Hackerpraktikum bzw. Projektempfehlungen

system · 28. Juli 2014 um 09:29

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

Flecmart · 28. Juli 2014 um 09:29

Hackerpraktikum bzw. Projektempfehlungen
Hi,

ist das Hackerpraktikum als normal sterblicher Informatik Student (der noch nicht im Vorschulalter seinen eigenen Unix Kernel gebaut hat) machbar? Ich find das Projekt von der Beschreibung ziemlich spannend, kann gut C, aber nicht wirklich ne Skriptsprache (wie es in der Beschreibung ja eigtl empfohlen wird). Wenn mich was wirklich interessiert bin ich auch bereit Zeit zu investieren. Ist es wirklich so schlimm, wie man immer hört (“Kein Leben mehr”)? Würde mich über ein paar Meinungen und Erfahrungsberichte freuen… Gerne auch zu anderen Projekten, mit denen Ihr gute (oder schlechte) Erfahrungen gemacht habt.

LG,
Martin

Nosferatu · 28. Juli 2014 um 09:44

Es geht im Prinzip fast ohne Vorkenntnisse - wenn man bereit ist, die Zeit zu investieren. Das mit der Skriptsprache ist keine große Sache, wenn Du prinzipiell schon programmieren kannst. Genug python (zum Beispiel) für das Projekt kannst Du Dir auch unterwegs aneignen.

Flecmart · 28. Juli 2014 um 10:03

Hi,

Danke erst mal für die Antwort. Kann man den Zeitaufwand pro Woche in etwa einschätzen? Klar hängt das von verschiedenen Faktoren ab, aber ich würde ganz gerne noch 2 - 3 VLs besuchen, bei denen ich voraussichtlich nur noch dieses Semester die Chance habe.

CFP · 28. Juli 2014 um 10:03

Erfahrungsbericht HaPra → https://fsi.informatik.uni-erlangen.de/forum/thread/10126-Erfahrungsbericht-Hackerpraktikum

JohnnzBase · 28. Juli 2014 um 10:35

Der Zeitaufwand pro Blatt (3 Wochen) hat bei mir recht stark variiert. Von ca. 30 Stunden (Web-exploits) bis hin zu 80 Stunden (Blatt mit dem Rootkit). Das hat bei mir in Spitzenzeiten auch teilweise den Besuch von anderen Vorlesungen eingeschränkt. Allerdings habe ich grade in das Rootkit ziemlich viel Arbeit reingesteckt. Wer sich die 1,0 zum Ziel setzt, muss schon bereit sein, einiges zu tun.

Das mit der Skriptsprache sehe ich auch nicht kritisch, ich hatte davor keinerlei Pythonerfahrungen. Nach dem ersten Blatt hat man sich das meiste nötige schon angeeignet.

F30 · 28. Juli 2014 um 13:04

Aus eigener Erfahrung: Circa 60 Stunden pro Blatt, also 20 pro Woche.
Die Rootkit-Aufgabe und das Reverse-Engineering-Blatt reißen noch etwas nach oben aus. Auf die Punkte für erstere kann man zur Not verzichten und beim Reversing kommt man in 60 Stunden schon zu halbwegs vorzeigbaren Ergebnissen. Oder man hört zuerst die entsprechende Vorlesung, dann ist das Blatt kein Problem; aber passt halt nicht so gut in den (Bachelor-) Musterstudienplan.

Flecmart · 1. August 2014 um 12:09

Gibt es eine Möglichkeit trotzdem an die Aufgaben und Unterlagen zu kommen, ohne jemand der das Praktikum machen will den Platz wegzunehmen? Ich finde die Themen sehr interessant und würde mich gern damit befassen, aber ich glaube den Zeitaufwand kann ich kommendes Semester nicht aufbringen.

Cauca · 1. August 2014 um 13:09

2 Fragen:

Hier steht immernoch das Hackerpraktikum werde sowohl im Winter- als auch im Sommersemester angeboten. Wird die Seite nicht mehr überarbeitet?
Wann beginnt denn ca die Bewerbungsphase für das Praktikum? Ist wohl auch aufgrund des ersten Punktes nicht auf der HP nachzulesen. Edit: Läuft wohl schon: http://www.studon.uni-erlangen.de/studon/goto.php?target=cat_1020262

driest · 1. August 2014 um 18:39

Die meissten Aufgaben kann man nur in einem bestimmten Zeitfenster bearbeiten und benoetigt vpn Zugang zu dem Hackpra netz. Deshalb veroeffentlichen wir die Aufgaben nicht. Auf Anfrage koennen wir aber in BEGRENZTER Zahl Gastzugaenge verteilen.

Danke fuer den Hinweis fuer die Inkonsistenz auf unserer Seite, ich habe das mal korrigiert. Das Hackpra wird nur im Winter angeboten. Wenn ihr im Sommer was zu tun wollt hoer Reversing

Die Bewerbung uebers StudOn ist seit heute moeglich. Wir gehen die Liste bei Vorlesungsbeginn durch und geben euch dann per mail Bescheid ob ihr einen Platz bekommen habt. Es ist also keine Eile, wir bewerten ja auch nicht FCFS sondern qualitativ.

Cauca · 1. August 2014 um 19:23

Dann hatte ich ja mal ausnahmsweise n gutes Timing.

GreenBourne · 1. August 2014 um 19:44

Die Bewerbungen sehen doch wahrscheinlich alle gleich aus.
Bin Student XY und ich interessiere mich total für das Thema aus Gründen A,B,C, NSA, …
Verstehe nicht so recht warum didaktische Fähigkeiten einen für einem Platz im Praktikum empfehlen.
Am Ende ist es doch immer der gleiche kleine Nenner: Man hat dafür Interesse.

F30 · 2. August 2014 um 11:34

Reversing fehlt übrigens auch noch auf der Seite ;). Und wenn du dann schon dabei bist: Unten beim Master steht HackPra noch in beiden Semestern.

phi · 2. August 2014 um 23:57

MeinCampus hat afaik auch noch einen Anmeldeeintrag für’s HackPra, dessen Anmeldephase auf 2013 beschränkt ist, der aber auch für 2014WS angezeigt wird — wenn das System sich nicht dagegen sträubt, könnte man den auch ausblenden.

driest · 20. August 2014 um 14:31

Wir haben im Praktikum bisher immer eine relativ hohe Abbruch-Quote, weil es je nach Vorwissen durchaus ein Haufen Arbeit ist. Wenn jemand ohne C, x86 Assembler und TCP/IP Kenntnissen das Praktikum absolvieren will, dann muss er sich eben zusaetzlich zu den eigentlichen Aufgaben auch noch diese Kenntnisse aneignen. Das ist natuerlich moeglich und wir wollen auch niemanden ausschliessen der trotzdem gerne teilnehmen will, es ist aber fuer diese Person dann wesentlich mehr Aufwand als fuer jemanden mit einem soliden Background. Viele Leute mit eher „duennem“ Background brechen dann nach 3-6 Wochen das Praktikum ab, wodurch bei einem first come first serve Verfahren eine groessere Zahl von leeren Plaetzen entsteht die keiner mehr nutzen kann, obwohl mehr Leute sich beworben haben als Plaetze da sind. Die „Bewerbung“ hat einzig den Zweck Studenten priorisiert nach moeglichst geringer Abbruchwahrscheinlichkeit zuzulassen, um die Auslastung zu maximieren und den Abbruchkandidaten Zeit zu sparen.

Wir bekommen zwar auch haeufig Schreiben die wie ein Begleitschreiben zur Bewerbung bei einer Unternehmensberatung aussehen, das disqualifiziert die Leute aber eher als das es hilft Auf der Kursseite im Studon steht zum Inhalt des Motivationsschreibens:

Hier mal ein Template wie ich mir ein gutes Motivationsschreiben vorstelle:

Hallo, mein Name ist Fu Bar und ich habe bisher folgende praktikumsrelevanten Kurse besucht:
- Angewandte IT-Sicherheit
- Rechnerkommunikation
Ich habe Erfahrung mit folgenden Programmiersprachen:
- Jave: ca. 2 Jahre
- Python: ca. 1 Jahr
Ich beschaeftige mich seit mehreren Jahren privat mit:
- SQL Injections
- XSS
Ich habe zwar Luecken im Bereich C/Assembler und Betriebssystem Technik, bin aber bereit mir diese im Zuge des Praktikums selbstaendig anzueignen.

Dieses Schreiben enthaelt kein dummes Geschwaetz sondern alle relevanten Informationen die ich brauche. Der Kandidat wird vermutlich bei den ersten beiden Blaettern keine Probleme haben dank seiner Netzwerk und Websec Erfahrung. Es ist davon auszugehen das er bei Binary Exploitation, Rootkits und Reverse Engineering mindestens 2-3x soviel Arbeit haben wird wie jemand der solide C, x86 Asm und Betriebssystemkenntnisse hat. Allerdings scheint ihm das klar zu sein und er ist bereit die Mehrarbeit zu investieren.

Sollten in den auf der Vorlesungsseite genannten Anforderungen bei euch Luecken sein dann scheut euch nicht das kurz anzusprechen. Ihr solltet euch aber im Klaren sein das ihr dann vermutlich nicht innerhalb der 300 Arbeitsstunden liegen werdet auf die das Praktikum eigentlich kalibriert ist. Wenn ihr damit kein Problem habt und euch in dem Schreiben auch so aeussert dann sehe ich da kein Hindernis.

Wenn sich dann ein weiterer Kandidat mit Blabla von wegen NSA, Snowden und er sei ja so motiviert bewirbt ohne das eben diese Fakten in dem Motivationsschreiben vorkommen, ist die Wahrscheinlichkeit gross das derjenige gerade aus einer Launer oder zu viel Zeitschriftenlektuere Lust auf IT Sicherheit hat. Diese verfluechtigt sich dann aber recht schnell, sobald er merkt das er eine Menge C, Assembler und Kernel Programmierung nachholen muss.

Wir bekommen beide Arten von Bewerbung und bisher hat sich das System als relativ effektiv erwiesen. Wenn jemandem eine bessere Loesung fuer das Filtern von Kandidaten einfaellt sind wir aber fuer Vorschlaege offen.

GreenBourne · 20. August 2014 um 16:16

Vielen Dank für deine Erklärung driest.
Jetzt ist es mir klarer warum ihr dieses Verfahren wählt
und worauf es bei der Bewerbung wirklich ankommt.

lg Christian