Post on 07-Feb-2018
Hacker-Methoden in der IT-Sicherheitsausbildung
Dr. Martin MinkFG Security EngineeringTU Darmstadt / CASEDwww.seceng.informatik.tu-darmstadt.de/mink
Hochschule Darmstadt, 25.11.2010Vorlesung „Computerforensik“
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 2
Über mich
1996 – 2003 Informatikstudium an der TU Darmstadt 2003 – 2009 Doktorand an der RWTH Aachen und Uni
Mannheim 2009 – 2010 Mitarbeiter an der Hochschule Albstadt-
Sigmaringen seit Febr. 2010 PostDoc am Center for Advanced Security
Research (CASED) und TU Darmstadt Themen: Offensive Methoden, Digitale Forensik Praktikum „Hacker Contest“
Dissertationsthema: Vergleich von Lehransätzen in der IT-Sicherheitsausbildung
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 3
Überblick
Offensive Ausbildung Hacker-Praktikum IT-Sicherheitswettbewerbe Capture-the-flag Wargames
Offensive Methoden Ethik Bewertung
Digitale Forensik
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 4
Hacking in der Lehre
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 5
Hacking in der Lehre
Hochschulen bieten Kurse mit offensiven Inhalten an Vorlesungen Hacker-Praktika Seminare Hacking-Wettbewerbe
Ziel: lernen, wie man ein System sicher macht wichtig: praktische Erfahrung
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 6
Hacker-Praktikum
praktische Erfahrung mit Angriff & Verteidigung beide Seiten von IT-Sicherheit kennenlernen
die (Un-)Sicherheit von Software(systemen) praktisch erfahren Angriffe in geschützter Umgebung ausprobieren nicht nur die Anwendung von Tools lernen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 7
Hacker-Praktikum
an deutschen Hochschulen Uni Bochum TU Darmstadt TU Dortmund Uni Erlangen-Nürnberg FH Gelsenkirchen TU Magdeburg Uni Mannheim (noch) Uni Potsdam …
an vielen US-amerikanischen Hochschulen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 8
Praktikum „Hacker Contest“
Wird seit 1999 an der TU Darmstadt angeboten Erprobung von Angriff und Verteidigung in einem geschlossenen
Netzwerk Praktische Erfahrungen in einer Umgebung, die normalerweise
nicht legal möglich Idee: „know your enemy“ Kennenlernen der Methoden der Angreifer, um sich effizient vor
Angriffen schützen zu können
12 Studenten arbeiten in Teams Teil des neuen Masterstudiengangs „IT Security“
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 9
Praktikum „Hacker Contest“ (2)
jedes Team betreut mehrer Rechner Windows und Unix/Linux
Ablauf in Phasen Netzwerkerkundung (reconnaissance) Schwachstellen finden Angriffe durchführen Systeme absichern Test der Maßnahmen durch erneute Angriffe
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 10
Ziele des Hacker Contests
IT-Sicherheit praktisch erfahren Die Methoden der Angreifer kennenlernen Studierende für die Gefahren im Netzwerk sensibilisieren sowie
ausbilden, die Gefahren zu erkennen und abzuwehren Kritische Auseinandersetzung mit den Grundsätzen des
"Hackens" und den prinzipiellen Angriffskonzepten Lernen, wie man ein System sicher macht
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 11
Hacker Contest für Unternehmen
Weiterbildungsveranstaltung für Mitarbeiter Vermittlung von Wissen in ausgewählten Bereichen der IT-Sicherheit Einblicken in die Methoden und Denkweisen von Hackern Techniken zur Abwehr von Angriffen praktischen Erfahrungen
5-tägige Veranstaltung geplant ab Frühjahr 2011
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 12
IT-Sicherheitswettbewerbe
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 13
Hacker-Wettbewerbe
Challenge based Lösen von Aufgaben aus verschiedenen Bereichen der IT-Sicherheit z.B. War games
Capture the flag Angriff und Verteidigung im Netzwerk
Attack based Angriff steht im Vordergrund
Defense based Verteidigung steht im Vordergrund Cyber Defense Exercise (CDX) des US-amerikanischen Militärs
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 14
Capture-the-flag-Wettbewerb (CTF)
klassisch: 2 Teams spielen im Gelände jedes Team hat ein Territorium
und eine Flagge eigene Flagge muss geschützt
werden Flagge des anderen Teams
muss erobert werden Abwandlung: virtuell in
Computerspiel
neu: Übertragung des Konzepts in die IT-Sicherheit
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 15
CTF: Wettbewerb
Weltweit verteilte Teams von Universitäten treten gegeneinander an
Jedes Team muss einen virtuellen Server verteidigen und die Server der anderen Teams angreifen
Teams sind über VPN verbunden Der Gameserver vergibt Offensiv- und Defensivpunkte in
Echtzeit offensiv: für eroberte Flaggen defensiv: für die Erreichbarkeit der eigenen Dienste z.T. Zusatzpunkte für das Schreiben von Advisories oder das Lösen
zusätzlicher Aufgaben
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 16
CTF: Wettbewerb (2)
Vom Veranstalter erstellte Netzwerkdienste mit Sicherheitslücken keine Standard-Software => Lücken müssen selbst gesucht werden
Dauert typischerweise 7-10 Stunden davon 1-2 Std. Vorbereitung ohne Gameserver
häufig mit Hintergrundgeschichte z.B.: „The Copyright Mafia“, iCTF 2007
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 17
CTF: Aufbau
http://ictf.cs.ucsb.edu/archive/iCTF_2005/CTF.pdf
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 18
CTF: Flaggen
Eine Flagge ist ein String (Hash) Jeder Dienst hat seine eigenen Flaggen Die Flaggen werden durch den Gameserver abgelegt werden irgendwo in dem Dienst oder im System abgelegt werden von Zeit zu Zeit erneuert sind – theoretisch – nur durch einen berechtigten Benutzer zugreifbar
Eroberung einer Flagge eines anderen Teams:1. auf die Flagge auf dem Server des anderen Teams zugreifen2. Flagge an den Gameserver einreichen (innerhalb des
Gültigkeitsintervalls)
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 19
CTF: Scoreboard
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 20
CTF: Wettbewerbe (Auswahl)
iCTF: http://ictf.cs.ucsb.edu organisiert durch Giovanni Vigna von der UCSB erster und bekanntester CTF im akademischen Bereich max. 20 pro Team; 56 Teams im Jahr 2009
CIPHER CTF: http://www.cipher-ctf.org/ organisiert durch Lexi Pimenidis (ehemals RWTH Aachen) max. 7 pro Team; 33 Teams im Jahr 2009
ruCTF: http://ructf.org organisiert durch HackerDom, CTF-Team der Ural State University
(Russland); 43 Teams im Jahr 2009
CTF auf DEFCON: http://www.defcon.org challenge-basierte Qualifikationsrunde (auch remote Teilnahme) CTF für die Top 10 der Qualifikationsrunde vor Ort
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 21
CTF: Vergleich mit Praktikum
Gemeinsamkeiten praktische Erfahrung Angriff und Verteidigung (Teamarbeit)
Unterschiede: in Echtzeit stärkere Wettkampfsituation stärkere Betonung von selbst entwickelten Exploits
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 22
Beispiel für eine Challenge
CTF auf hack.lu 2010 jährliche Hacker-Konferenz in Luxemburg
challenge-basiert erfolgreiche Lösung einer Challenge liefert eine Flag
organisiert von FluxFingers, CTF-Team der Ruhr-Universität Bochum
vom 27.10., 11 Uhr bis 29.10., 11 Uhr
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 23
zu lösende Challenges
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 24
eine der Challenges
Lösungsansatz?
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 25
hack.lu-Challenge
Our sad little pirate haes lost his password. It is known that the pirate has just one hand left; his left hand. So the paessword input is quite limited. Also he can still remember that the plaintext started with "674e2" and his password with "wcwteseawx" Please help the sad pirate finding his plaintext.
Ciphertext@@\xa9\x8a\xd1\xae%\xdf\x8b\xe9}\xf6_\x90\xa9\x80 ...
Ciphertext (alternate syntax)0x40,0x40,0xA9,0x8A,0xD1,0xAE,0x25,0xDF,0x8B,0xE9, ...
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 26
Flagge einreichen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 27
Wargames
Speziell konstruierte Challenges orientieren sich an Problemen, vor denen ein Angreifer steht
Meistens level-basiert einen Level lösen um in den nächsten zu gelangen
Web-Browser- oder shell-basiert spielerische Art, sich mit Hacking auseinanderzusetzen Betonung liegt auf Angriffen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 28
Wargames (Auswahl)
Hack this site: http://www.hackthissite.org/ Intruded.net: http://www.intruded.net/wglist.html Starfleet Academy Hackits: http://isatcis.com/ (momentan nicht
verfügbar)
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 29
Was ist „offensiv“?
Was ist überhaupt eine offensive Methode?
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 30
Was ist „offensiv“? (2)
Definitionsversuch 1 eine Methode, die von einem Angreifer verwendet wird aber: manche Angreifermethoden werden auch als Schutzmaßnahme
eingesetzt Dual-Use-Prinzip Beispiele?
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 31
Was ist „offensiv“? (3)
Definitionsversuch 2 alles, was darauf abzielt, etwas „kaputt zu machen“ Angriffe auf Verfügbarkeit, Vertraulichkeit, Integrität
Beispiele: (D)DoS-Angriff, Netzwerk-Sniffen
aber: es kommt auf die Intention an Was möchte jemand durch die Anwendung einer Methode erreichen? Auch eine offensichtliche Angreifermethode wie Malware lässt sich zu
defensiven Zwecken einsetzen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 32
Was ist „offensiv“? (4)
Definitionsversuch 3 unter Verwendung von „defensiv“ defensiv::= die Anwendung einer defensiven Methode reduziert die
Anzahl der erfolgreichen offensiven Methoden Beispiele?
offensiv::= alle nicht defensiven Methoden Problem: Dual-use
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 33
Welche Arten Hacker gibt es?
Cracker jemand, der in Computer eindringt
Hacker jemand, der etwas sehr gut kann, z.B. Programmieren hat sich als Bezeichnung für Angreifer eingebürgert Unterscheidungen: White hat hacker setzt seine Hacker-Kenntnisse für legale Zwecke ein
Black hat hacker entspricht dem Cracker
Grey hat hacker verhält sich manchmal illegal, manchmal gut gemeint, manchmal
nicht
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 34
Ethik
häufiger Vorwurf: Studenten werden zu Hackern ausgebildet meine Überzeugung: Erhöhung der Anzahl der (White hat)
Hacker erhöht die Sicherheit insgesamt Ethik muss in Veranstaltungen mit offensiven Aspekten
behandelt werden ethisches Verhalten gesetzliche Regelungen
siehe auch [1]
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 35
Wie gut ist offensive Ausbildung?
Habe in meiner Lehrtätigkeit sehr gute Erfahrungen gemacht mit dem offensiven Ansatz
Großes Interesse sowohl der Studenten an den Veranstaltungen sehr motiviert
als auch von Unternehmen an Studenten mit Hacker-Erfahrung an Schulungen für Mitarbeiter
Lässt sich der Nutzen des offensiven Ansatzes bewerten? Einsatz einer empirischen Studie als Messinstrument
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 36
Bewertung des offensiven Ansatzes
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 37
Empirische Studie: Ansatz
Vergleich von zwei Gruppen eine mit offensiver Ausbildung eine mit rein defensiver Ausbildung
Vergleich durch Experiment Ziel: Wissen sichtbar machen und messen
Daten sammeln für empirischen Vergleich Beschränkung auf Universitätsstudenten nicht generalisierbar
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 38
Empirische Studie: Hypothese
Studenten, die eine offensiv orientierte Ausbildung in Computersicherheit erhalten,
haben ein besseres Verständnis für IT-Sicherheit als Studenten, die rein defensiv
ausgebildet werden
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 39
Empirische Studie: Variablen
unabhängigeVariable (UV)
abhängigeVariable (AV)
IT-Sicherheits-verständnis
Einfluss
Art der Lehre: offensiv, defensiv
Vorwissen:viel, wenig
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 40
Studie: Konzeption
zwei 3-tägige Kurse zur IT-Sicherheit: einer offensiv ausgerichtet einer defensiv ausgerichtet theoretische und praktische Inhalte die Unterscheidung findet nur im praktischen Teil statt
Themen: Softwaresicherheit, Netzwerksicherheit, Firewalls, Malware,
Webanwendungssicherheit, Unix-Sicherheit zufällige Zuordnung der Teilnehmer zu den Kursen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 41
Studie: Tests
Ermitteln des IT-Sicherheitswissens der Teilnehmer vorher und nachher: durch Fragebogen mit wieviel Vorwissen beginnen die Teilnehmer den Kurs? wie hat sich das Wissen durch den Kurs verändert?
am Ende: durch praktischen Test (Experiment) Anwendung des Erlernten
zusätzlich: Ermitteln des IT-Sicherheitsbewusstseins („Awareness“) vorher und nachher: durch Fragebogen
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 42
Studie: Experiment
Hauptmessinstrument der Studie gegeben: Computersystem mit Sicherheitslücken und
Fehlkonfigurationen Aufgabe: Überführen des Systems in einen sicheren Zustand
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 43
Studie: Aufbau
Server
unsicher
Test
Test Messung:
- Anz. ge- fundener Sicherheits- lücken
- benötigte Zeit
- Vorgehen
- Ergebnis
Server
sicher
Teil-neh-mer
defensiv
offensiv
Kurs 1
Kurs 2
zufällig
zufällig
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 44
Studie: Durchführungen
1. Durchführung Frühjahr 2007 ca. 40 Teilnehmer
2. Durchführung Frühjahr 2008 insgesamt ca. 80 Teilnehmer
Ergebnisse: Experiment [2]
Ergebnisse: Wissenstest [2]
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 47
Bewertung der Studie
Ansatz, um den offensiven Lehransatz zu bewerten Ergebnisse der Studie sind nicht aussagekräftig genug Wiederholte Durchführung der Studie um mehr empirische Daten zu sammeln
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 48
Warum offensive Ausbildung wichtig ist Know your enemy! Motivation → mehr Spaß schnelle Ergebnisse es ist einfacher, eine Lücke zu finden, als zu zeigen, dass keine
Lücke existiert spielerische Ansätze
aus den Fehlern anderer lernen, um diese nicht wieder zu machen Negativbeispiel: ping of death – BlueSmack in den 90er Jahren führte der „ping of death“ zum Absturz von Win95 viele Jahre später ist ein analoger Angriff gegen Bluetooth-Geräte
möglich („BlueSmack“)
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 49
Digitale Forensik
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 50
Digitale Forensik
im Hacker-Praktikum Analyse von Festplatten Handys Erlernen der grundlegenden Techniken der Analyse nicht nur Anwendung von (high-level) Tools
gebraucht gekauft viele interessante Daten gefunden (siehe später) aber: Problematik Datenschutz (personenbezogene Daten) [3] alternativ: forensische Images generieren forensig2 (Uni Mannheim) [4]
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 51
Digitale Forensik (DF)
auch als Computerforensik oder Forensic Computing bezeichnet DF beschäftigt sich mit dem Sammeln, der Interpretation und
der Präsentation von auf digitalen Geräten gefundenen Beweisen meist zur Verwendung in Gerichtsverhandlungen
Aber es gibt auch Nebeneffekte der DF: Sicherheitsbewusstsein der Benutzer erhöhen aus Sicherheitslücken lernen Analyse von Sicherheitsvorfällen, um die Werkzeuge, die Taktik und
das Vorgehen von Angreifern kennenzulernen nutze dies zur Verbesserung der Sicherheit
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 52
DF: Awareness
gelöschte Daten auf Festplatten und Speicherkarten können wiederhergestellt werden und mit ihnen viele Informationen
Daten auf Mobiltelefonen empfangene & getätigte Anrufe, SMS, Fotos, Adressen, Termine, ... Wie können diese sicher gelöscht werden?
Viele weitere digitale Geräte speichern Daten Fotokopierer: kopierte Dokumente Navigationssysteme: Adressen, gefahrene Strecken Auto: Aufzeichnung von Vorfällen ...
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 53
DF: gefundene Daten
Familienstammbaum, aus Daten von einer Festplatte rekonstruiert [5]
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 54
DF: gefundene Daten (2)
aus gelöschten Nachrichten rekonstruierte Unterhaltung via SMS [5]
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 55
Ausbildung in DF
es gibt nur wenig akademische Ausbildung in DF keine Methodik Deutschland: einzelne Vorlesungen Irland vorn in dem Bereich
in der Praxis meist „learning on the job“ und Anwendung von best practices
fundiert ausgebildete Experten werden dringend benötigt bei Strafverfolgungsbehörden und in Industrie
Hochschule Albstadt-Sigmaringen, Uni Mannheim und Uni Tübingen entwickeln einen Masterstudiengang erster dieser Art in Deutschland weitere Partner aus Industrie und Behörden beteiligt
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 56
Master für Digitale Forensik
berufsbegleitend 6 Semester Fernstudiengang mit Präsenzveranstaltungen ist im Oktober diesen Jahres gestartet Voraussetzungen abgeschlossenes Studium einschlägige Berufserfahrung
Kosten: < 15.000 Euro Web: http://www.digitaleforensik.com/
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 57
Fazit
Erfahrung mit Angreifermethoden ist wichtig um sich der Möglichkeiten eines Angreifers bewusst zu werden für ein besseres Verständnis von Sicherheitsproblemen denn nur wer die Methoden der Angreifer kennt, kann sich effizient
verteidigen denn Angreifer sind immer einen Schritt voraus
Bedarf an Sicherheitsexperten mit Hacker-Erfahrung ist da für Penetrationstests, Anti-Virus-Industrie, Aus-/Weiterbildung,
Strafverfolgungsbehörden, Geheimdienste, ... Nachfrage durch Industrie und Staat
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 58
Zum selbst ausprobieren
Web App Sicherheit: WebGoat (von OWASP) zur Demonstration von häufig auftretenden Sicherheitslücken http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Gruyere (ehemals Jarlsberg) (von Google code) Lernanwendung für Webentwickler http://google-gruyere.appspot.com/
Hacme Bank, Hacme Book, Hacme Casino, Hacme Travel, … nachgebildete Webapplikationen, die Lücken enthalten http://www.foundstone.com/us/resources-free-tools.asp
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 59
Zum selbst ausprobieren (2)
Wargames siehe dort
Live CDs Damn Vulnerable Linux (DVL) Live-CD mit angreifbaren Anwendungen http://www.damnvulnerablelinux.org/
Backtrack Linux mit Tools für Penetration Testing http://www.backtrack-linux.org/
weiteres auf: http://www.seceng.informatik.tu-darmstadt.de/security-education-resources
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 60
iCTF 2010
Findet am 3.12. statt 17 Uhr (Freitag) bis 2 Uhr (Samstag)
Team „Wizard of DoS“ der TU Darmstadt nimmt teil Zuschauer sind willkommen ab 19 Uhr bis Ende
Ort: Gebäude S4|14 der TU (Mornewegstr. 30), Raum steht noch nicht fest
weitere Informationen auf http://www.seceng.informatik.tu-darmstadt.de Raum Link zum Scoreboard ...
25.11.2010 | Hacker-Methoden in der IT-Sicherheitsausbildung | Martin Mink | 61
Literatur
[1] F. Gröbert, T. Kornau, L. Pimenidis: Is Teaching Hacking in Academia Ethical?, SIGINT, 2009[2] M. Mink, R. Greifeneder: Evaluation of the Offensive Approach in Information Security Education, International Information Security Conference (SEC), 2010[3] M. Liegl, M. Mink, F. Freiling: Datenschutz in digital-forensischen Lehrveranstaltungen, Datenschutz und Datensicherheit, 4, 2009[4] C. Moch, F. Freiling: The Forensic Image Generator Generator. International Conference on IT Incident Management and IT Forensics (IMF), 2009[5] F. Freiling, T. Holz, M. Mink: Reconstructing Peoples Lives: A Case Study in Teaching Forensic Computing, International Conference on IT Incident Management and IT Forensics (IMF), 2008