192.019 Einführung in Security
Diese Lehrveranstaltung ist in allen zugeordneten Curricula Teil der STEOP.
Diese Lehrveranstaltung ist in mindestens einem zugeordneten Curriculum Teil der STEOP.

2024S, VU, 4.0h, 6.0EC
TUWEL

Merkmale

  • Semesterwochenstunden: 4.0
  • ECTS: 6.0
  • Typ: VU Vorlesung mit Übung
  • Format der Abhaltung: Präsenz

Lernergebnisse

Nach positiver Absolvierung der Lehrveranstaltung sind Studierende in der Lage:

  • typische Sicherheitsanfälligkeiten in Anwendungen und Computersystemen zu identifizieren und deren Auswirkungen zu schätzen;
  • sichere Programmierpraktiken, Analysetechniken und Schutzmechanismen während der Entwicklungs- und Bereitstellungsphase von Software und Computersystemen einzusetzen;
  • kryptographische Algorithmen je nach gewünschten Sicherheitsgewährleistungen auszuwählen und effektiv anzuwenden.

Inhalt der Lehrveranstaltung

  • Grundlegende Sicherheitsprinzipien (Vertraulichkeit, Unversehrtheit, Verfügbarkeit) und Designrichtlinie für sichere Systeme
  • Grundlagen der Kryptographie: symmetrische und asymmetrische Verschlüsselungsalgorithmen, Betriebsarten, Auffüllungsalgorithmen, Hashfunktionen, Message Authentication Codes, digitale Signaturen, Schlüsselaustauschprotokolle, authentifizierte Verschlüsselung
  • Public-Key-Infrastrukturen (digitale Zertifikate, Bestandteile einer PKI, Certificate Transparency) und das TLS-Protokoll
  • Authentifizierungsmechanismen (Passwörter, OTP, Challenge-Response-Verfahren, Biometrie) und Zugriffskontrollmechanismen (Zugriffskontrollmatrix, ACL, Capabilities)
  • Netzwerksicherheit: Reflektion- und Verstärkungsangriffe, Spoofing, Firewall-Systeme, VPN, Tor
  • Websicherheit: Grundlagen (Sprachen im Web, das HTTP-Protokoll, Cookies, Same-Origin-Policy, Framing, Web-Sitzungen), serverseitige Angriffe (SQL und NoSQL Injections, Befehlsinjektionsangriffe, Path-Traversal, Schwachstellen bei Zugriffskontrollen und in der Geschäftslogik), clientseitige Angriffe (Cross-Site-Request-Forgery, Cross-Site-Scripting, DOM-Clobbering), Gegenmaßnahmen (Tokenization, Prepared Statements, usw.), Sicherheitsrichtlinien (CSP, CORS), Tools zum Testen und Ausnutzen von Webanwendungen (Burp Suite)
  • Systemsicherheit: Grundlagen (Einführung in die Sprachen C und Assembly x86-64, Debugger, weitere Werkzeuge zur Programmanalyse), grundlegende Speicherangriffe (Überschreibung von Variablen und Funktionszeigern, Shellcode), rücksprungsorientierte Programmierung, GOT-Überschreibung, Gegenmaßnahmen gegen Overflow-Sicherheitslücken (DEP, Stack Canaries, ASLR, PIE), Werkzeuge und Bibliotheken zum Entwickeln von binären Exploits
  • Analysetechniken zur Verifikation von Anwendungen und Computersystemen

Methoden

In diesem Semester wird die Lehrveranstaltung in Präsenz abgehalten. In den im Hörsaal stattfindenden Vorlesungen werden die oben aufgelisteten Themen erklärt und praktische Beispiele besprochen.

Die Studierenden werden gefordert, einige Hausaufgaben zu lösen, um die im Kurs erlernten Konzepte zu vertiefen und zu üben. Bei jeder Hausaufgabe handelt es sich typischerweise um eine von Sicherheitslücken betroffene Anwendung, die die Studierenden ausnutzen sollen, um Zugriff auf eine Flagge zu erhalten, die den Beweis eines erfolgreichen Hacking-Versuchs darstellt. Für jede Hausaufgabe müssen die Studierenden einige Fragen beantworten, wo es beschrieben wird, wie sie das jeweilige Problem gelöst haben und wie die ausgenutzte Sicherheitslücke geschlossen werden kann.

Wir bieten zusätzlich Tutor-Hours an, wo die Studierenden Unterstützung beim Lösen ihrer Aufgaben durch TutorInnen bekommen können. Diese Termine können sowohl vor Ort als auch online besucht werden.

Prüfungsmodus

Prüfungsimmanent

Weitere Informationen

ECTS Aufschlüsselung (6 ECTS = 150 Stunden)

Vorlesung (27 Stunden)
Hausaufgaben (90 Stunden)
Prüfungsvorbereitung (30 Stunden)
Prüfung (3 Stunden)

Vortragende Personen

Institut

LVA Termine

TagZeitDatumOrtBeschreibung
Mo.14:00 - 16:0011.03.2024 - 10.06.2024Informatikhörsaal - ARCH-INF Vorlesung
Do.14:00 - 16:0014.03.2024 - 13.06.2024Informatikhörsaal - ARCH-INF Vorlesung
Einführung in Security - Einzeltermine
TagDatumZeitOrtBeschreibung
Mo.11.03.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.14.03.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.18.03.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.21.03.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.08.04.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.11.04.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.15.04.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.22.04.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.29.04.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.02.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.06.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.13.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.16.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.23.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.27.05.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.03.06.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.06.06.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Mo.10.06.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung
Do.13.06.202414:00 - 16:00Informatikhörsaal - ARCH-INF Vorlesung

Leistungsnachweis

Die Beurteilung setzt sich aus den Bewertungen der Hausaufgaben und den Ergebnissen von Tests zum Kursinhalt zusammen. 

Tests finden im Hörsaal statt: Falls dies nicht möglich sein sollte (z.B. aufgrund einer Betriebsbeschränkung oder eines Lockdowns), dann werden die Tests online über Zoom-Meetings erfolgen und eine Kamera (entweder am Laptop oder an einem zusätzlichen Gerät, z.B. einem Handy) muss während der gesamten Prüfung eingeschaltet sein.

Prüfungen

TagZeitDatumOrtPrüfungsmodusAnmeldefristAnmeldungPrüfung
Do.16:00 - 18:0025.04.2024FH Hörsaal 1 - MWB schriftlich01.04.2024 00:00 - 22.04.2024 23:59in TISS1. Test
Do.16:00 - 18:0025.04.2024GM 1 Audi. Max.- ARCH-INF schriftlich01.04.2024 00:00 - 22.04.2024 23:59in TISS1. Test
Mo.16:00 - 18:0017.06.2024EI 7 Hörsaal - ETIT schriftlich20.05.2024 00:00 - 13.06.2024 23:59in TISS2. Test
Mo.16:00 - 18:0017.06.2024GM 1 Audi. Max.- ARCH-INF schriftlich20.05.2024 00:00 - 13.06.2024 23:59in TISS2. Test
Di.10:00 - 12:0017.09.2024GM 2 Radinger Hörsaal - TCH schriftlich01.08.2024 00:00 - 13.09.2024 23:59in TISS1. Test - Retake
Di.10:00 - 12:0017.09.2024GM 5 Praktikum HS- TCH schriftlich01.08.2024 00:00 - 13.09.2024 23:59in TISS1. Test - Retake
Di.10:00 - 12:0017.09.2024Informatikhörsaal - ARCH-INF schriftlich01.08.2024 00:00 - 13.09.2024 23:59in TISS1. Test - Retake
Mo.10:00 - 12:0030.09.2024FH Hörsaal 1 - MWB schriftlich01.08.2024 00:00 - 26.09.2024 23:59in TISS2. Test - Retake
Mo.10:00 - 12:0030.09.2024Informatikhörsaal - ARCH-INF schriftlich01.08.2024 00:00 - 26.09.2024 23:59in TISS2. Test - Retake

LVA-Anmeldung

Von Bis Abmeldung bis
12.02.2024 00:00 14.03.2024 23:59 14.03.2024 23:59

Curricula

StudienkennzahlVerbindlichkeitSemesterAnm.Bed.Info
033 521 Informatik Pflichtfach4. SemesterSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP
033 526 Wirtschaftsinformatik Pflichtfach5. SemesterSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP
033 532 Medieninformatik und Visual Computing Gebundenes WahlfachSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP
033 533 Medizinische Informatik Pflichtfach5. SemesterSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP
033 534 Software & Information Engineering Pflichtfach4. SemesterSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP
033 535 Technische Informatik Gebundenes WahlfachSTEOP
Lehrveranstaltung erfordert die Erfüllung der Studieneingangs- und Orientierungsphase STEOP

Literatur

Es wird kein Skriptum zur Lehrveranstaltung angeboten.

Vorkenntnisse

Keine

Sprache

Englisch