Im Handler's Diary des ISC findet sich dieser Bericht über "Professor Packetslinger": In seinem Kurs wurde den Studenten die (benotete!) Aufgabe erteilt, einen Rechner ihrer Wahl einem vulnerability scan zu unterziehen. Universitätseigene Rechner ausgeschlossen, versteht sich - sonst droht die Universität mit Exmatrikulation.
Security in der Lehre ja - aber doch nicht so!
Von der grundlegenden Problematik abgesehen (je nach Rechtssprechung und je nachdem, wie tief gebohrt werden soll, ist die Aufgabe eine Aufforderung zu einer Straftat): Der Dozent hat damit einen wesentlichen Bestandteil in seiner Vorlesung vergessen. Das Verständnis von Schwachstellen muß mit einer entsprechenden moralischen Betrachtung einhergehen.
In einem Folgeartikel erläutert das ISC, wie ihrer Meinung nach verantwortliche Übungsumgebungen aussehen sollen. Meiner Meinung nach ist ein abgeschlossenes Netz insbesondere bei Übungen mit Anfängern auf dem Gebiet unumgänglich - nur allzu leicht produziert man unwissentlich irgendwelche Querschläger.
Ist eine Erreichbarkeit über das Netz vonnöten (z.B. weil es den Studenten möglich sein soll, von zu Hause aus zu arbeiten), ist eine entsprechende VPN-Umgebung ein probables Mittel. Man muß sogar hier nicht bei "null" anfangen, sondern kann sich am Setup für Wettbewerbe wie dem internationalen "Capture-the-Flag contest" orientieren.