Web Security Workshop Recap – aus Sicht des Veranstalters

Normalerweise schreibe ich Recaps aus der Sicht des Teilnehmers, doch dieses Mal werde ich den Spieß umdrehen und einen Recap über den Web Security Workshop verfassen. Der Web Security Workshop war mein erster Ganztagesworkshop, den ich auch selbst organisiert habe. Obwohl mir weder das halten eines Tagesseminars noch das Organisieren eines solche fremd sind, war es der erste Workshop in dem ich sowohl die Rolle des Speakers als auch die des Organisators inne hatte.

[ad#co-1]

Ich möchte in diesem Artikel meine Eindrücke in der Vorbereitung und während des Tages nieder schreiben und vielleicht den einen oder anderen ermutigen sich auch mal in diesem Gebiet zu betätigen. Um eines vorweg zu nehmen waren fast alle Erfahrungen und Erlebnisse durchgehend positiv, so dass ich für mich definieren kann, dass der Web Security Workshop ein Erfolg war.

Vorbereitung

Meine ersten Erfahrungen mit der Organisation eines Tagesworkshops habe ich im Winter 2010 / 2011 gesammelt. Damals habe ich, wie vermutlich nur die wenigsten Wissen, Karl gewonnen und dürfte einen Tag lang mit ihm machen was ich wollte. Gewonnen hatte ich ihn im Rahmen eines Gewinnspiels dass er in seinem Blog veranstaltete. Ich sagte ich würde meinen Gewinn teilen und als Ergebnis wurde im April 2011 das Landingpage Seminar veranstaltet. Dies war auch das erste Mal dass ich in die Versuchung kam auf ähnliche Art und Weise einmal Seminare veranstalten zu wollen.
Erfahrungen im Bereich Tagesworkshop und Seminare gibt es zudem auch diverse. Im Web Security Workshop versuchte ich meine gesammelte Erfahrungen in den beiden Bereichen miteinander zu verbinden. Dass dies nicht eins zu eins möglich ist muss dabei jedem bewusst sein. Es das Eine für einen Kunden, der die Themen absteckt und sicher genau dafür interessiert 8 Stunden Material vorzubereiten, aber es ist etwas komplett anderes wenn man selbst das Thema und die Struktur vorgibt.
Aus genau diesem Grund habe ich die Anmeldephase in 3 Etappen gegliedert. In der Zeit der Voranmeldung, die ich auf einen Monat geplant hatte, habe ich evaluiert, ob es überhaupt ausreichend Interesse an einem Workshop gibt, damit ich Kostendeckend diesen veranstalten kann.
Die Voranmeldungen bekamen den zusätzlichen Bonus, dass sie sich zwei Tage vor der offiziellen Anmeldephase für das Event registrieren konnten.
Die dritte Phase war dann die öffentliche Anmeldephase, die ich bis einem Monat vor dem Event laufen ließ.
Als ich dann eine ungefähre Vorstellung der finalen Teilnehmerzahl hatte, ging es an die Organisation einer ansprechenden Eventlocation. Wie auch schon im Jahr 2011 entschied ich mich für das Estrel Convention Center, auch wenn es etwas außerhalb gelegen ist, ist es doch gut erreichbar und bot alles was ich gesucht habe.
Neben dem Pauschalpreis für das Catering pro Teilnehmer inklusive Getränke bis hin zu dem Technischen Zubehör, dass wir für den Workshop benötigten. Wie so oft sind diese Posten extrem hoch, aber ich brauchte mich dafür nicht um das Netzwerk und mögliche Probleme zu kümmern.

Inhaltliche Vorbereitung

Am Anfang steht nicht immer das Wort, sondern manchmal einfach die Idee. Die Idee hinter dem Web Security Workshop ist den Teilnehmern, die schon Vorwissen im technischen Bereich mitbringen, auf das Thema Sicherheit zu sensibilisieren. Dazu gehört es in meinen Augen, dass man nicht nur theoretisch weiß wie Angriffsvektoren aussehen, sondern auch, dass man diese mal angewendet hat. Aus diesen Gedanken wurde die Idee, dass den Teilnehmern Scripte zur Verfügung gestellt werden die diese „angreifen“ mussten.
Final wurde aus der Idee ein Workshop bei dem jeder Teilnehmer eine vorbereite Virtuelle Maschine mit einem eingerichteten Xubuntu erhalten hat und zwischen den Slides das zuvor gelernte bzw. gesehene anwenden konnte. Im ersten Schritte wollte ich eigentlich etwas mehr Richtung Gamification gehen, diesen Gedanken hatte ich jedoch während der Vorbereitung verworfen, weil diese starre Vorgabe einen Gegensatz zum Workshop Konzept darstellt.

Web Security Workshop

Der Web Security Workshop

Ich muss zugeben, dass ich ganz schön aufgeregt war, was die Teilnehmer erwarten, was ich ihnen anbiete, ob die Zeit ausreichend geplant ist und wie die Resonanz auf den Tag sein wird. Zu Beginn hat jeder seine VM über das Netzwerk bezogen und während die Downloads liefen haben wir mit der Einführung, der Vorstellungsrunde und den Grundlagen der Netzwerkkommunikation begonnen. Als dann jeder seine VM gestartet hatte, gab es auch die ersten Aufgaben mit denen man sich an das HTTP Protokoll und die Möglichkeiten gewöhnen sollte. Auch wenn jeder im Netz unterwegs ist, so wissen doch nur wenige wie denn die Kommunikation zwischen dem Client und Server aussieht, auf welchen Modellen diese beruht und an wo diese definiert sind. Es gab dann noch ein paar Tools an die Hand und die Ausgaben wurden entsprechend gemeinsam ausgewertet bevor es in die erste Kaffeepause ging. In dieser gab es die notwendige Stärkung bevor es losging mit der Präsentation der Angriffstechniken und der Ausnutzung von entsprechenden Lücken. So wurde neben einen Schritt für Schritt Blind SQL Angriff, gezeigt welche Gefahren durch XSS Attacken entstehen und wie Clickjacking betrieben wird. Dieser als längste Block geplante Abschnitt hat deutlich mehr Zeit beansprucht, so dass es nach der Mittagspause das Thema noch etwas vertieft wurde, dieses mal nicht auf Software, sondern auf Hardwareseite. Neben DoS Attacken wurde über den Man-in-the-Middle Angriff gesprochen bevor das Thema Footprints und Fingerprints vertieft wurde. Über diese haben die Teilnehmer erfahren wie man solche findet und an welchen Stellen man sich schützen kann. Nach der letzten Kaffeepause ging es dann nochmal um Analysen. Dabei ging es sowohl darum, wie man Code präventiv prüfen und wie man Angriffe aufspüren kann. Nach einer abschließenden Fragerunde endete der erste Web Security Workshop in Berlin und ich war zufrieden mit dem Ergebnis.

Fazit

Persönlich war ich sehr zufrieden mit dem gesamten Workshop. Es hat Spaß gemacht zu sehen wie sich die Teilnehmer eingebracht haben und auch dass jeder etwas neues mit nach Hause nehmen konnte. Natürlich gibt es auch immer Dinge die man besser machen kann. Das werde ich mir, sollte ein weiterer Workshop dieser Art stattfinden, auf die Fahne schreiben.
So war gerade am Ende für die Analysen das Netzwerk zu langsam. Scheinbar handelte es sich nicht um ein Gigabit Netzwerk. Dies beeinträchtigte anfangs die Verteilungsgeschwindigkeit der Virtuellen Maschine und zum Ende eben die Anfragen über das Netz.
Zum Abschluss eines anstrengende Workshoptages ist es dann relativ schwer den Spannungsbogen für das aktuelle Thema aufrecht zu halten. Für das nächste Mal ist es auch wichtig, dass die ersten beiden Slots deutlich länger sind und die letzten Beiden zeitlich gestaucht werden. Man hat gemerkt wie die Konzentrationsphasen immer kürzer wurden. Wobei ich in dem Punkt nicht weiß wie viel Schuld das Mittag hatte – das mich persönlich ganz schön träge machte.
Das Mittag ist auch der letzte kleine Kritikpunkt. Die Vorspeise und das Dessert waren ausgezeichnet, aber der Hauptgang war relativ geschmacksneutral und eine Rotweinsoße geht überhaupt nicht an einem Workshoptag.
Nichts desto trotz war es ein aus meinen Augen gelungener Tag und ich freue mich auf die weitere Resonanz der Teilnehmer, bei denen ich mich an dieser Stelle nochmal bedanken möchte. Ohne euch wäre der gesamte Tag nicht möglich gewesen!