TU Wien:IT Security in Large IT Infrastructures VU (Fankhauser)

Aus VoWi
Zur Navigation springen Zur Suche springen
Ähnlich benannte LVAs (Materialien):

Daten[Bearbeiten | Quelltext bearbeiten]

Vortragende Christian BremFlorian FankhauserFranz Mairhofer
ECTS 3
Letzte Abhaltung 2021S
Sprache „if required in english“ ist kein zulässiger Sprachcode.
Mattermost it-security-in-large-it-infrastructuresRegisterMattermost-Infos
Links tiss:183633, eLearning, Homepage
Zuordnungen
Masterstudium Business Informatics
Masterstudium Medizinische Informatik
Masterstudium Software Engineering & Internet Computing


Inhalt[Bearbeiten | Quelltext bearbeiten]

Sicherheitsaspekte von großer Bedeutung für große Unternehmen bzw. staatliche Infrastrukturen, z.B. die Verwendung von NFC, die Sicherheit von Smartcards (E-Card, Bankomatkarten) inklusive NFC, Rechenzentren...

Fokus auf Sicherheitsmanagement und der Fragestellung, welche Sicherheitsmaßnahmen funktionieren und welche nicht.

Ablauf[Bearbeiten | Quelltext bearbeiten]

Regelmäßige Gastvorträge, eine Einzelübung, eine Teamübung, und ein CTF-Contest im Team.

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten | Quelltext bearbeiten]

Vortrag[Bearbeiten | Quelltext bearbeiten]

Im SS2015 waren dies großteils Gast-Vortragende, die von der LVA-Leitung eingeladen wurden und jeweils die Security-Themen beleuchten, die in ihrem Bereich von Relevanz sind.

  • Chipkarten und RFID/NFC Technology & Security
  • Bundesrechenzentrum (ISMS)
  • SVC (österreichische E-Card)
  • gematik (deutsche Gesundheitstelematik)
  • BMI (E-Government Datenaustausch, Cyber-Security Aktivitäten in Österreich)

SS2020:

  • IT Security Challenges in Project Management Exemplified by POS and Telemetry Systems
  • Offensive Security and IT Risk in a Financial Institution
  • eHealth and Certification Aspects (deutsche Gesundheitstelematik)

Gastvorträge Pros: Sehr interessante Vortragende und Themen, Berichte aus der echten Praxis.

Gastvorträge Cons: Immer wieder kurzfristig ausfallende oder verschobene Vortragstermine, außerdem viele Informationen nur mündlich (karge Folien). Hier ist im Hinblick auf die Prüfung der Besuch der Vorträge und zumindest das Notieren von Stichworten sehr zu empfehlen.

Übungen[Bearbeiten | Quelltext bearbeiten]

lab0[Bearbeiten | Quelltext bearbeiten]

Ab der Abgabe wird ein Zeugnis für die LVA ausgestellt.

Kleine Einzelübung, den Umgang mit PGP unter Beweis stellen.

SS17: zusätzlich zur PGP-Einzelübung musste eine MD5-Kollision generiert werden

lab1[Bearbeiten | Quelltext bearbeiten]

Übung im 3er Team.

SS2015: Untersuchung eines (kompilierten) Java-Softwaremoduls auf Schwachstellen, implementieren von Proof-of-Concept-Code sowie Patches für diese. Weiterhin dann noch das Abschätzen der Kosten von den Securityfixes und die Beantwortung der Frage, was am kosten-effektivsten gewesen wäre: Behebung der Schwachstellen durch das Team (als Security-Consultants), durch die originalen Entwickler oder gar, die Schwachstellen überhaupt nicht zu beheben und die Risiken einzugehen.

SS2017: Schwachstellen finden in einer Binary und die zu fixen ohne Zugriff auf der Sourcecode. Weiters apache-Hardening, Text-adventure (also ein kleines textbasiertes RPG spielen und dazu Fragen zu beantworten), Bug-reporting-System aufsetzen und offene Fragen beantworten. (Nicht alle Aufgaben sind verpflichtend)

SS2021: Wieder eine Übung im 3er-Team, bei der es einige verpflichtende und einige freiwillige Aufgaben (für Zusatzpunkte) gab. Es musste u.a. ein Server abgesichert werden (z.B. Firewall), ein Textadventure konnte gespielt werden, und Fragen zu großen IT Infrastrukturen mussten ausgearbeitet werden. Zusätzlich musste man im Team ein selbst ausgesuchtes Thema erarbeiten und präsentieren. Hauptfrage des Prof nach dem Vortrag war stets: "Was hat das mit Large-IT zu tun?"

lab2: CTF[Bearbeiten | Quelltext bearbeiten]

ESSE Capture-the-Flag Contest an zwei Tagen im Inflab. Findet gemeinsam mit Teams der LVA Security for Systems Engineering statt, für eine genauere Beschreibung siehe dort. Da dies im Gegensatz dazu eine Master-LVA ist, erhalten die Teams weniger Punkte und sind kleiner (3 Personen statt 4). Auch hier ist für die Benotung im Rahmen der LVA nicht die erreichte Punktezahl sondern ausschließlich die Qualität des abgegebenen Berichtes von Bedeutung.

Prüfung, Benotung[Bearbeiten | Quelltext bearbeiten]

SS 2022: schriftlich. Selbst bei intensiver Vorbereitung mit ausführlichen Notizen zu den Vorlesungen ist es sehr wahrscheinlich, dass trotz Beantwortung aller Fragen das Prüfungsergebnis nicht über 65% liegen wird. Aus diesem Grund empfehle ich, wenn ein "Sehr gut" als Abschlussnote angestrebt wird, darauf hinzuarbeiten, dass bei allen anderen Leistungen (Übungen, Präsentation) 100% erreicht wird.

SS 2020: schriftlich.

Falls mündlich: eine Unterhaltung zu bestimmten Themen aus den Gastvorträgen, zu diesen wird relativ genau nachgefragt. Eine gute Vorbereitung ist notwendig, nur die Informationen aus den Folien zu kennen ist zu wenig. Man sollte sich in den Vorträgen Notizen gemacht haben.

Dauer der Zeugnisausstellung[Bearbeiten | Quelltext bearbeiten]

  • Prüfung am 25.06., Zeugnis ausgestellt am 06.08. (6 Wochen)
  • Prüfung am 24.06.2022, Zeugnis ausgestellt am 26.07.2022 (4,5 Wochen)

Zeitaufwand[Bearbeiten | Quelltext bearbeiten]

Eine Stunde für lab0, 10-25 Stunden für lab1, einen Tag im Labor für den CTF-Contest. Besuch der Vorträge und einen Tag Vorbereitung für die Prüfung.

Unterlagen[Bearbeiten | Quelltext bearbeiten]

Tipps[Bearbeiten | Quelltext bearbeiten]

  • Bei den Vorträgen Notizen machen
  • CTF Vorbereitung (Gutes Team, Scripting-Fu auf Vordermann bringen, evtl. ein CTF-Framework vorbereiten zum leichteren Automatisieren der Attacken)
  • Cyber Cyber

Verbesserungsvorschläge / Kritik[Bearbeiten | Quelltext bearbeiten]

Der Theorieteil der VU besteht eigentlich zum Großteil aus einem Buzzword-Bingo und ist somit eher nicht sehr spannend. Abwechslung bieten die Gastvorträge, diese verlieren sich aber in Details, welche nur einen Mehrwert bringen, wenn man auch in diesem Bereich arbeitet. Da die wenigsten Studenten später einmal im deutschen Gesundheits- oder Bankenbereich arbeiten werden sind viele Vorträge auch nur für einige wenige wirklich interessant.

Nahezu perfekt funktioniert jedoch der Übungsteil dieser besteht aus zwei sehr interessanten Labs und einem CTF-Contest. Fast alle Aufgaben in der Übung waren wirklich sehr spannend und interessant, auch die Teilnahme am CTF und die dabei absolvierten Exploits bringen einen absoluten Mehrwert und werden noch lange in Erinnerung bleiben.

Zusammenfassend ein grandioser Übungsteil begleitet von einem durchschnittlichen VO-Teil, dennoch eine absolute Empfehlung diese LVA zu absolvieren und vielleicht bekommt man den etwas hinterherhinkenden VO-Teil in Zukunft noch in den Griff und wirft das derzeitige Konzept in den VOs über den Haufen.