TU Wien:Introduction to Security VU (Brem)

From VoWi
Jump to navigation Jump to search
Similarly named LVAs (Resources):

Daten[edit | edit source]

Lecturers Christian Brem, Christian Schanes, Florian Fankhauser, Franz Mairhofer
ECTS 3
Department Information Systems Engineering
When winter semester
Links tiss:183594, Homepage
Zuordnungen
Bachelor Wirtschaftsinformatik Pflichtmodul WIN/RSI - Recht und Sicherheit
Bachelor Medieninformatik und Visual Computing Wahlmodul Security
Bachelor Medizinische Informatik Pflichtmodul Informationssysteme des Gesundheitswesens
Bachelor Software & Information Engineering Pflichtmodul Security und Recht
Bachelor Technische Informatik Wahlmodul Verbreiterung Bakkalaureat Technische Informatik

Mattermost: Channel "introduction-to-security"RegisterMattermost-Infos

Inhalt[edit | edit source]

Standard Security Sachen. Netzwerksicherheit, Programmsicherheit, Sicherheits-Grundschutzkatalog des BSI

Ablauf[edit | edit source]

Vorlesung wöchentlich, 3 Übungen wobei die erste alleine und die folgenden beiden in Dreier/Vierergruppen gelöst werden muss

Benötigte/Empfehlenswerte Vorkenntnisse[edit | edit source]

Es sind zwar keine Vorkenntnisse notwendig aber gewisse Erfahrung im Bereich Security und/oder mit Scripting ist sehr von Vorteil!

Vortrag[edit | edit source]

Der Vortrag ist meistens sehr interessant, im WS 0809 gab es einen interessanten Gastvortrag zu Sicherheit an der Börse

Übungen[edit | edit source]

  • Erste Übung: PGP Client und verschlüsselte Mail schicken und empfangen
  • Zweite Übung: Hacken einer Homepage mittels SQL- und Commandinjections und Knacken einer WLAN Kommunikation + Evaluierung der Daten (ähnlich einem CTF)
  • Schutzbedarfsfeststellung eines beliebigen realen Unternehmens nach Grundschutzkatalog des BSI
  • lab2.14ws: eine Präsentation für eine Awareness-Kampagne erstellen

WS 2016/17

  • lab0: PGP Client und Mail (20 Punkte)
  • lab1: So wie bei einem CTF Contest viele kleine Aufgaben in Vierergruppen. Es konnten Aufgaben im Rahmen von mehr als 40 Punkten gelöst werden, wobei die maximale Punktezahl nach dem Abgabegespräch bei 40 Punkten war
  • lab2: Erstellung einer Awareness- Kampagne und Vortrag im Rahmen des Abgabegespräches (40 Punkte)

WS 2019/2020: Wie im WS 2016/17

WS 2021/2022: Anstatt einer Awareness-Kampagne wird bei Lab2 nun ein weiterer CTF Contest veranstaltet, wie bei Lab1

Prüfung & Abgabegespräch, Benotung[edit | edit source]

Prüfung[edit | edit source]

Bei der Prüfung wird der Stoff der Vorlesung und der Übung gefragt, zum Teil auch ziemlich detailiert (viele Aufzählungen). Die Bewertung ist jedoch eher mild. (Hinweis: Folien zu Gastvortägen sind auch Stoff ;))

Meinungen[edit | edit source]

WS11: Die Prüfung war sehr einfach, ein Teil hat sich nur oberflächlich mit Public Key Infrastracture beschäftigt. Eine Stunde lernen hat für einen 2er ausgereicht.

WS09/10: Die Prüfung und deren Benotung war keineswegs studentenfreundlich. Viele Detailfragen und eine strenge Bewertung. Auch durchfallen trotz zwei Tagen lernen ist möglich.

Prüfungsfragen waren schon eher detaillierter (es wurden (auch) Bedeutungen von Begriffen gefragt, die nur nebenbei einemal erwähnt werden in den Folien), Benotung war aber meiner Meinung nach sehr milde (hab relativ viel geraten und trotzdem positiv). 1,5h überfliegen der Folien reicht natürlich nicht. --For3st 16:45, 23. Jan. 2010 (CET)

WS10/11 (2. Test): Teilweise Erklärungen zu Begriffen gefragt, die oft in den VO-Folien nur genannt werden, aber nicht erklärt.

10.05.2011: Lauter kleine Fragen (in der Regel 2-3 Punkte pro Frage bei 100 Gesamtpunkten), die sich gleichmäßig über das gesamte Stoffgebiet verteilen. Wie immer 3 Fragen aus den Gastvorträgen, mehr als 7 Punkte konnte man damit nicht holen. Auch hier zum Teil Fragen zu Begriffen, die in den Folien nur gelistet aber nicht erklärt sind. Ansonsten eigentlich ziemlich locker, sehr viel Multiple Choice, was einem das Auswendig-Lernen etwas abnimmt. Zeit hat man auch mehr als genug. Wenn man einen guten Überblick hat, sollte der Test locker zu schaffen sein. Aufwand: 2x gesamte Folien durchlesen, 2x Zusammenfassung durchlesen.

WS2014/15:genauso, viele kleine Fragen. Manche waren Zwischenfragen aus der VL.

WS2016/17:Prüfung zum Haupttermin waren viele kleine Fragen über das gesamte Stoffgebiet. So wie im WS2014/15 auch Zwischenfragen aus der VL. Teilweise waren auch Definitionen von den Folien (z.B. Angriff nach Bishop, PDCA) gefragt. Wer die Vorlesung besucht hat, tat sich bei der Prüfung etwas leichter.

Abgabegespräch[edit | edit source]

WS 2019/20: Ablauf genauso wie im Jahr davor. Das Klima bei den Gesprächen ist sehr angenehm.

WS2018/19:[edit | edit source]

Lab1:[edit | edit source]

Das Abgabegespräch zum Lab1 fand mit zwei Personen (scheinbar einem Tutor und einem Institutsangehörigen) statt. Neben grundsätzlichen Fragen zur Vorgangsweise (wie habt ihr euch die Arbeit aufgeteilt, gab es Probleme) wurde auch Theorie gefragt. Unter anderem zu den Forensik-Beispielen (Welche Informationen können normalerweise aus Metadaten gelesen werden) und zu Proof-of-Work (Was sind die Eigenschaften von Hashes). Weiters wurde uns ein SQL-Statement auf eine Tabelle präsentiert, in dem wir spontan das Statement mit SQL-Injection so umändern sollten, dass auf eine andere Tabelle zugegriffen werden kann. Hier wurde uns aber sehr viel weitergeholfen und auch keine Punkte abgezogen.

Zusatz andere Gruppe: Bei uns kamen außerdem Fragen zu WEP/WPA(2) (was ist sicherer, was wird heute verwendet), wie kann ich mich in öffentlichen W-LAN-Netzwerken schützen? (HTTPS, VPN), Theorie zu SQL-Injections (wie kann ich mich schützen? Was wenn ich Prepared Statements nicht verwenden kann/möchte? Antw. Black- oder Whitelisting von Zeichen) Bei uns gab es Punkteabzüge bei einzelnen Mitgliedern, die die Fragen nicht beantworten konnten.

Andere Gruppe: Bei uns waren die Fragen im Vergleich dazu relativ einfach. Die zwei Theoriefragen bei uns waren "Braucht man nur das WLAN PW um mit Wireshark Pakete entschlüsseln zu können?" und "Wie schützt man sich vor SQL-Injections?". Abgesehen davon haben wir nur erklären müssen, wie und mit welchen Tools wir die Teilaufgaben gelöst haben.

WS19: Das Abgabegespräch fand wieder mit 2 Leuten statt, und war überaus human gehalten. Alle Fragen hatten einen Bezug zu den ausgearbeiteten Übungen (z.B. war eine Frage, was XSS überhaupt ist), ein grober Überblick über die Theorie hat bereits völlig ausgereicht, um keine Punkte zu verlieren.

Lab2:[edit | edit source]

Die Präsentation bei Lab2 war recht gechillt. Wir hatten keinen Laptop mit, durften uns aber den des Tutoren ausborgen. Jeder hat seine fünf Minuten Vortrag gehalten und als wir fertig waren meinten die beiden (whsl. Tutor und Institutsangehöriger), dass wir alle Punkte bekommen. Unsere Zuhörer waren geistig nicht anwesend, was vielleicht daran lag, dass unser Termin am Nachmittag (16:00 Uhr) war.

Dauer der Zeugnisausstellung[edit | edit source]

  • WS08: knapp über 1 Monat (Prüfung wurde jedoch am Prüfungstag korrigiert und die Noten sofort in TUWEL eingetragen)
  • WS09: über 1 Monat. Punkte wurden aber am nächsten Tag im Tuwel veröffentlicht.
  • WS11: Note wurde sofort im TUWEL eingetragen
  • WS15: Test am 22.01 um 18 Uhr. Punkte wurden am 23.01 um 4 Uhr früh eingetragen. Zeugnisse wurden am 8.März ausgestellt.
  • WS16: Test am 20.01 um 18 Uhr. Punkte wurden am 21.01 um 10 Uhr eingetragen.
  • WS18: Test am 18.01.2019 um 16 Uhr. Punkte wurden am 19.01.2019 um 6 Uhr in der Früh eingetragen. Zeugnisse wurden am 13. Februar 2019 ausgestellt.

Zeitaufwand[edit | edit source]

  • Pro Übung sollte man ca 2 Tage einplanen
  • Prüfungsvorbereitung 2 Tage
  • WS2018: 2 Tage reichen auf keinen Fall
  • WS2019: würde auch sagen, dass 2 Tage nicht ausreichend sind. Habe bei wenig Vorkenntnisse ca. eine Woche gemütlich gelernt (jeweils 2-4 Stunden am Tag)

Unterlagen[edit | edit source]

Foliensätze auf der HP

Tipps[edit | edit source]

Die ersten beiden Übungen sind interessant/lustig und teilweise auch spannend, die dritte Übung ist jedoch ziemlich langweilig. BSI Standard Dokumente wälzen...

Aussage bei der Prüfung von einem Vorlesenden: "Veröffentlichte Prüfungsfragen werden bei uns im System markiert und werden bei zukünftigen Prüfungen nicht mehr kommen. Überlegen sie sich also zweimal ob sie die Fragen veröffentlichen" inwieweit das stimmt oder nicht sei dahingestellt.

Bei den CTF Contests unbedingt bald genug anfangen. Wenn man wo nicht weiter kommt, bleibt dann noch Zeit um nach Hilfe bei Kolleg_innen zu fragen. Die Lehrveranstaltungsleitung kommt hier den Studierenden sehr entgegen und gibt auch Tipps auf Anfrage.

Verbesserungsvorschläge / Kritik[edit | edit source]

noch offen