TU Wien:IT Security in Large IT Infrastructures VU (Fankhauser)

Aus VoWi
Wechseln zu: Navigation, Suche

Daten[Bearbeiten]

Inhalt[Bearbeiten]

Sicherheitsaspekte von großer Bedeutung für große Unternehmen bzw. staatliche Infrastrukturen, z.B. die Verwendung von NFC, die Sicherheit von Smartcards (E-Card, Bankomatkarten) inklusive NFC, Rechenzentren...

Fokus auf Sicherheitsmanagement und der Fragestellung, welche Sicherheitsmaßnahmen funktionieren und welche nicht.

Ablauf[Bearbeiten]

Regelmäßige Gastvorträge, eine Einzelübung, eine Teamübung, und ein CTF-Contest im Team.

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten]

Vortrag[Bearbeiten]

Im SS2015 waren dies großteils Gast-Vortragende, die von der LVA-Leitung eingeladen wurden und jeweils die Security-Themen beleuchten, die in ihrem Bereich von Relevanz sind.

  • Chipkarten und RFID/NFC Technology & Security
  • Bundesrechenzentrum (ISMS)
  • SVC (österreichische E-Card)
  • gematik (deutsche Gesundheitstelematik)
  • BMI (E-Government Datenaustausch, Cyber-Security Aktivitäten in Österreich)

Gastvorträge Pros: Sehr interessante Vortragende und Themen, Berichte aus der echten Praxis.

Gastvorträge Cons: Immer wieder kurzfristig ausfallende oder verschobene Vortragstermine, außerdem viele Informationen nur mündlich (karge Folien). Hier ist im Hinblick auf die Prüfung der Besuch der Vorträge und zumindest das Notieren von Stichworten sehr zu empfehlen.

Übungen[Bearbeiten]

lab0[Bearbeiten]

Ab der Abgabe wird ein Zeugnis für die LVA ausgestellt.

Kleine Einzelübung, den Umgang mit PGP unter Beweis stellen.

SS17: zusätzlich zur PGP-Einzelübung musste eine MD5-Kollision generiert werden

lab1[Bearbeiten]

Übung im 3er Team.

SS2015: Untersuchung eines (kompilierten) Java-Softwaremoduls auf Schwachstellen, implementieren von Proof-of-Concept-Code sowie Patches für diese. Weiterhin dann noch das Abschätzen der Kosten von den Securityfixes und die Beantwortung der Frage, was am kosten-effektivsten gewesen wäre: Behebung der Schwachstellen durch das Team (als Security-Consultants), durch die originalen Entwickler oder gar, die Schwachstellen überhaupt nicht zu beheben und die Risiken einzugehen.

SS2017: Schwachstellen finden in einer Binary und die zu fixen ohne Zugriff auf der Sourcecode. Weiters apache-Hardening, Text-adventure (also ein kleines textbasiertes RPG spielen und dazu Fragen zu beantworten), Bug-reporting-System aufsetzen und offene Fragen beantworten. (Nicht alle Aufgaben sind verpflichtend)

lab2: CTF[Bearbeiten]

ESSE Capture-the-Flag Contest an zwei Tagen im Inflab. Findet gemeinsam mit Teams der LVA Security for Systems Engineering statt, für eine genauere Beschreibung siehe dort. Da dies im Gegensatz dazu eine Master-LVA ist, erhalten die Teams weniger Punkte und sind kleiner (3 Personen statt 4). Auch hier ist für die Benotung im Rahmen der LVA nicht die erreichte Punktezahl sondern ausschließlich die Qualität des abgegebenen Berichtes von Bedeutung.

Prüfung, Benotung[Bearbeiten]

Mündlich, eine Unterhaltung zu bestimmten Themen aus den Gastvorträgen, zu diesen wird relativ genau nachgefragt. Eine gute Vorbereitung ist notwendig, nur die Informationen aus den Folien zu kennen ist zu wenig. Man sollte sich in den Vorträgen Notizen gemacht haben.

Dauer der Zeugnisausstellung[Bearbeiten]

  • Prüfung am 25.06., Zeugnis ausgestellt am 06.08. (6 Wochen)

Zeitaufwand[Bearbeiten]

Eine Stunde für lab0, 10-25 Stunden für lab1, einen Tag im Labor für den CTF-Contest. Besuch der Vorträge und einen Tag Vorbereitung für die Prüfung.

Unterlagen[Bearbeiten]

Tipps[Bearbeiten]

  • Bei den Vorträgen ein Notizen machen
  • CTF Vorbereitung (Gutes Team, Scripting-Fu auf Vordermann bringen, evtl. ein CTF-Framework vorbereiten zum leichteren Automatisieren der Attacken)
  • Cyber Cyber

Verbesserungsvorschläge / Kritik[Bearbeiten]

noch offen