Not logged in. · Lost password · Register

Page:  1  2  next 
Damon
nom nom nom
Avatar
Member since Oct 2011
298 posts
Subject: Erfahrungsbericht Hackerpraktikum
+8 meisterT, Polymath, CFP, Mich, shock_gone_wild, ...
Nachdem ich das vergangene Semester das Hackerpraktikum absolviert habe, will ich hier einfach mal darüber informieren, wie es denn so war.

Generell gibt es 5 Themen, die behandelt werden: Network Security, Web Security, System Security, Binary Exploitation und Reverse Engineering. Zu jedem Thema werden je 2 Vorträge von Studenten gehalten, wobei diese zum Teil aus Zweiergruppen bestehen können. Dabei kommt es aber vor allem darauf an, wie viele das Praktikum dann machen.

Maximal können 16 Studenten am Hackerpraktikum teilnehmen. Die Anmeldung erfolgt über StudOn [1]. Dabei muss man auch eine kleine "Bewerbung" schreiben, die aufzeigt, warum man besonders geeignet, bzw. motiviert ist. Falls sich mehr als 16 Teilnehmer anmelden, dann entscheidet auch dieser Eignungstext darüber, ob man teilnehmen darf. Die Auswahl erfolgt normalerweise bis zum Beginn der Vorlesungszeit.

In der ersten Woche trifft man sich zur Vorbesprechung und es wird gleich das erste Blatt ausgeteilt. In den folgenden Wochen findet dann wöchentlich ein Vortrag statt, bei dem Anwesenheitspflicht herrscht. Der Vortrag dauert normalerweise nicht länger als 60 Minuten und im Anschluss werden auch gerne noch fragen zum aktuellen Übungsblatt beantwortet.

Die Note ergibt sich zu beinahe 100% aus den erreichten Punkten bei den fünf Übungsblättern. Nur über den Vortrag hat man noch -0.3, 0 oder +0.3 Einfluss auf die Note. Der Schlüssel ist linear in 5%-Schritten gestaffelt, also >= 95%: 1.0, >= 90%: 1.3, usw.

Wir hatten für jedes Blatt 3 Wochen Zeit, ich weiß allerdings nicht, ob das Sommersemester auch 5 * 3 Wochen hergibt (Edit: Doch, reicht genau). Pro Blatt gab es immer 6 oder 7 Aufgaben, die zusammen 30 Punkte wert waren. Öfter gab es pro Blatt auch mal eine Bonusaufgabe mit bis zu 5 Bonuspunkten (meistens waren es eher so 2-3 Bonuspunkte). Man muss in fast jeder Aufgabe in irgendeiner Form ein Programm oder Script schreiben, welches man über SVN abgibt. Die Deadline ist dabei Sonntag 24:00 Uhr - ist allerdings eine weiche Grenze und wenn man kurz darauf noch etwas eincheckt, wird das normalweise ohne Abzug in die Bewertung mit aufgenommen. Wer ein Blatt nicht bis zur Deadline schafft, hat die Möglichkeit zu überziehen, verliert aber am ersten Tag 5% der maximal möglichen Punkte bei der (den) entsprechenden Aufgabe(n), am zweiten 10% und dann jeweils +10% pro weiteren Tag. Dabei ist der Grund des Versäumnisses unerheblich und es werden keine Ausnahmen gemacht.

In jedem Fall ist der Arbeitsaufwand enorm. Wer sich eine 1.0 zum Ziel gesetzt hat und keine speziellen Vorkenntnisse hat, darf gut und gerne 40-60 Stunden pro Blatt einplanen, da man sich das meiste selbst aneignen muss. Es gibt zwar die Vorträge aber deren Qualität und Nützlichkeit variiert auch teils deutlich. Natürlich gibt es noch die Bonusaufgaben - die sind aber auch alles andere als geschenkt und bei uns hatte meist keiner mehr Lust (und vor allem Zeit), die auch noch zu machen. Insgesamt muss man pro Blatt mindestens 50% der Punkte erreichen, um bestehen zu können. In der Beschreibung [2] steht auch, dass man insgesamt 2/3 der Punkte erreicht haben muss. Das deckt sich allerdings nicht mit der Notenskala, die auf dem Handout die 4.0 mit 50% angibt.

Richtig cool ist, dass einem die Programmiersprache komplett freigestellt ist. Wer allerdings in irgendeiner exotischen Programmiersprache entwickelt, darf nicht erwarten, dass der Korrektor irgendwas noch fixt, falls das Programm/Script nicht funktioniert. Ferner darf man auch so ziemliche jedes Tool oder Library verwenden, insofern die Aufgabenstellung es nicht explizit ausschließt. Ist die Aufgabe nicht ohnehin platformunabhängig, dann muss man fast immer - Ausnahme ist das letzte Blatt Reverse Engineering - für Linux entwickeln. Auch eine bestimmte Distribution ist nicht vorgeschrieben, es empfiehlt sich aber, diese für den Korrektor zu dokumentieren.

Obwohl dieses Semester der beste Schnitt seit Bestehen des HPra erreicht wurde (Ø 1,4), ist der Arbeitsaufwand sehr kritisiert worden. Deshalb soll es für das kommende Semester etwas (vom Aufwand her) entschärft werden. Es bleibt auch zu erwähnen, dass am Anfang 16 Leute angemeldet waren aber nur 8 auch abgeschlossen haben.

Abschließend kann ich behaupten, dass ich beim Hackerpraktikum extrem viel gelernt habe und mich durchaus sicher in der behandelten Thematik fühle. Die Kehrseite ist der wirklich exorbitante Arbeitsaufwand, wodurch die meisten von uns zeitweise kein Leben mehr hatten. Soweit ich weiß, würde es aber jeder noch einmal machen, weil es trotz des Aufwands auch viel Spaß gemacht hat. Besonders attraktiv ist es, das HPra z.B. zusammen mit "Angewandte IT-Sicherheit" bei Prof. Freiling zu machen. Durch das HPra sollte das dann wirklich sehr gut machbar sein.

Wer also an IT-Sicherheit und insbesondere an Hacking interessiert ist, gerne programmiert, mit Linux klar kommt und bereit ist (um die Beschreibung von der Homepage [2] zu zitieren) "viel Zeit in das Praktikum zu investieren", der ist hier genau richtig. Wer aber mit möglichst wenig Aufwand eine gute Note kassieren will, sollte sich nach einem anderen Praktikum umsehen.

Ich hoffe ich konnte einen Einblick in das Praktikum gewähren und dadurch eine Hilfestellung für die geben, die sich noch unsicher sind. Wenn noch jemand Fragen hat, beantworte ich diese gerne und würde mich natürlich auch über Erfahrungen von anderen Teilnehmern freuen.

[1] Anmeldung über StudOn
[2] Informationen zum HPra vom LS1
This post was edited 3 times, last on 2013-03-04, 08:55 by Damon.
styx
Member since Nov 2010
79 posts
Quote by Damon:
Wer ein Blatt nicht bis zur Deadline schafft, hat die Möglichkeit zu überziehen, verliert aber pro Tag 5% der maximal möglichen Punkte bei dem Blatt. Dabei ist der Grund des Veräumnisses unerheblich und es werden keine Ausnahmen gemacht.
Soweit ich weiss beziehen sich die 5% auf die zu spaet abgegebene Aufgabe und nicht auf das ganze Blatt, glaube das wurde mal erwaehnt.

Quote by Damon:
Besonders attraktiv ist es, das HPra z.B. zusammen mit "Angewandte IT-Sicherheit" bei Prof. Freiling zu machen. Durch das HPra sollte das dann wirklich sehr gut machbar sein.
Kann ich nur bestaetigen, hab ich so gemacht und auch eine sehr gute Note in der Pruefung von AppITSec bekommen.
Damon
nom nom nom
Avatar
Member since Oct 2011
298 posts
Quote by styx:
Quote by Damon:
Wer ein Blatt nicht bis zur Deadline schafft, hat die Möglichkeit zu überziehen, verliert aber pro Tag 5% der maximal möglichen Punkte bei dem Blatt. Dabei ist der Grund des Veräumnisses unerheblich und es werden keine Ausnahmen gemacht.
Soweit ich weiss beziehen sich die 5% auf die zu spaet abgegebene Aufgabe und nicht auf das ganze Blatt, glaube das wurde mal erwaehnt.

Jetzt wo du es sagst, da war was. Auch die Skala für den Abzug ist etwas strikter. Ich korrigier' das mal.
domi
Hier könnte Ihre Werbung stehen.
Member since Oct 2011
36 posts
... Hinter die 40-60 Stunden kann ich noch ein Plus ergänzen. Dafür lernt man aber auch sonst im Ganzen Studium nicht so viel wie in der Veranstaltung. Bootcamp sozusagen. Kanns also trotz des Aufwandes auch wärmsten empfehlen. War geil und soll ja auch weniger werden.

P.S.: bereitet unter Umständen eure Freundin mental darauf vor. :-D
CFP
Avatar
Member since Sep 2011
859 posts
Quote by domi:
... Hinter die 40-60 Stunden kann ich noch ein Plus ergänzen.

Ach du heilige Sch****  :huh: , da weiß man dann, was einen erwartet.
Vielen Dank für den ausführlichen Bericht [Image: http://www.fussball-sr.de/wcf/images/smilies/top.gif]
Maddoc
Avatar
Member since May 2011
526 posts
In reply to post #4
Hattet ihr für das Praktikum eigentlich irgendwelche speziellen Vorkenntnisse? Also neben den Grundlagen aus dem Bachelor und vielleicht noch Angewandte IT-Sicherheit ...
CFP
Avatar
Member since Sep 2011
859 posts
So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht ;)
Damon
nom nom nom
Avatar
Member since Oct 2011
298 posts
In reply to post #6
Quote by Maddoc:
Hattet ihr für das Praktikum eigentlich irgendwelche speziellen Vorkenntnisse? Also neben den Grundlagen aus dem Bachelor und vielleicht noch Angewandte IT-Sicherheit ...

Ich bin selbst noch im 3. Semester Bachelor, hatte also bis zu Beginn des Semesters nur GOP-Zeug gehört. Allerdings konnte ich nicht feststellen, dass ich jetzt irgendwelche Nachteile gegenüber Teilnehmern aus dem 5. Semester oder gar aus dem Master hatte.
SP gehört zu haben ist sicher ganz nützlich und man sollte C schon drauf haben, da man z.B. ein Kernel-Mode Rootkit komplett selbst schreiben muss. Wenn Quellcode gegeben ist, dann meistens in C. Die Exploits kann man aber - wie schon erwähnt - in jeder beliebigen Programmiersprache anfertigen. Die meisten haben da Python genommen.
GRa ist für Binary Exploitation und natürlich für Reverse Engineering recht nützlich. Nach dem HPra könnt ihr einen Stack auf jeden Fall im Schlaf aufzeichnen ;-).

Grundsätzlich drücken entsprechende Vorkenntnisse natürlich den Aufwand mehr oder minder stark. Wer sich z.B. in Javascript/PHP gut auskennt, wird sich beim 2. Blatt "Web Security" recht leicht tun. Da hatte ich aber z.B. nur sehr rudimentäre Kenntnisse und musste mir deshalb auch viel selbst beibringen.

Quote by CFP:
So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht ;)

Ich weiß von styx, dass er mit seinem Wissen zu Buffer Overflows aus dem HPra auch Prof. Freiling in der Prüfung noch beeindrucken konnte ;)
styx
Member since Nov 2010
79 posts
Quote by CFP:
So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht ;)

Quote by Damon:
Ich weiß von styx, dass er mit seinem Wissen zu Buffer Overflows aus dem HPra auch Prof. Freiling in der Prüfung noch beeindrucken konnte ;)
Es war eher jmp2esp um aslr zu umgehen, nicht die Buffer Overflows generell :D.

Quote by CFP:
So wie ich deren Beiträge lese, haben sie durch das Praktikum Ang. IT-S besser geschafft oder umgekehrt, es jedoch gleichzeitig gemacht ;)

AppITSec ueberschneidet sich nur im Kapitel Softwaresicherheit mit dem HPra.
placebo
Member since Dec 2008
290 posts
Gute Zusammenfassung. 40-60 Stunden halt ich allerdings gerade für die ersten drei Blätter auch für untertrieben, außer man hat schon gute Vorkenntnisse.
Damon
nom nom nom
Avatar
Member since Oct 2011
298 posts
Quote by placebo:
Gute Zusammenfassung. 40-60 Stunden halt ich allerdings gerade für die ersten drei Blätter auch für untertrieben, außer man hat schon gute Vorkenntnisse.

Ja, kann gut sein, dass die 40-60 Stunden zu niedrig angesetzt sind. 40 Stunden dürften es bei mir alleine für das Rookit gewesen sein (7 von 30 Punkten). Allerdings hab ich mich da auch sehr dran verkünstelt, kann aber schlecht einschätzen, mit wie viel Aufwand das in Vollständigkeit zu machen gewesen wäre.
siccegge
Debian Dude
Avatar
Member since Oct 2009
303 posts
You know Hackerpraktikum sind 10 ECTS .. da sollten 300h (5*60h) arbeitsaufwand auch nicht ueberraschen.

Und ja war damals (tm) spuerbar mehr Aufwand als $durchschnittliche-lva. Die betreuung ist eher knapp. Waren meines Erachtens unangenehm viele "sinnfreie" Aufgaben dabei "transkribiere dieses flash video"

Erkenntnisgewinn war dafuer ziemlich nett Wuerde es wieder machen aber nur bedingt empfehlen ;-)
Damon
nom nom nom
Avatar
Member since Oct 2011
298 posts
Quote by siccegge:
You know Hackerpraktikum sind 10 ECTS .. da sollten 300h (5*60h) arbeitsaufwand auch nicht ueberraschen.

Stimmt zwar, gilt für die meisten Veranstaltungen aber nur theoretisch.

Quote by siccegge:
Die betreuung ist eher knapp.

Man macht das allermeiste wirklich selbst. Ganz krass ist das am Anfang, wo man am ersten Termin das Übungsblatt ausgeteilt bekommt und dann heißt es "mach mal". Hier wird man im kommenden Semester versuchen, die Vorträge möglichst weit nach vorne zu ziehen, damit man auch was von denen hat.
Abgesehen von einigen (wirklich störenden) Lücken in der Kommunikation wurde im Allgemeinen schon immer kompetent auf Fragen eingegangen.

Quote by siccegge:
Waren meines Erachtens unangenehm viele "sinnfreie" Aufgaben dabei "transkribiere dieses flash video"

Die Aufgabe ist raus und hat auch mir viel Leid und Schmerz zugefügt ;). Du kannst mir gerne mal schreiben, welche Aufgaben du sonst noch "sinnfrei" fandest, dann werde ich mich dafür einsetzen, dass der entsprechenden Aufgabe Sinn verliehen wird, bzw. dass die Aufgabe ersetzt wird.

Aktuell sieht es so aus, dass es für das kommende Semester nunmehr nur noch 25 statt 30 Punkten pro Blatt geben wird. D.h. die qualitativ schlechteste/am wenigsten lehrreiche Aufgabe ist rausgeflogen.
malte
Member since Oct 2010
28 posts
In reply to post #12
Quote by siccegge:
You know Hackerpraktikum sind 10 ECTS .. da sollten 300h (5*60h) arbeitsaufwand auch nicht ueberraschen.
AuD und SP haben auch 10 ECTS. Da hab ich glaub zusammen weniger Zeit reingesteckt als ins HaPra.
CFP
Avatar
Member since Sep 2011
859 posts
In reply to post #5
+2 Cauca, Damon
Nachdem Damon ja schon extrem ausführlich berichtet hat, kann ich seinen Worten nur beipflichten; insbesondere was Lerneffekt, Spaß etc. betrifft.

Ich habe es nahezu komplett ohne Vorkenntnisse gemacht und dann war es schon hart. Allerdings mit entsprechend Aufwand ging es.
Quote by CFP on 2013-03-04, 12:01:
Quote by domi:
... Hinter die 40-60 Stunden kann ich noch ein Plus ergänzen.

Ach du heilige Sch****  :huh: , da weiß man dann, was einen erwartet.
Vielen Dank für den ausführlichen Bericht [Image: http://www.fussball-sr.de/wcf/images/smilies/top.gif]
Well. Also bei mir warens 80–100 Stunden. :D

Es wurde tatsächlich wohl bei jedem Blatt eine Aufgabe entfernt, zum Glück.
Worüber man geteilter Ansicht sein kann, ist die Arbeitsweise. Es gibt zwar einen Vortrag zum Thema, mit dem steht und fällt aber auch der Aufwand für ein Blatt. Außer dem Vortrag muss man sich im Grunde alles selbst aneignen – wenn man allerdings Fragen hat, kann man das relativ gut über die Mailingliste lösen.

Grundsätzlich kann man aber schon sagen, dass man für das Praktikum Interesse und Eigeninitiative mitbringen muss. Wer es jedoch wirklich schaffen will und interessiert ist, der packt das auch ohne Vorkenntnisse. Ansonsten würde ich es aber schon empfehlen, sich sich vorher ein bisschen mit den Themen zu beschäftigen ;)

Insgesamt würde ich das Praktikum klar weiterempfehlen und mich auch – wenn ich jetzt nochmal die Zeit in den April zurückdrehen könnte – wieder anmelden. Das Ergebnis und Erlernte war den Aufwand auf jeden Fall wert. :)
This post was edited 2 times, last on 2013-08-01, 15:40 by CFP.
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Page:  1  2  next 
Go to forum
Datenschutz | Kontakt
Powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2011 by Yves Goergen