"Man muss lernen, wie man ein System angreift, um zu verstehen, wie man es schützen kann."
Marco Squarcina ist Hacker und Universitätsassistent an der TU Wien. Im Interview für die Reihe „Die Hacker und ich“ spricht er darüber, wie er zum Hacker geworden ist, über das wertvolle und tiefe Wissen, das Studierende durch Hacking erlangen können, Hacking-Wettbewerbe und die ausgezeichneten Jobchancen für Hacker.
Wie sind Sie Hacker geworden? Wodurch wurde es für Sie interessant?
Marco Squarcina: Meine Geschichte ist anders als die anderer Leute, die zum Hacken gekommen sind. Für mich waren Computer nur ein Weg, um elektronische Musik zu machen. Auch für Videospiele habe ich mich nicht besonders interessiert. Dann, im letzten Jahr der Oberschule, installierte ich mein erstes Linux-basiertes Betriebssystem. Das änderte meine Sicht auf Computer. Damals war die Verwendung von Linux als Hauptsystem ein ziemliches Durcheinander. Die Dinge liefen nicht einfach, und die Behebung von Fehlern erforderte ein umfassendes Verständnis der Low-Level-Details des Betriebssystems. Obwohl ich wahrscheinlich mehr Zeit damit verbrachte, mein System zusammenzuhalten, als etwas mit den installierten Anwendungen zu arbeiten, war der ganze Prozess bereichernd für mich, und ich begann eine Seite von Computern zu schätzen, die ich vorher nicht kannte.
Als ich an die Universität kam, begann ich mich für das zu interessieren, was die meisten Leute als den „langweiligen Teil“ der Sicherheit betrachten: ein System zu schützen, anstatt es auszunutzen. Bald merkte ich, dass ich nur einen Teil der Verteidigungsmaßnahmen kannte, weil mir der offensive Teil fehlte. Also begann ich zu erforschen, wie man ein System knacken kann, anstatt es zu korrigieren – all dies, um die Schutztechniken besser zu verstehen.
Zu dieser Zeit, ich glaube, es war 2009, gründete ich mit einigen Freunden und dem Professor für Computersicherheit an meiner früheren Universität in Venedig, öffnet eine externe URL in einem neuen Fenster ein akademisches CTF-Team (CTF ist die Abkürzung für "Capture the Flag"). Kurz gesagt sind CTFsHacking-Wettbewerbe, bei denen Teams Punkte erhalten, indem sie Schwachstellen in Computerprogrammen aufspüren, angreifen und beheben. Die Organisator_innen der Veranstaltung erstellen diese benutzerdefinierten Programme und führen Schwachstellen ein, die realistische Schwachstellen in kryptografischen Protokollen, Anwendungen, Websites usw. simulieren. Diese Wettbewerbe sind natürlich völlig legal, da sie in einem begrenzten Netzwerk stattfinden und keine Angriffe auf reale Systeme beinhalten.
Von CTF zu CTF wurde mein Team immer erfolgreicher. Das gab uns die Möglichkeit, in mehrere Länder zu reisen und an Top-Hacking-Wettbewerben teilzunehmen. Im Jahr 2017, haben wir ein Team gegründet, das den Namen "mhackeroni, öffnet eine externe URL in einem neuen Fenster" trägt... der Name war meine Idee, und ich halte ihn für den bestmöglichen Namen für ein italienisches Hacking-Team [lacht]. Wir haben auch an der DEF CON CTF, öffnet eine externe URL in einem neuen Fenster – den "Olympischen Spielen" des Hackens – in Las Vegas in den letzten vier Jahren teilgenommen, was mhackeroni als eines der besten Teams weltweit bestätigt hat. Wir haben auch ein ausgezeichnetes Team an der TU Wien in Zusammenarbeit mit SBA Research, öffnet eine externe URL in einem neuen Fenster namens "We_0wn_Y0u, öffnet eine externe URL in einem neuen Fenster". Es ist eine der ältesten Gruppen, die es noch gibt (gegründet 2004), und es ist eine Ehre für mich, einer der aktuellen Koordinatoren zu sein.
Wer kann an der TU Wien an Hacking-Wettbewerben teilnehmen und wann ist die nächste Veranstaltung?
Marco Squarcina: Wir sind immer auf der Suche nach motivierten Leuten, die unser Team verstärken! Dafür gibt es keine Voraussetzungen, außer dass man motiviert und engagiert ist. Alles andere kann man gemeinsam in der Gruppe lernen und üben. Leider gehen einige Studierende fälschlicherweise davon aus, dass sie nicht gut genug sind, um an diesen Aktivitäten teilzunehmen und verpassen so diese Chance. Internationale Wettbewerbe können in der Tat hart und frustrierend sein, besonders am Anfang, aber mit der Unterstützung eines Teams zu spielen, macht den Lernprozess viel einfacher und macht auch Spaß! Ich möchte alle Interessierten ermutigen, es einmal auszuprobieren, insbesondere Frauen und Menschen anderer Geschlechter, die in der CTF-Community immer noch unterrepräsentiert sind.
Wir nehmen jeden Monat an internationalen Wettbewerben teil, und das nächste große Ereignis ist die DEF CON CTF-Qualifikation Ende Mai. Wer mehr über das Team erfahren und mitmachen möchte, kann mir eine E-Mail schicken, und ich helfe gerne weiter!
Hacking-Wettbewerbe spielen auch in der Lehre an der TU Wien eine zentrale Rolle. Im Rahmen der von unserer Gruppe koordinierten Sicherheitsvorlesungen haben wir ein virtuelles Labor eingerichtet, um unseren Studierenden praktische Erfahrungen zu vermitteln:
Introduction to Security (VU, 184.783), bachelor
- Introduction to Security (UE, 192.082), bachelor
- Systems and Applications Security (VU, 192.112), master
- Attacks and Defenses in Computer Security (UE, 192.111)
- Grundkonzepte der Security und Privacy (VU, 191.124)
Das virtuelle Labor bietet eine spielerische Lernerfahrung und stellt eine sichere, legale und aus der Ferne zugängliche Umgebung dar, in der die von uns gelehrten Konzepte in die Praxis umgesetzt werden. Für den größten Teil unserer Studierenden ist dies der erste Kontakt mit angewandten IT-Sicherheitsthemen, und ihr Feedback zu unseren Aktivitäten ist durchwegs positiv!
Denken Sie, dass Studierende auch privat hacken?
Marco Squarcina: Ich hoffe, sie tun es, aber auf ethische Weise und ohne rechtliche Konsequenzen zu riskieren. Was wir lehren, lässt sich leicht auf die reale Welt übertragen, deshalb betonen wir in unseren Vorlesungen immer den ethischen Faktor. So erhalten beispielsweise nur diejenigen Studierenden Zugang zu unseren virtuellen Labors, die eine Erklärung über den verantwortungsvollen Umgang mit den in den Kursen erlernten Fähigkeiten abgeben. Und wenn meine Studierenden zufällig eine Schwachstelle in öffentlichen Anwendungen oder Websites entdecken, unterstütze ich sie stets bei der Offenlegung.
Warum unterrichten wir diese Hacking-Themen? Auf welche Weise profitieren die Studierenden davon?
Marco Squarcina:IT-Sicherheit ist ein Bereich, in dem eine große Nachfrage nach Stellenangeboten besteht. In mehreren Berichten wurde festgestellt, dass weltweit Millionen von Stellen unbesetzt sind, weil es an qualifizierten Fachkräften im Bereich der Cybersicherheit mangelt (dies wird gewöhnlich als „Cybersecurity Skills Gap“ bezeichnet). Praktische Aktivitäten wie CTFs haben sich seit langem als eine der besten Möglichkeiten erwiesen, eine ausgezeichnete Karriere im Bereich der Cybersicherheit zu beginnen. Dafür gibt es mehrere Gründe: Die synthetischen Probleme, die bei CTFs auftreten, sind in der Regel schwierig, manchmal sogar schwieriger als die in realen Systemen auftretenden. Die Teilnehmer_innen werden mit Systemen konfrontiert, die sie noch nie zuvor gesehen haben, was sie zwingt, flexibel und schnell zu sein. Darüber hinaus sind Soft Skills wie Kommunikation und Zusammenarbeit im Team von grundlegender Bedeutung, um wettbewerbsfähig zu sein. Insgesamt handelt es sich um eine Kombination aus dem Erwerb von Fähigkeiten und einer Denkweise, die dazu anregt, über den Tellerrand hinauszuschauen und neue Probleme kreativ anzugehen.
Ich erinnere mich, dass ich vor Jahren mit Vorurteilen über das Hacken konfrontiert wurde, wie z. B. „Warum bringen Sie Studierenden bei, wie man Systeme knackt“, „das ist nicht ethisch“, usw. Glücklicherweise erkennen die Leute heute, dass man die nächsten Generationen von Fachleuten nicht fördern kann, indem man nur eine Seite der Geschichte zeigt. Man muss lernen, wie man ein System angreift, um zu verstehen, wie man es schützen kann, und um möglicherweise bessere Verteidigungsmaßnahmen zu entwickeln. Nehmen Sie Vorhängeschlösser als Beispiel: Ihr Design wurde in dem Maße verbessert, wie mehr Werkzeuge und Tricks entwickelt wurden, um sie zu knacken. Nehmen wir an, Sie wollen Vorhängeschlösser entwickeln, die besser sind als die vorhandenen. In diesem Fall müssen Sie alles über die vorhandenen Modelle wissen und alle Möglichkeiten kennen, wie diese Modelle unabsichtlich geöffnet werden können.
Danke für das Interview!
Interview: Edith Wildmann
Marco Squarcina ist Universitätsassistent (Postdoc) an der TU Wien, wo er Ende 2018 nach seiner Promotion in Informatik an der Universität Ca' Foscari, öffnet eine externe URL in einem neuen Fenster in Venedig tätig wurde. Seine Forschungsinteressen fokussieren vor allem auf den Bereich Netzsicherheit; die Ergebnisse seiner Forschung werden regelmäßig in hochrangigen Fachzeitschriften veröffentlicht. Als langjähriger Teilnehmer an internationalen Hacking-Wettbewerben arbeitet er mit der Agentur der Europäischen Union für Cybersicherheit (ENISA), öffnet eine externe URL in einem neuen Fenster zusammen, um jungen Talenten Fortbildungen zu ermöglichen. Marco unterrichtet derzeit eine Reihe von Lehrveranstaltungen zum Thema Internetsicherheit. Marco Squarcina ist einer der Koordinatoren des lokalen akademischen Hacking-Teams (https://w0y.at/, öffnet eine externe URL in einem neuen Fenster).
Auf seiner Webseite, öffnet eine externe URL in einem neuen Fenster und seinem Twitter-Account teilt Marco Squarcina (@blueminimal, öffnet eine externe URL in einem neuen Fenster) unter anderem Neuigkeiten zum Thema Cybersicherheit .
Themen der Reihe „Die Hacker und ich“:
Hacking und Politik. Interview mit Marco Squarcina
https://www.tuwien.at/tu-wien/aktuelles/news/news/die-hacker-und-ich-hacking-und-politik, öffnet eine externe URL in einem neuen Fenster
Messengerdienste. Interview mit Martina Lindorfer
https://www.tuwien.at/tu-wien/aktuelles/news/news/die-hacker-und-ich-messenger-dienste, öffnet eine externe URL in einem neuen Fenster
Das Passwort. Interview mit Marco Squarcina
https://www.tuwien.at/tu-wien/aktuelles/news/news/die-hacker-und-ich-das-passwort, öffnet eine externe URL in einem neuen Fenster
Scamming. Interview mit Matteo Maffei
https://www.tuwien.at/tu-wien/aktuelles/news/news/die-hacker-und-ich-scamming, öffnet eine externe URL in einem neuen Fenster
Phishing. Interview mit Matteo Maffei
https://www.tuwien.at/tu-wien/aktuelles/news/news/die-hacker-und-ich-phishing, öffnet eine externe URL in einem neuen Fenster