TU Wien:Introduction to Security VU (Brem)/Prüfung 2017-01-20
Zur Navigation springen
Zur Suche springen
Allgemeines[Bearbeiten | Quelltext bearbeiten]
Die Fragen waren mit an Sicherheit grenzender Wahrscheinlichkeit nicht genauso formuliert. Im Grunde war aber genau das gefragt wie hier wiedergegeben.
Es gab 32 Fragen, 30 davon haben wir reproduzieren können – wem noch welche einfallen bitte dazutun!
Fragen[Bearbeiten | Quelltext bearbeiten]
- Warum wird bei einem Zertifikat der Signatur-Algorithmus mit gespeichert und signiert? Welcher Angriff kann dadurch verhindert werden?
- Um Windows zu sichern können verschiedene Maßnahmen ergriffen werden. Eine davon ist Herabsetzung. Erklären Sie was damit gemeint ist.
- Was versteht man unter einer CSRF (Cross Site Request Forgery) Attack und wie kann sie verhindert werden. Helfen dieses Gegenmaßnahmen auch bei unverschlüsselte Verbindungen?
- Rootkits gibt es nur unter Linux (Ja/Nein)
- Erklären Sie den Unterschied zwischen dem IT-Sicherheitsbeauftragten und einem Datenschutzbeauftragten .
- Erklären Sie das Prinzip der Signierung. Welcher Key wird dabei von wem verwendet?
- Was versteht man unter hybrider Verschlüsselung und warum wird sie angewandt?
- Was versteht man unter einem Angriff nach Bishop?
- Erklären Sie PDCA. Wofür steht die Abkürzung und was bedeutet sie?
- Um mögliche Angriffsvektoren zu minimieren wird Hardening eingesetzt. Was sind die 3 Grundprinzipien davon?
- Nennen Sie 1 sicheres Passwort und begründen Sie es.
- Policies sind eine Methode der organisatorischen Sicherheit. Was ist das und warum sind sie relevant?
- Bei TCP ist es im Gegensatz zu UDP nicht möglich Broadcast Pakete zu versenden. Dadurch besteht auch keine Möglichkeit des Floodings. (Ja/Nein)
- Erklären sie folgende Begriffe aus dem Bereich des Social Engineerings: Soziale Bewährtheit, Konsistenz, Autorität
- In welchen Phasen der Softwareentwicklung müssen Bedrohungen und Risiken analysiert werden? (MC)
- Analyse
- Testing
- Betrieb
- Implementierung
- Welches sind Herausforderungen beim Software Testing nach Thompson “Why Security Testing is hard”
- Unveröffentlichte Seiteneffekte
- Unbekannte Seiteneffekte
- Falsch implementierte Funktionalität
- Veraltete Funktionalität
- Welches sind Möglichkeiten um Secure Code Review zu vereinfachen?
- einfaches Design
- einfache Implementierung
- automatisierte Reviews
- ???
- Jemand behauptet “die Sicherheitsgruppe sagt immer ‘Nein’”. Was können Sie dem entgegensetzen?
- Was ist ein Zertifikat im Kontext einer PKI?
- Zuordnung zwischen symmetrischen Schlüssel und Person
- Zusicherung der Vertraulichkeit des Private Keys
- Vertraulichkeit des public keys
- ???
- Was ist eine SQL-Injection und geben Sie ein Beispiel. Wie kann man sie verhindern?
- Nennen sie 3 Faktoren, welche die Bedrohlichkeit von Angreifern beeinflussen.
- Was versteht man unter dem CIA Triad?
- Welches sind Konzepte bei der Signaturprüfung?
- Hybridmodell
- Schachtelmodell
- Schalenmodell
- Signaturverifikation
- Wenn beim Senden von einem ICMP Paket die Antwort “Port Unreachable” zurückkommt, ist der Port nicht erreichbar. (Ja/Nein)
- Kann eine Firewall mit Stateful Packet Inspection eine SQL-Injection erkennen? Begründen Sie Ihre Antwort. (Ja/Nein + Begründung)
- Warum sind WLANs, welche mit WPA2 gesichert nicht unbedingt sicher? Wie können Sie angegriffen werden? Gegenmaßnahmen?
- Was ist eine Fail-Safe Konfiguration einer Firewall und warum?
- Mit RBAC lässt sich Separation of Privileges konfigurieren. (Ja/Nein)
- Wenn Passwörter mit einem Salt gehasht werden, muss dann beim Salt ebenfalls auf Geheimhaltung geachtet werden? Warum? (Ja/Nein + Begründung)
- Was versteht man unter “Least Privilege” und was sind die Hintergedanken davon?