TU Wien:Introduction to Security VU (Brem)

Aus VoWi
Wechseln zu: Navigation, Suche
Ähnlich benannte LVAs (Materialien):

Daten[Bearbeiten]

Vortragende Christian Brem, Christian Schanes, Florian Fankhauser, Franz Mairhofer
ECTS 3
Abteilung Information Systems Engineering
Wann Wintersemester
Links tiss:183594, Homepage
Zuordnungen
Bachelor Wirtschaftsinformatik Pflichtmodul WIN/RSI - Recht und Sicherheit
Bachelor Medieninformatik und Visual Computing Wahlmodul Security
Bachelor Medizinische Informatik Pflichtmodul Informationssysteme des Gesundheitswesens
Bachelor Software & Information Engineering Pflichtmodul Security und Recht
Bachelor Technische Informatik Wahlmodul Verbreiterung Bakkalaureat Technische Informatik

Mattermost: Channel "introduction-to-security" Team invite & account creation link Mattermost-Infos

Inhalt[Bearbeiten]

Standard Security Sachen. Netzwerksicherheit, Programmsicherheit, Sicherheits-Grundschutzkatalog des BSI

Ablauf[Bearbeiten]

Vorlesung wöchentlich, 3 Übungen wobei die erste alleine und die folgenden beiden in Dreier/Vierergruppen gelöst werden muss

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten]

Keine

Vortrag[Bearbeiten]

Der Vortrag ist meistens sehr interessant, im WS 0809 gab es einen interessanten Gastvortrag zu Sicherheit an der Börse

Übungen[Bearbeiten]

  • Erste Übung: PGP Client und verschlüsselte Mail schicken und empfangen
  • Zweite Übung: Hacken einer Homepage mittels SQL- und Commandinjections und Knacken einer WLAN Kommunikation + Evaluierung der Daten (ähnlich einem CTF)
  • Schutzbedarfsfeststellung eines beliebigen realen Unternehmens nach Grundschutzkatalog des BSI
  • lab2.14ws: eine Präsentation für eine Awareness-Kampagne erstellen

WS 2016/17

  • lab0: PGP Client und Mail (20 Punkte)
  • lab1: So wie bei einem CTF Contest viele kleine Aufgaben in Vierergruppen. Es konnten Aufgaben im Rahmen von mehr als 40 Punkten gelöst werden, wobei die maximale Punktezahl nach dem Abgabegespräch bei 40 Punkten war
  • lab2: Erstellung einer Awareness- Kampagne und Vortrag im Rahmen des Abgabegespräches (40 Punkte)

Prüfung & Abgabegespräch, Benotung[Bearbeiten]

Prüfung[Bearbeiten]

Bei der Prüfung wird der Stoff der Vorlesung und der Übung gefragt, zum Teil auch ziemlich detailiert (viele Aufzählungen). Die Bewertung ist jedoch eher mild. (Hinweis: Folien zu Gastvortägen sind auch Stoff ;))

Meinungen[Bearbeiten]

WS11: Die Prüfung war sehr einfach, ein Teil hat sich nur oberflächlich mit Public Key Infrastracture beschäftigt. Eine Stunde lernen hat für einen 2er ausgereicht.

WS09/10: Die Prüfung und deren Benotung war keineswegs studentenfreundlich. Viele Detailfragen und eine strenge Bewertung. Auch durchfallen trotz zwei Tagen lernen ist möglich.

Prüfungsfragen waren schon eher detaillierter (es wurden (auch) Bedeutungen von Begriffen gefragt, die nur nebenbei einemal erwähnt werden in den Folien), Benotung war aber meiner Meinung nach sehr milde (hab relativ viel geraten und trotzdem positiv). 1,5h überfliegen der Folien reicht natürlich nicht. --For3st 16:45, 23. Jan. 2010 (CET)

WS10/11 (2. Test): Teilweise Erklärungen zu Begriffen gefragt, die oft in den VO-Folien nur genannt werden, aber nicht erklärt.

10.05.2011: Lauter kleine Fragen (in der Regel 2-3 Punkte pro Frage bei 100 Gesamtpunkten), die sich gleichmäßig über das gesamte Stoffgebiet verteilen. Wie immer 3 Fragen aus den Gastvorträgen, mehr als 7 Punkte konnte man damit nicht holen. Auch hier zum Teil Fragen zu Begriffen, die in den Folien nur gelistet aber nicht erklärt sind. Ansonsten eigentlich ziemlich locker, sehr viel Multiple Choice, was einem das Auswendig-Lernen etwas abnimmt. Zeit hat man auch mehr als genug. Wenn man einen guten Überblick hat, sollte der Test locker zu schaffen sein. Aufwand: 2x gesamte Folien durchlesen, 2x Zusammenfassung durchlesen.

WS2014/15:genauso, viele kleine Fragen. Manche waren Zwischenfragen aus der VL.

WS2016/17:Prüfung zum Haupttermin waren viele kleine Fragen über das gesamte Stoffgebiet. So wie im WS2014/15 auch Zwischenfragen aus der VL. Teilweise waren auch Definitionen von den Folien (z.B. Angriff nach Bishop, PDCA) gefragt. Wer die Vorlesung besucht hat, tat sich bei der Prüfung etwas leichter.

Abgabegespräch[Bearbeiten]

WS2018/19:[Bearbeiten]

Lab1:[Bearbeiten]

Das Abgabegespräch zum Lab1 fand mit zwei Personen (scheinbar einem Tutor und einem Institutsangehörigen) statt. Neben grundsätzlichen Fragen zur Vorgangsweise (wie habt ihr euch die Arbeit aufgeteilt, gab es Probleme) wurde auch Theorie gefragt. Unter anderem zu den Forensik-Beispielen (Welche Informationen können normalerweise aus Metadaten gelesen werden) und zu Proof-of-Work (Was sind die Eigenschaften von Hashes). Weiters wurde uns ein SQL-Statement auf eine Tabelle präsentiert, in dem wir spontan das Statement mit SQL-Injection so umändern sollten, dass auf eine andere Tabelle zugegriffen werden kann. Hier wurde uns aber sehr viel weitergeholfen und auch keine Punkte abgezogen.

Zusatz andere Gruppe: Bei uns kamen außerdem Fragen zu WEP/WPA(2) (was ist sicherer, was wird heute verwendet), wie kann ich mich in öffentlichen W-LAN-Netzwerken schützen? (HTTPS, VPN), Theorie zu SQL-Injections (wie kann ich mich schützen? Was wenn ich Prepared Statements nicht verwenden kann/möchte? Antw. Black- oder Whitelisting von Zeichen) Bei uns gab es Punkteabzüge bei einzelnen Mitgliedern, die die Fragen nicht beantworten konnten.

Andere Gruppe: Bei uns waren die Fragen im Vergleich dazu relativ einfach. Die zwei Theoriefragen bei uns waren "Braucht man nur das WLAN PW um mit Wireshark Pakete entschlüsseln zu können?" und "Wie schützt man sich vor SQL-Injections?". Abgesehen davon haben wir nur erklären müssen, wie und mit welchen Tools wir die Teilaufgaben gelöst haben.

Lab2:[Bearbeiten]

Die Präsentation bei Lab2 war recht gechillt. Wir hatten keinen Laptop mit, durften uns aber den des Tutoren ausborgen. Jeder hat seine fünf Minuten Vortrag gehalten und als wir fertig waren meinten die beiden (whsl. Tutor und Institutsangehöriger), dass wir alle Punkte bekommen. Unsere Zuhörer waren geistig nicht anwesend, was vielleicht daran lag, dass unser Termin am Nachmittag (16:00 Uhr) war.

Dauer der Zeugnisausstellung[Bearbeiten]

  • WS08: knapp über 1 Monat (Prüfung wurde jedoch am Prüfungstag korrigiert und die Noten sofort in TUWEL eingetragen)
  • WS09: über 1 Monat. Punkte wurden aber am nächsten Tag im Tuwel veröffentlicht.
  • WS11: Note wurde sofort im TUWEL eingetragen
  • WS15: Test am 22.01 um 18 Uhr. Punkte wurden am 23.01 um 4 Uhr früh eingetragen. Zeugnisse wurden am 8.März ausgestellt.
  • WS16: Test am 20.01 um 18 Uhr. Punkte wurden am 21.01 um 10 Uhr eingetragen.
  • WS18: Test am 18.01.2019 um 16 Uhr. Punkte wurden am 19.01.2019 um 6 Uhr in der Früh eingetragen. Zeugnisse wurden am 13. Februar 2019 ausgestellt.

Zeitaufwand[Bearbeiten]

  • Pro Übung sollte man ca 2 Tage einplanen
  • Prüfungsvorbereitung 2 Tage
  • WS2018: 2 Tage reichen auf keinen Fall

Unterlagen[Bearbeiten]

Foliensätze auf der HP

Tipps[Bearbeiten]

Die ersten beiden Übungen sind interessant/lustig und teilweise auch spannend, die dritte Übung ist jedoch ziemlich langweilig. BSI Standard Dokumente wälzen...

Verbesserungsvorschläge / Kritik[Bearbeiten]

noch offen