Die Atmosphaere ist sehr entspannt, es gibt einen Zettel und einen Stift auf dem Tisch falls noetig. die ganze Pruefung erinnert mehr an eine Art Gespraech ueber den Stoff als an eine Pruefung. Man darf waehlen womit man anfangen will, ich habe BS gewaehlt. Die Fragen sind meistens eher weit gefasst, man kann also ausfuehrlich darauf antworten und durch Stichworte die man fallen laesst auch die Richtung lenken in der weitergefragt wird. Der Fokus liegt ganz klar auf dem Verstaendnis; Auswendiglernen ist nicht noetig. Bei BS haben wir etwas mehr Zeit gebraucht, der Syssec-Teil war dementsprechend etwas kuerzer.

Zur Vorbereitung in BS habe ich die Zusammenfassung von Wanja (http://www.wanjaweb.de) herangezogen, die allerdings zu einer alten Version des Skrips gehoert, sowie den Sourcecode aus den Uebungen. Fuer Syssec das Skript und verschiedene andere Quellen zur Vertiefung. Ein gewisses Grundverstaendnis fuer die Thematiken ist denke ich extrem hilfreich.

• Interrupts: Ein Prozess berechnet Pi, was passiert?
  Die Frage zielt auf das Ebenenmodell ab. Da diese Frage oefter so oder so aehnlich gestellt wird, habe ich eine Zusammenfassung geschrieben, die alle wichtigen Schritte enthaelt.
• Scheduling:
  7 Dimensionen des Scheduling nennen und kurz erklaeren. Welche Art von Scheduling findet in OOSTUBS statt (CPU, preemptive, online, short term, singlecpu, probabilistisch)?
• Systemaufrufe: ein Prozess macht ein read, was passiert?
  Dies ist eine Variante der Pi-Frage und wird in der oben angekuendigten Zusammenfassung ebenfalls beruecksichtigt werden.
• nochmal zum Pro-Epilog-Modell: Warum macht man das eigentlich?
  • Interrupts so kurz wie moeglich sperren
  • man bekommt die syscall Implementierung quasi geschenkt
  • auf einem singleprozessorsystem spart man sich saemtliches locking im kern, da eh alles serialisiert wird

• Welche Sicherheitsziele gibt es so und wie setzt man diese in Systemen um?
  • Datenintegritaet → Zugriffskontrolle
  • Datenvertraulichkeit → Verschluesselung
  • Systemverfuegbarkeit → Schutz vor DoS-Angriffen (ich hab hier ein bisschen von Bufferoverflows, Synfloods usw. geredet)
  • Verbindlichkeit → Authentifizierung von Benutzern
    Ich habe noch darauf hingewiesen dass diese Sicherheitsziele sich teilweise gegenseitig bedingen und zusammenhaengen.
• Verschluesselung: Was gibt es denn da fuer Moeglichkeiten?
  Ich habe die Beispiele aus dem Skript genannt und jeweils kurz Vor-/Nachteile, Variationsmoeglichkeiten sowie Angriffsmoeglichkeiten skizziert und eine Beispielimplementierung genannt.
• Zufallszahlen: Woher bekommt man die?
  • Hardwarezufallsgeneratoren – hier habe ich einfach ein paar Beispiele genannt
  • Pseudozufallsgeneratoren – Ich habe die Definition aus dem Netsecskript gegeben und dann kurz Guetetests (polynomial-time-statistical-test usw.) erklaert. Anschliessend habe ich als Beispiel die Funktionsweise des BBS-Generators erklaert und dabei einen kleinen Abstecher in die mathematischen Grundlagen (multiplikative Gruppen, Generatorelement, etc.) gemacht; dann war die Zeit um.

– spjsschl