Durch die Digitalisierung werden zunehmend mehr Systeme und Prozesse über Computer gesteuert und miteinander vernetzt. Enthalten diese Computersysteme Konzeptionierungs- oder Implementierungsfehler, so können Vertraulichkeit, Integrität und Verfügbarkeit der Systeme nicht mehr garantiert werden.
Der Pflichtkurs "Grundlagen der IT-Sicherheit" wird im vierten Semester des Informatikstudiums angeboten und befasst sich im Kern mit der Angreifbarkeit von Computersystemen. Hierzu werden die Grundlagen der IT-Sicherheit und der Kryptografie vorgestellt.
Im Praktikum erlernen die Studierenden die Grundlagen von technischen Sicherheitsanalysen, mit denen man strukturiert Sicherheitslücken wie z. B. Buffer Overflows, Integer Overflows, SQL-Injections oder kryptografische Schwachstellen in Computer-Systemen findet. Dazu gehört z. B. auch die Fähigkeit, Anwendungen zu analysieren, ohne dass der Quellcode der Anwendung zur Verfügung steht (das sogenannte Reverse Engineering). Anschließend müssen die Studierenden gefundene Schwachstellen über selbst entwickelte Exploit-Programme in einer Laborumgebung ausnutzen.
Relevante Literatur:
- "Computer Security" von Dieter Gollmann
- "Practical Cryptography" von Bruce Schneier
- "Security Engineering" von Ross Anderson http://www.cl.cam.ac.uk/~rja14/book.html
- "Cryptology and Physical Security: Rights Amplification in Master-Keyed Mechanical Locks" von Matt Blaze http://www.crypto.com/papers/mk.pdf
- "MIT - Handbuch zur Schloßöffnung" von Theodore T. Tool http://www.ssdev.org/lockpicking/MIT_D/
- "Reflections on Trusting Trust" von Ken Thompson http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf
- "Countering Trusting Trust through Diverse Double Compiling" von David Wheeler http://www.acsa-admin.org/2005/papers/47.pdf
- "Smashing the stack for fun and profit" von Aleph One http://phrack.org/issues/49/14.html
- "From Buffer Overflows to 'Weird Machines' and Theory of Computation"https://www.usenix.org/system/files/login/articles/105516-Bratus.pdf
- "strlcpy and strlcat - consistent, safe, string copy and concatenation" von Todd C. Miller und Theo de Raadt http://www.sudo.ws/todd/papers/strlcpy.html
- "StackGuard: Automatic Adaptive Detection and Prevention of Buffer-overflow Attacks" von Cowan et al. https://www.usenix.org/legacy/publications/library/proceedings/sec98/full_papers/cowan/cowan.pdf
- "I'll never get caught. I'm Popular." oder "Samy is my hero!" von Samy Kamkar https://samy.pl/popular/
- "The Confused Deputy (or why capabilities might have been invented)" von Norm Hardy http://www.cap-lore.com/CapTheory/ConfusedDeputy.html
- "Robust Defenses for Cross-Site Request Forgery" von Barth, Jackson, Mitchell https://seclab.stanford.edu/websec/csrf/csrf.pdf