Dr. Ricarda Weber

Vorlesung Security Engineering

Sicherheitskritische Anwendungen und Sichere Software

Modul IN2178

Durchführung

  • Zeit und Ort: Dienstags, 14:00 - 16:30 Uhr, im Raum MI 01.07.023 (Seminarraum. Prof. Schlichter)
  • Die Vorlesung beginnt am Dienstag, den 20. April 2010.
  • Voraussetzungen: Modul IN2209 (IT-Sicherheit) von Vorteil
  • Credits: 4 ECTS (3 SWS)
  • Die Prüfung wird als mündliche Prüfung durchgeführt. Inhalt der Prüfung ist der gesamte Stoff der Vorlesung.
  • Die Vorlesungsfolien werden hier bereit gestellt (Login und Passwort in der Vorlesung).

Prüfung

Die Prüfungstermine stehen nun fest:

  • Dienstag, 27.07.2010
  • Mittwoch, 28.07.2010
  • Donnerstag, 23.09.2010

Die Prüfungen finden jeweils zwischen 8:45 und 12:30 Uhr statt, jede Prüfung dauert etwa 20 Minuten (+10 Minuten Resultatmitteilung/Nachbereitung).

Um einen konkreten Prüfungstermin zu erhalten, tragen Sie sich bitte in die Prüfungsliste ein, die vor dem Sekretariat des Lehrstuhls (Raum 01.08.052) aushängt.

Vorlesungstermine

Die Vorlesung findet statt an den folgenden Dienstags-Terminen: 20.4., 4.5., 11.5., 18.5., (25.5. entfällt wg. Pfingsten), 1.6., 8.6., 15.6., 22.6., 29.6., 6.7. (Exkursion) 13.7. und 20.7. (hier nur Wiederholung, Übung und Prüfungsvorbereitung).

1. Juni 2010: Dr. David von Oheimb (Siemens AG, CT IT Security), Einsatz formaler Methoden und Evaluation gemäß Common Criteria. Mit Live Model Checking des SW-Verteil-Systems der Fallstudie.

29. Juni 2010: Barbara Fichtinger (Siemens AG, CT CERT), Secure Coding Guidelines.

Exkursion

Am Dienstag, den 6. Juli 2010,  findet von 10:30  bis 16:30 eine Exkursion zu Siemens CT (München Perlach) statt.

Gegenstand der Vorlesung

Eine sichere IT-Anwendung erfordert sowohl die Anwesenheit erwünschter Sicherheitsfunktionalität (Beispiel: Zugriffskontrolle), als auch die Abwesenheit unerwünschter Sicherheitsmängel (Beispiel: verwundbare Software). Wir besprechen grundlegende Begriffe (Beispiel: "Security" versus "Safety"), sowie Sicherheitsziele.

Wir lernen, unterstützt von den Dokumenten des BSI, den Entstehungsprozeß sicherheitskritischer Anwendungen kennen. Wir beginnen mit einer Analyse der Sicherheitsanforderungen, gefolgt von einer Risiko- und Bedrohungsanalyse, die auch wirtschaftliche Aspekte einschließt. Wir lernen, wie Sicherheitsrichtlinien definiert werden und wie sie sich in einer Sicherheitsarchitektur widerspiegeln. Wir betrachten grundlegende Sicherheitsmechanismen sowie klassische Zugriffs- und Informationsfluß-Kontrollmodelle. Wir adressieren Methoden zur Validierung und Bewertung sicherer Anwendungen (Beispiel: formale Methoden, "Common Criteria"-Evaluierung). Wir schließen den ersten Teil mit einem Überblick über IT-Sicherheitsmanagement-Konzepte.

Im zweiten Teil der Vorlesung befassen wir uns mit sicherer Software-Entwicklung. Wir sprechen die grundlegenden Angriffs-Vektoren von Hackern, Crackern und Schadsoftware-Autoren an. Wir sehen, wie unsichere Programmierung Verwundbarkeiten eröffnet (Beispiele: "Buffer- und Integer-Overflows", "Script Injection" und "Cross-Site-Scripting"). Wir adressieren Prinzipien sicheren Software-Entwurfs und sicherer Programmierung. Wir betrachten den "Security Development Cycle" von Microsoft und Methoden, die Güte solcher Prozesse zu messen.

Inhalt

  1. Einführung
    • Motivation, Begriffe, Sicherheitsziele
  2. Entwicklung sicherheitskritischer Anwendungen
    • Entwicklungsprozeß, Struktur- und Sicherheits-Bedarfsanalyse
    • Bedrohungs- & Risiko-Analyse, Fallstudie
    • Sicherheitsstrategie, -architektur & -grundfunktionen
    • Validierung, Bewertung & Betrieb
    • IT-Sicherheitsmanagement
  3. Entwicklung sicherer Software
    • Grundlagen von Angriffen (Hacking) & unsichere Programmierung
    • Prinzipien sicherer Programmierung
    • Der Microsoft Security Development Cycle
  4. Exkursion zu Siemens CT mit Laborbesuchen & Demos
  5. Abschluß
    • Zusammenfassung & Wrap-Up
    • Prüfungsvorbereitung

Die Vorlesungsfolien werden hier jeweils nach Möglichkeit zeitnah zur Vorlesung bereit gestellt.
Login und Passwort dazu werden in der Vorlesung bekannt gegeben.

Literatur

  • Claudia Eckert: IT-Sicherheit, Oldenbourg, 2007
  • Ross Anderson: Security Engineering, Wiley & Sons, 2001 (Neuauflage: April 2008!)
  • Jack Koziol et.al.: The Shellcoder's Handbook, Wiley & Sons, 2007
  • Michael Howard et.al.: The Security Development Lifecycle, Microsoft Press, 2006

(weitere Literaturhinweise finden sich in den Folien)

Nützliche Links:

Ansprechpartner: