Interview on the "Practical IT security" workshop
On Friday 16 June 2013, CyberShield held a workshop for the first time for year 10 computer science students at a grammar school in Baden-Württemberg. The students were given this great opportunity thanks to the open-minded and progressive attitude of the headmaster. The two computer science teachers at the school were open to the project and supported us with helpful information about the local conditions. On the day of the workshop, the 18 pupils quickly shed their shyness and enthusiastically took part in the brainstorming and practical applications. The 4 school hours flew by.
Here is a look at the project from Christian and Till, who were in charge of both the preparations and the realisation:
Dear Christian, thank you very much for agreeing to do this interview.
Wieso war es dir wichtig, diesen Workshop durchführen?
In unserer Gesellschaft wird das Thema CyberSecurity immer relevanter (egal, ob einem das bewusst ist oder nicht!). Man liest oder hört regelmäßig von Angriffen auf Unternehmen, von Daten-Lecks und ausländischen Hacker-Teams. In vielen Filmen oder auch Serien wird das Thema aufgegriffen bzw. zumindest am Rande erwähnt. Oft wird aber auch ein Hacker mit einem modernen Magier gleichgesetzt, der seine Zaubersprüche auf dem Laptop eintippt und dadurch Tore in eine andere Welt (oder auf einen anderen Rechner) öffnet. Das Thema kann also beliebig mystisch oder erschreckend in den Köpfen von Schülern sein. Aus diesem Grund wollten wir mit dem Workshop einen realistischen Exkurs in das Thema geben.
Was genau wolltest du den Schülern vermitteln? Ist es deiner Meinung nach gelungen?
Hierbei standen verschiedene Sachen im Fokus. Zum einen wollten wir aufklären, wie Angriffe ablaufen und natürlich auch, wie man sich mit relativ einfachen Mitteln gegen eine Vielzahl von Angriffen schützen kann. Im gleichen Zuge wollten wir aber auch vermitteln, wie leicht es sein kann die volle Kontrolle über (veraltete) Systeme zu übernehmen. Letzten Endes haben wir dadurch zwei Ziele verfolgt: Interesse wecken und hierdurch vielleicht in ein paar Jahren weitere Verstärkung für die deutsche CyberSecurity Community zu bekommen. Generelle Sensibilisierung schaffen. Auch wenn sich jemand später nicht in den Security Bereich vertiefen wird, kann es nicht schaden eine Vorstellung zu haben, was da passiert.
Hat alles geklappt, wie es sollte oder gab es unvorhergesehene Hindernisse?
Der Großteil hat sehr gut funktioniert. Wir hatten aber im Vorfeld auch getestet, ob alles so weit funktioniert. Lediglich bei einer Übung zum Brechen von Passwörtern kam es unerwartet zum Ausfall der Schulcomputer, da diese anscheinend in ein technisches Problem liefen.
Wieviel Aufwand war es diesen Workshop vorzubereiten?
Der Workshop wurde von mehreren Personen zu unterschiedlichen Zeiten vorbereitet, angefangen mit einem Konzept mit pädagogisch sinnvoller Struktur über das Vorbereiten von VMs für Test-Cases bis hin zur Erstellung der Folien und natürlich nicht zu vergessen die Koordination mit der Schule. Insgesamt gehe ich davon aus, dass zwischen 40-80 Stunden Zeitaufwand verteilt auf verschiedene Personen für den Workshop aufkamen.
What tip do you have for a 16-year-old who can imagine working in IT security in the future?
I think the most important thing is to build up a solid foundation of knowledge about IT and its systems. This may seem a bit boring in some cases when you learn things like computer architectures or the calculation of memory addresses, but in the end these are points that you need to understand in order to carry out meaningful protection or a successful attack. In general, in the IT security field, you can't just have a view of your "silo", but ideally you need to have a broad knowledge of networks and IT systems so that you can design solutions together with the responsible technicians.
Hätte dir, als du in der 10en Klasse warst, solch ein Workshop Spaß gemacht oder dich dem Thema nähergebracht?
Auf jeden Fall! Zu meiner Schulzeit war der Informatik Unterricht sehr darauf ausgelegt Programmierung und Praxis in diesem Umfeld zu lernen. Das Thema Sicherheit wurde gar nicht behandelt. Im Studium lernte man dann anschließend theoretisch, was so alles möglich ist und wie das funktioniert, aber leider keine praktische Anwendung.
Würdest du wieder solch einen Workshop durchführen? Warum?
Ja. Ich denke es ist wichtig das Thema jungen Menschen näher zu bringen und es macht auch Spaß 😊
Dear Till, thank you very much for taking the time for this interview.
Was war dein Part bei diesem Workshop?
Meine Aufgabe bei dem Workshop war es die praktischen Teile vorzubereiten und die Schüler bei der Lösung dieser zu unterstützen. Ich habe dafür verschiedene Linux-Server mit bekannten Schwachstellen konfiguriert.
Wieviel Aufwand war es diesen Workshop vorzubereiten?
Der Aufwand war nicht all zu hoch. Die größte Schwierigkeit hierbei war es von den Services eine Version zu installieren, welche angreifbar ist, denn mittlerweile sind diese natürlich alle gepatcht und stehen auch bei den Anbietern nicht mehr zum Download zur Verfügung.
Hat alles geklappt, wie es sollte oder gab es unvorhergesehene Hindernisse?
Ich denke es hat alles so geklappt, wie ich es mir erhofft habe. Wie in der Informatik üblich hat es zwar nicht auf dem einfachen und schnellen Weg geklappt, denn der funktioniert bekanntlich nie. An der ein oder anderen Stelle musste ich einen kleinen Workaround finden, um meine Ziele zu erreichen, aber am Ende hat alles geklappt. Auch während des Workshops hat, abgesehen von unserem Versuch Password-Cracking zu zeigen, welcher dazu geführt hat, dass aufgrund zu hoher RAM Anforderungen die PCs aus gegangen sind, alles super funktioniert. Anfangs war ich etwas skeptisch, da sich die Beteiligung in Grenzen hielt, aber das hat sich alles nach 5-10 Minuten geändert und es wurde zu einem interaktiven Kurs, bei dem sich jeder einbringen konnte.
What tip do you have for a 16-year-old who can imagine working in IT security in the future?
It is very important to take the time to learn and understand the different areas. Many people immediately associate IT security with hacking and want to learn it within 2-3 days and then be able to hack sites within seconds, just like in the film. Apart from the fact that this is illegal, it is also impossible. To understand hacking or IT security in general, it is important to understand how a computer works, what network protocols there are and how they work, and much more. To be able to recognise a vulnerability in a system, I need to know exactly how the services work and what possibilities this offers me.
Hätte dir, als du in der 10en Klasse warst, solch ein Workshop Spaß gemacht oder dich dem Thema nähergebracht?
Ich hätte mir so einen Workshop zu meine Schulzeit sehr gewünscht, denn das hätte mir die Möglichkeit geboten mich schon früher mit dem Thema genauer auseinanderzusetzen und zu zeigen wieviel Spaß man in diesem Gebiet haben und kann und welche Gefahren ein schlecht konfiguriertes System mit sich bringt.
Würdest du wieder solch einen Workshop durchführen? Warum?
Ja, sehr gerne. Der Workshop und die Vorbereitung darauf haben mir nicht nur viel Spaß gemacht, sondern ich hatte das Gefühl wir konnten einigen Schülern das ganze Thema etwas näherbringen. Einige Schüler schienen schon einen etwas genaueren Eindruck von IT-Sicherheit zu haben, während andere zum ersten Mal mit dem Thema zu tun hatten, aber es hat mich sehr gefreut, dass sich aus beiden Gruppen Schüler am Workshop einbringen konnten. Ich denke, wir haben bei dem Workshop bei dem ein oder anderen Schüler das Interesse geweckt und vor allem hatte ich das Gefühl, dass es jedem Spaß gemacht hat.Herzlichen Dank, dass ihr beiden eure Eindrücke mit uns geteilt habt!
I clearly heard: After the workshop is before the workshop 🙂
In addition to Christian and Till, Gunter and Adela were also involved in this campaign.