im Schlaf aufzeichnen ;-).

Grundsätzlich drücken entsprechende Vorkenntnisse natürlich den Aufwand mehr oder minder stark. Wer sich z.B. in Javascript/PHP gut auskennt, wird sich beim 2. Blatt „Web Security“ recht leicht tun. Da hatte ich aber z.B. nur sehr rudimentäre Kenntnisse und musste mir deshalb auch viel selbst beibringen.

Ich weiß von styx, dass er mit seinem Wissen zu Buffer Overflows aus dem HPra auch Prof. Freiling in der Prüfung noch beeindrucken konnte

styx · 4. März 2013 um 13:35

[quote=CFP]
So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht

[quote=Damon]
Ich weiß von styx, dass er mit seinem Wissen zu Buffer Overflows aus dem HPra auch Prof. Freiling in der Prüfung noch beeindrucken konnte
[/quote][/quote]
Es war eher jmp2esp um aslr zu umgehen, nicht die Buffer Overflows generell :D.

AppITSec ueberschneidet sich nur im Kapitel Softwaresicherheit mit dem HPra.

placebo · 4. März 2013 um 21:10

Gute Zusammenfassung. 40-60 Stunden halt ich allerdings gerade für die ersten drei Blätter auch für untertrieben, außer man hat schon gute Vorkenntnisse.

Damon · 4. März 2013 um 21:20

Ja, kann gut sein, dass die 40-60 Stunden zu niedrig angesetzt sind. 40 Stunden dürften es bei mir alleine für das Rookit gewesen sein (7 von 30 Punkten). Allerdings hab ich mich da auch sehr dran verkünstelt, kann aber schlecht einschätzen, mit wie viel Aufwand das in Vollständigkeit zu machen gewesen wäre.

siccegge · 5. März 2013 um 04:41

You know Hackerpraktikum sind 10 ECTS … da sollten 300h (5*60h) arbeitsaufwand auch nicht ueberraschen.

Und ja war damals ™ spuerbar mehr Aufwand als $durchschnittliche-lva. Die betreuung ist eher knapp. Waren meines Erachtens unangenehm viele “sinnfreie” Aufgaben dabei “transkribiere dieses flash video”

Erkenntnisgewinn war dafuer ziemlich nett Wuerde es wieder machen aber nur bedingt empfehlen

Damon · 5. März 2013 um 05:33

Stimmt zwar, gilt für die meisten Veranstaltungen aber nur theoretisch.

Man macht das allermeiste wirklich selbst. Ganz krass ist das am Anfang, wo man am ersten Termin das Übungsblatt ausgeteilt bekommt und dann heißt es „mach mal“. Hier wird man im kommenden Semester versuchen, die Vorträge möglichst weit nach vorne zu ziehen, damit man auch was von denen hat.
Abgesehen von einigen (wirklich störenden) Lücken in der Kommunikation wurde im Allgemeinen schon immer kompetent auf Fragen eingegangen.

Die Aufgabe ist raus und hat auch mir viel Leid und Schmerz zugefügt ;). Du kannst mir gerne mal schreiben, welche Aufgaben du sonst noch „sinnfrei“ fandest, dann werde ich mich dafür einsetzen, dass der entsprechenden Aufgabe Sinn verliehen wird, bzw. dass die Aufgabe ersetzt wird.

Aktuell sieht es so aus, dass es für das kommende Semester nunmehr nur noch 25 statt 30 Punkten pro Blatt geben wird. D.h. die qualitativ schlechteste/am wenigsten lehrreiche Aufgabe ist rausgeflogen.

malte · 5. März 2013 um 19:16

[quote=siccegge]
You know Hackerpraktikum sind 10 ECTS … da sollten 300h (5*60h) arbeitsaufwand auch nicht ueberraschen.
[/quote]AuD und SP haben auch 10 ECTS. Da hab ich glaub zusammen weniger Zeit reingesteckt als ins HaPra.

CFP · 1. August 2013 um 12:38

Nachdem Damon ja schon extrem ausführlich berichtet hat, kann ich seinen Worten nur beipflichten; insbesondere was Lerneffekt, Spaß etc. betrifft.

Ich habe es nahezu komplett ohne Vorkenntnisse gemacht und dann war es schon hart. Allerdings mit entsprechend Aufwand ging es.

[quote=CFP:1362394865]

Well. Also bei mir warens 80–100 Stunden.

Es wurde tatsächlich wohl bei jedem Blatt eine Aufgabe entfernt, zum Glück.
Worüber man geteilter Ansicht sein kann, ist die Arbeitsweise. Es gibt zwar einen Vortrag zum Thema, mit dem steht und fällt aber auch der Aufwand für ein Blatt. Außer dem Vortrag muss man sich im Grunde alles selbst aneignen – wenn man allerdings Fragen hat, kann man das relativ gut über die Mailingliste lösen.

Grundsätzlich kann man aber schon sagen, dass man für das Praktikum Interesse und Eigeninitiative mitbringen muss. Wer es jedoch wirklich schaffen will und interessiert ist, der packt das auch ohne Vorkenntnisse. Ansonsten würde ich es aber schon empfehlen, sich sich vorher ein bisschen mit den Themen zu beschäftigen

Insgesamt würde ich das Praktikum klar weiterempfehlen und mich auch – wenn ich jetzt nochmal die Zeit in den April zurückdrehen könnte – wieder anmelden. Das Ergebnis und Erlernte war den Aufwand auf jeden Fall wert.

Damon · 7. August 2013 um 19:23

Turnusänderung
Wer gerne das Hackerpraktikum im Bachelor oder Master absolvieren möchte, muss dieses ab sofort im Wintersemester belegen. Statt wie bisher jedes Semester, wird das Hackerpraktikum nur noch im Wintersemester angeboten [1]. Für das kommenden Wintersemester muss man sich wie bisher über Studon [2] mit einem kleinen Motivationsschreiben anmelden. Die Obergrenze von maximal 16 Teilnehmern bleibt unberührt. Bei mehr Anmeldungen als Plätzen entscheidet das Motivationsschreiben.

Bei Fragen stehe ich gerne zur Verfügung.

[1] Nachricht zur Turnusänderung (LS1)
[2] Anmeldung für das Wintersemester 2013/2014 (StudOn)

Polymath · 8. August 2013 um 09:21

Schwupp- drin
Da warens nur noch 15/16

Damon · 8. Oktober 2013 um 06:51

Mittlerweile haben sich mehr als die maximale Anzahl von 16 Teilnehmern angemeldet. Ich möchte noch einmal alle ermutigen, die auch das HPra im WS13/14 belegen möchten: Wer überzeugend seine Qualifikation und Motivation darlegen kann, wird definitiv bevorzugt. Der Zeitpunkt der Anmeldung ist lediglich bei gleichwertiger Eignung relevant. Dass das HPra erst nächstes Wintersemester wieder angeboten wird, sei an dieser Stelle auch noch einmal betont.

Wir freuen uns auf motivierte Kandidaten

Martin-O · 24. September 2014 um 11:41

Der Erfahrungsbericht ist wirklich super.
Sehr schön geschrieben und sehr informativ.
Danke für die Einblicke!