Lockere Atmosphäre, Stift und Papier liegen bereit. Hinweis, dass man wenn man die Antwort nicht weis nicht „drum rum“ reden soll.

Fach: Angewandte IT-Sicherheit

Prüfer: Prof. Freiling

Beisitzer: Nadina Hintz

Note: 1,7

Frage 1: Mit welchem Thema möchten Sie anfangen?

Antwort: Softwaresicherheit

Frage 2: Was ist ihre Lieblinsschwachstelle?

Antwort: Integeroverflow

Frage 3: Erzählen Sie einfach mal was über den Overflow und wie man diesen erzeugen kann.

Antwort: Verschiedene Bitgrößen in Programmiersprachen, signed und unsigned, Upcast/Downcast, teilweise mit Beispielen untermauert, anschließend ein Beispiel für einen Overflow anhand eines sigend Integers gezeigt

Frage 4: Wie kann man Integeroverflows verhindern?

Antwort: Indices, Buffer beachten, Beim Testen kritische Größen prüfen

Frage 5: Wir hatten noch weiter Schwachstellen, wie z.B. Cross-Site-Scripting. Erkären sie wie man diese Angriffe durchführt?

Antwort: Unzureichende Filtertung von Benutzereingaben, üblicherweise Java-Script-Code, der ausgeführt wird, Benutzer lädt Code unbewusst im Hintergrund, Server-seitig, sprich persistent CSS zum Beispiel bei Gästebucheinträge, welche von anderen Benutzern geladen werden.

Frage 6: Welche andere Arten von CSS gibt es noch?

Antwort: Persistent CSS, Anfrage-Antwort-Paar, Clientseitig.

Frage 7: Wie kann man wenn man irgendwelche persönlichen Daten oder wertvollen Informationen ergattert hat, diese zu Geld machen?

Antwort: Verkauf an Softwareunternehmen, wenn es persönliche Daten sind, dann verkauf an Werbeunternehmen.

Frage 8: Wie kann man z.B. bei Phishing menschliche Verhaltensweisen ausnutzen, bzw. welche Prinzipien gibt es?

Antwort: Gruppenzwang (Monte), Schutz des eigenen PCs (E-Mail an Opfer Pc mit Virus befallen → Tool installieren → Kompromitierung des PCs), Habgier (lukrative Angebote, billige Uhr).

Frage 9: Ist es eine Straftat wenn man versucht diese Daten von einem anderen weiterzuverkaufen?

Antwort: Ja §202c, Vorbreiten der Tat ist bereits strafbar.

Frage 10: Wenn man die Daten nun weiterverkauft, welche Unterscheidungen kann man beim Verkaufen treffen?

Antwort: illegaler Verkauf der Daten z.B. an die Mafia, legaler, aber nicht ethisch vertretbarer Verkauf z.B. an den BND.

Frage 11: Hängt der §303a mit dem §202c zusammen?

Antwort: Ja.

Frage 12: Welche Anonymitätstechniken gibt es?

Antwort: Identität fälschen (MAC, IP), Proxy (Proxy zwischenschalten), MIX (Mehrer Proxy, die eine Anfrage bearbeiten)

Frage 13: Was ist TOR?

Antwort: leer ( Das wusste ich leider gar nicht → Beim Lernen übersehen)  Es handelt sich um ein Anonymisierungsnetzwerk

Frage 14: Was ist ein Tunnel im Netzwerk?

Antwort: Sichere Übertragung von Informationen, Verwendung von z.B. VPN für eine Verbindung auf ein anderes System (z.B. Verbinden von daheim auf die UNI)

Frage 15: Welche Adresse wird bei einer solchen VPN-Verbindung angezeigt?

Antwort: Eine Addresse der UNI, auch eine Art von Anonymisierungstechnik

Frage 16: Warum ist es allgemein einfacher Schaden über die IT-Infrastruktur anzurichten?

Antwort: Menschen kenn sich grundsätzlich alle mit dem Alltag und verbundenen Gefahren aus. In der IT sind nicht alle Menschen traniert und kennen sich auch nicht so gut aus oder wissen nicht was Angriffe sind.

Frage 17: Ok, nehmen wir mal an es sind 50 Jahre vergangen und selbst Kinder wissen was Sicherheitslücken und Schwachstellen sind, wie sieht es dann aus?

Antwort: Naturgesetzte, Automatisierbarkeit, Kopierbarkeit (Original, Kopie nicht unterscheidbar), räumliche Entgrenzung (Zugriff von überall her möglich), Komplexität (Schnüffelsoftware Staat, Schwachstellen, Sicherheitslücken)

- Ich habe mir alle Vorlesungsvideos angeschaut, sowie die Videos zur Übung

- Eine Zusammenfassung geschrieben um das Ganze besser zu verstehen

- Es empfiehlt sich alle Videos anzuschauen, man sollte auch die komplexeren Beispiele in den Vorlesungen verstanden haben.

- Die Übungen sollte man auch verstanden haben. Dabei langt es wenn man es grundlegend erklären kann und ein Beispiel geben kann.

Ich habe 1,7 bekommen, da ich „TOR“ gar nicht erklären konnte und bei „XSS“ etwas ungenau geantwortet habe.