TU Wien:Introduction to Security VU (Brem)

Aus VoWi
Zur Navigation springen Zur Suche springen
Ähnlich benannte LVAs (Materialien):

Daten[Bearbeiten | Quelltext bearbeiten]

Diese LVA wird nicht mehr von dieser Person angeboten, ist ausgelaufen, oder läuft aus und befindet sich daher nur noch zu historischen Zwecken im VoWi.
Vortragende Christian Brem, Christian Schanes, Florian Fankhauser, Franz Mairhofer
ECTS 3
Links tiss:183594 , Homepage
Zuordnungen
Bachelorstudium Wirtschaftsinformatik
Bachelorstudium Medieninformatik und Visual Computing
Bachelorstudium Medizinische Informatik
Bachelorstudium Software & Information Engineering
Bachelorstudium Technische Informatik

Mattermost: Channel "introduction-to-security"RegisterMattermost-Infos

Inhalt[Bearbeiten | Quelltext bearbeiten]

Standard Security Sachen. Netzwerksicherheit, Programmsicherheit, Sicherheits-Grundschutzkatalog des BSI

Ablauf[Bearbeiten | Quelltext bearbeiten]

Vorlesung wöchentlich, 3 Übungen wobei die erste alleine und die folgenden beiden in Dreier/Vierergruppen gelöst werden muss

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten | Quelltext bearbeiten]

Es sind zwar keine Vorkenntnisse notwendig aber gewisse Erfahrung im Bereich Security und/oder mit Scripting ist sehr von Vorteil!

Vortrag[Bearbeiten | Quelltext bearbeiten]

Der Vortrag ist meistens sehr interessant, im WS 0809 gab es einen interessanten Gastvortrag zu Sicherheit an der Börse

Übungen[Bearbeiten | Quelltext bearbeiten]

  • Erste Übung: PGP Client und verschlüsselte Mail schicken und empfangen
  • Zweite Übung: Hacken einer Homepage mittels SQL- und Commandinjections und Knacken einer WLAN Kommunikation + Evaluierung der Daten (ähnlich einem CTF)
  • Schutzbedarfsfeststellung eines beliebigen realen Unternehmens nach Grundschutzkatalog des BSI
  • lab2.14ws: eine Präsentation für eine Awareness-Kampagne erstellen

WS 2016/17

  • lab0: PGP Client und Mail (20 Punkte)
  • lab1: So wie bei einem CTF Contest viele kleine Aufgaben in Vierergruppen. Es konnten Aufgaben im Rahmen von mehr als 40 Punkten gelöst werden, wobei die maximale Punktezahl nach dem Abgabegespräch bei 40 Punkten war
  • lab2: Erstellung einer Awareness- Kampagne und Vortrag im Rahmen des Abgabegespräches (40 Punkte)

WS 2019/2020: Wie im WS 2016/17

WS 2021/2022: Anstatt einer Awareness-Kampagne wird bei Lab2 nun ein weiterer CTF Contest veranstaltet, wie bei Lab1

Prüfung & Abgabegespräch, Benotung[Bearbeiten | Quelltext bearbeiten]

Prüfung[Bearbeiten | Quelltext bearbeiten]

Bei der Prüfung wird der Stoff der Vorlesung und der Übung gefragt, zum Teil auch ziemlich detailiert (viele Aufzählungen). Die Bewertung ist jedoch eher mild. (Hinweis: Folien zu Gastvortägen sind auch Stoff ;))

Meinungen[Bearbeiten | Quelltext bearbeiten]

WS11: Die Prüfung war sehr einfach, ein Teil hat sich nur oberflächlich mit Public Key Infrastracture beschäftigt. Eine Stunde lernen hat für einen 2er ausgereicht.

WS09/10: Die Prüfung und deren Benotung war keineswegs studentenfreundlich. Viele Detailfragen und eine strenge Bewertung. Auch durchfallen trotz zwei Tagen lernen ist möglich.

Prüfungsfragen waren schon eher detaillierter (es wurden (auch) Bedeutungen von Begriffen gefragt, die nur nebenbei einemal erwähnt werden in den Folien), Benotung war aber meiner Meinung nach sehr milde (hab relativ viel geraten und trotzdem positiv). 1,5h überfliegen der Folien reicht natürlich nicht. --For3st 16:45, 23. Jan. 2010 (CET)

WS10/11 (2. Test): Teilweise Erklärungen zu Begriffen gefragt, die oft in den VO-Folien nur genannt werden, aber nicht erklärt.

10.05.2011: Lauter kleine Fragen (in der Regel 2-3 Punkte pro Frage bei 100 Gesamtpunkten), die sich gleichmäßig über das gesamte Stoffgebiet verteilen. Wie immer 3 Fragen aus den Gastvorträgen, mehr als 7 Punkte konnte man damit nicht holen. Auch hier zum Teil Fragen zu Begriffen, die in den Folien nur gelistet aber nicht erklärt sind. Ansonsten eigentlich ziemlich locker, sehr viel Multiple Choice, was einem das Auswendig-Lernen etwas abnimmt. Zeit hat man auch mehr als genug. Wenn man einen guten Überblick hat, sollte der Test locker zu schaffen sein. Aufwand: 2x gesamte Folien durchlesen, 2x Zusammenfassung durchlesen.

WS2014/15:genauso, viele kleine Fragen. Manche waren Zwischenfragen aus der VL.

WS2016/17:Prüfung zum Haupttermin waren viele kleine Fragen über das gesamte Stoffgebiet. So wie im WS2014/15 auch Zwischenfragen aus der VL. Teilweise waren auch Definitionen von den Folien (z.B. Angriff nach Bishop, PDCA) gefragt. Wer die Vorlesung besucht hat, tat sich bei der Prüfung etwas leichter.

WS2022: Ich brauchte zwei Versuche, um die Prüfung zu bestehen. Beim ersten Versuch habe ich 5 Tage lang gelernt und 43 Punkte erreicht. Beim zweiten Versuch habe ich etwa 10 Tage lang gelernt und über 60 Punkte erreicht.

Prüfung auf jeden Fall nicht unterschätzen. Der Professor erwartet die genauen Definitionen, no bullshitting oder Vermutungen. Darüber hinaus stellt er manchmal sehr obskure Fragen, so dass es nicht ausreicht, Folien einmal zu lesen oder mehrere Male ohne Verständnis. Also blöd auswendiglernen bringt nix. Er stellt oft Fragen zu Themen, die er in den Folien nicht näher erläutert hat. Mein Favorit war „Was sind Rainbowtables und zusammnehang mit Salts?“. Rainbowtables wurde nur einmal auf 470 Folienseiten erwähnt und mit „erwähnt“ meine ich, dass das Wort „Rainbowtables“ dort einmal ohne weitere elaboration stand. Es gibt auch kein Skriptum und die Vorlesung wird nicht aufgezeichnet.

Prüfung Tips:

Folien lesen und alles ausarbeiten. Ich habe zusätzlich youtube videos geschaut.

Abgabegespräch[Bearbeiten | Quelltext bearbeiten]

WS 2019/20: Ablauf genauso wie im Jahr davor. Das Klima bei den Gesprächen ist sehr angenehm.

WS2018/19:[Bearbeiten | Quelltext bearbeiten]

Lab1:[Bearbeiten | Quelltext bearbeiten]

Das Abgabegespräch zum Lab1 fand mit zwei Personen (scheinbar einem Tutor und einem Institutsangehörigen) statt. Neben grundsätzlichen Fragen zur Vorgangsweise (wie habt ihr euch die Arbeit aufgeteilt, gab es Probleme) wurde auch Theorie gefragt. Unter anderem zu den Forensik-Beispielen (Welche Informationen können normalerweise aus Metadaten gelesen werden) und zu Proof-of-Work (Was sind die Eigenschaften von Hashes). Weiters wurde uns ein SQL-Statement auf eine Tabelle präsentiert, in dem wir spontan das Statement mit SQL-Injection so umändern sollten, dass auf eine andere Tabelle zugegriffen werden kann. Hier wurde uns aber sehr viel weitergeholfen und auch keine Punkte abgezogen.

Zusatz andere Gruppe: Bei uns kamen außerdem Fragen zu WEP/WPA(2) (was ist sicherer, was wird heute verwendet), wie kann ich mich in öffentlichen W-LAN-Netzwerken schützen? (HTTPS, VPN), Theorie zu SQL-Injections (wie kann ich mich schützen? Was wenn ich Prepared Statements nicht verwenden kann/möchte? Antw. Black- oder Whitelisting von Zeichen) Bei uns gab es Punkteabzüge bei einzelnen Mitgliedern, die die Fragen nicht beantworten konnten.

Andere Gruppe: Bei uns waren die Fragen im Vergleich dazu relativ einfach. Die zwei Theoriefragen bei uns waren "Braucht man nur das WLAN PW um mit Wireshark Pakete entschlüsseln zu können?" und "Wie schützt man sich vor SQL-Injections?". Abgesehen davon haben wir nur erklären müssen, wie und mit welchen Tools wir die Teilaufgaben gelöst haben.

WS19: Das Abgabegespräch fand wieder mit 2 Leuten statt, und war überaus human gehalten. Alle Fragen hatten einen Bezug zu den ausgearbeiteten Übungen (z.B. war eine Frage, was XSS überhaupt ist), ein grober Überblick über die Theorie hat bereits völlig ausgereicht, um keine Punkte zu verlieren.

Lab2:[Bearbeiten | Quelltext bearbeiten]

Die Präsentation bei Lab2 war recht gechillt. Wir hatten keinen Laptop mit, durften uns aber den des Tutoren ausborgen. Jeder hat seine fünf Minuten Vortrag gehalten und als wir fertig waren meinten die beiden (whsl. Tutor und Institutsangehöriger), dass wir alle Punkte bekommen. Unsere Zuhörer waren geistig nicht anwesend, was vielleicht daran lag, dass unser Termin am Nachmittag (16:00 Uhr) war.

Dauer der Zeugnisausstellung[Bearbeiten | Quelltext bearbeiten]

  • WS08: knapp über 1 Monat (Prüfung wurde jedoch am Prüfungstag korrigiert und die Noten sofort in TUWEL eingetragen)
  • WS09: über 1 Monat. Punkte wurden aber am nächsten Tag im Tuwel veröffentlicht.
  • WS11: Note wurde sofort im TUWEL eingetragen
  • WS15: Test am 22.01 um 18 Uhr. Punkte wurden am 23.01 um 4 Uhr früh eingetragen. Zeugnisse wurden am 8.März ausgestellt.
  • WS16: Test am 20.01 um 18 Uhr. Punkte wurden am 21.01 um 10 Uhr eingetragen.
  • WS18: Test am 18.01.2019 um 16 Uhr. Punkte wurden am 19.01.2019 um 6 Uhr in der Früh eingetragen. Zeugnisse wurden am 13. Februar 2019 ausgestellt.

Zeitaufwand[Bearbeiten | Quelltext bearbeiten]

  • Pro Übung sollte man ca 2 Tage einplanen
  • Prüfungsvorbereitung 2 Tage
  • WS2018: 2 Tage reichen auf keinen Fall
  • WS2019: würde auch sagen, dass 2 Tage nicht ausreichend sind. Habe bei wenig Vorkenntnisse ca. eine Woche gemütlich gelernt (jeweils 2-4 Stunden am Tag)

Unterlagen[Bearbeiten | Quelltext bearbeiten]

Foliensätze auf der HP

Tipps[Bearbeiten | Quelltext bearbeiten]

Die ersten beiden Übungen sind interessant/lustig und teilweise auch spannend, die dritte Übung ist jedoch ziemlich langweilig. BSI Standard Dokumente wälzen...

Aussage bei der Prüfung von einem Vorlesenden: "Veröffentlichte Prüfungsfragen werden bei uns im System markiert und werden bei zukünftigen Prüfungen nicht mehr kommen. Überlegen sie sich also zweimal ob sie die Fragen veröffentlichen" inwieweit das stimmt oder nicht sei dahingestellt.

Bei den CTF Contests unbedingt bald genug anfangen. Wenn man wo nicht weiter kommt, bleibt dann noch Zeit um nach Hilfe bei Kolleg_innen zu fragen. Die Lehrveranstaltungsleitung kommt hier den Studierenden sehr entgegen und gibt auch Tipps auf Anfrage.

Verbesserungsvorschläge / Kritik[Bearbeiten | Quelltext bearbeiten]

noch offen