Foto: YesWeHack
Fachkräfte für Cybersecurity sind knapp, Weiterbildungsangebote oft langwierig und realitätsfern. Außerdem fehlt oft die Zeit für klassische Schulungs- und Weiterbildungsarten mit festen Terminen. In Systemhäusern ist es schließlich oft schon schwierig genug, die erforderlichen Zertifizierungsschulungen der Hersteller im Zeitplan unterzubringen.
Praktisch wäre da ein sowohl in der täglichen Praxis als auch zu Weiterbildungszwecken nutzbares Angebot, bei dem sich Mitarbeiter, wenn sie gerade einmal Zeit haben, im Selbststudium fortbilden können. Mit der Lernplattform "Dojo" will die Bug-Bounty-Plattform YesWeHack so ein Angebot unterbreiten. Es ist nach Registrierung kostenlos nutzbar. Ziel ist es, den Einstieg in die IT-Sicherheit zu unterstützen.
Zum Start umfasst Dojo vier Trainingsbereiche mit Kursen und Aufgaben in unterschiedlichen Schwierigkeitsgraden, richtet sich aber vornehmlich an ambitionierte Einsteiger. Themen sind SQL Injection, XPATH Injection, Mongo Injection und XSS. Die Aufgaben sind so konzipiert, dass Lernende sich Wissen durch Übungen und Erfahrung selbst erschließen - digitalen Fontalunterricht muss man nicht befürchten. Weitere Themen sind in Vorbereitung und sollen bald hinzukommen.
In einem "Playground" können Nutzer zudem eigene Konfigurationen und Szenarien durchspielen und auf Sicherheitslücken abklopfen. Dabei sehen sie in einem zweiten Fenster direkt, welche Auswirkungen ihre Änderungen im Code haben. Die unmittelbare Rückmeldung dient nicht nur dem Lerneffekt, sie kann auch genutzt werden, um in Projekten direkt Code und Einstellungen zu überprüfen. Für Firmen interessant ist zudem, dass sie eigene Trainingsinhalte erstellen und diese nur für ihre Mitarbeiter zur Verfügung stellen können. Das eröffnet vielfältige Möglichkeiten - von der Nutzung in Einstellungsgesprächen bis zu Kursen, um alle Kollegen auf den selben Stand zu bringen.
Allerdings kämpft die Plattfom zum Start noch mit einigen Tücken. Den Zugang mit dem TOR-Browser mag sie zum Beispiel nicht wirklich und in einem kurzen ersten Test stellte sich auch an der einen oder anderen Stelle heraus, dass es noch ein bisschen intuitiver ginge. Fortgeschrittene dürften zudem mit den bisher verfügbaren Lerninhalten schnell unterfordert sein. Aber die Plattform steht ja auch erst noch am Anfang. Und der Anbieter hat bereits versprochen, die Lernplattform an jeweils aktuelle Cybersecurity-Anforderungen anzupassen und die Trainingsbereiche fortlaufend zu ergänzen.
"Der Schwerpunkt liegt bei Dojo auf dem Code", sagt der Hacker BitK, Technical Ambassador bei YesWeHack. "Nutzer können in Echtzeit nachvollziehen, welche Auswirkungen eine bestimmte Eingabe hat und wie Filter umgangen werden könnten. Da wir die Daten nicht auf unseren Servern speichern, können Nutzer bedenkenlos auch real existierende Exploits in Dojo teilen und sich daran üben." Er verweist zudem auf die Möglichkeiten, reale Setups über einen privaten Link sicher mit anderen Nutzern zu teilen und den "Playground" als Echtzeit-Exploit-Editor zu nutzen. So könnten auch "knifflige Bugs in einem sicheren Umfeld in Ruhe untersucht werden".