Proseminar im WS08/09: Entwicklung sicherer Software

Inhalt: Sichere Software entsteht nicht nur durch die Anwendung kryptographischer Verfahren und Zugriffsschutzmechanismen allein. Vielmehr muss Sicherheit (engl. security) im gesamten Entwicklungsprozess berücksichtigt werden. In diesem Proseminar betrachten wir Werkzeuge und Verfahren für die Entwicklung sicherer Software einerseits und typische Angriffe und Verletzlichkeiten besonders im Bereich Webanwendungen andererseits. Inhaltlich und Begrifflich ist das Proseminar an Teile der Vorlesung Anwendungssysteme angelehnt, die auch in diesem Semester angeboten wird.

Aufgaben: Studierende wählen ein Thema aus oben genanntem Bereich und erarbeiten ein Referat, das schriftlich ausgearbeitet und im Rahmen der Blockveranstaltung vorgetragen und diskutiert wird. Dabei wird besonderer Wert auf gründliche wissenschaftliche Arbeit gelegt, da besonders in diesem Bereich die Verlockung groß ist, auf Alltags-"Wissen" und zweifelhafte Internetquellen zurückzugreifen.

Organisation: In der Einführungsveranstaltung (Termin s.u.) werden Themenvorschläge präsentiert. Es ist aber auch möglich und gewünscht, eigene Themen einzubringen. Außerdem gehen wir u.a. auf folgende Fragen ein: "Wie sollte ich meine Ausarbeitung strukturieren?" und "Wie suche ich Literatur und gehe damit um?". Die Präsentationen erfolgen im Rahmen einer Blockveranstaltung in der Vorlesungsfreien Zeit.

Siehe auch die Seminar-Regeln der AG SE.

Termine

Nächste Termine:

Abgeschlossen:

• 28.10.2008: Einführungsveranstaltung.
• Bis 03.02.2009: Vorbesprechungen.
• 23.02.2009: Ausarbeitung und Folien an Schriftgutachter (und CC an mgruhn@...)
• Am 27.02.2009: Gutachten per Email an AusarbeiterIn (und CC an mgruhn@...)
• Ab 02.03.2009: Blockveranstaltung, Beginn täglich um 10 Uhr (s.t.) im Raum 051.
  Zeitplan:
  • Mo: A1, PP1-3 (4 Themen)
  • Di: PP4, AV2-5 (5 Themen)
  • Mi: AV6-7, PW1, EZ1-2 (5 Themen)
  • Do: EZ3, SOS1-2, S1 (4 Themen)
• 23.03.2009, 9 Uhr: Abgabe der Ausarbeitung gedruckt und als PDF per Email
  • Gedruckte Version bitte in mein Fach im AG SE Sekretariat (Raum 013) legen.
  • Wenn R013 zu ist, in meinem Raum abgeben oder dort unter den Türschlitz durchschieben.
• 03.07.: Bekanntgabe der Noten mit Hinweisen auf der Mailingliste

Organisatorisches

Einführungsveranstaltung: Dienstag, 28.10.2008, 16-18h, Raum 049.
Vorbesprechung: 13./15./20.1. (s.u.)
Blockveranstaltung: 02.03.2009-06.03.2009 ab 10 Uhr (s.t.), Raum 051

Zielgruppe: Bachelorstudierende der Informatik
Literatur: Ausgewählte Aufsätze und Fachbücher werden in der Vorbesprechung vorgestellt.

Bitte Anmelden:

• Im KVV!
• Zur Mailingliste!

Bei Fragen wendet Euch an Martin Gruhn.

Vorbesprechungen

Die Vorbesprechungen finden Themenbezogen statt und es besteht prinzipiell Anwesenheitspflicht. Alle Zeiten s.t.!

• Dienstag, 13.01.2009 (16-17h): A1 und EZ1-EZ3
• Dienstag, 13.01.2009 (17-18h): PP1-PP4
• Donnerstag, 15.01.2009 (16-17h): SOS1-SOS2 und S1-S2
• Donnerstag, 15.01.2009 (17h-18h): AV1-AV2 und PW1-PW3
• Dienstag, 20.01.2009 (16h-17h): AV3-AV7 (ausgefallen wg. Krankheit)
• Dienstag, 27.01.2009 (16h-17h): AV3-AV7 (ausgefallen wg. Krankheit)
• Ersatztermine: Donnerstag, 29.01.2009 (16h-17h) oder Dienstag, 03.02.2009 (16-17h): AV3-AV7

Treffpunkt: Raum T9/008.

Bitte gebt mir unbedingt (auch kurzfristig: 838-75239) Bescheid, wenn Ihr aus wichtigem Grunde nicht kommen könnt. Wer unentschuldigt fehlt, bekommt keinen Schein.

Authors Kit

Hier eine Vorlage für LyX:

• Lyx-Vorlage.zip
• So sieht das aus als PDF.

Weitere Vorlagen für TeX, OpenOffice Writer und Microsoft Word befinden sich auf der Seite Seminar Regeln.

Zum Layout und Umfang: Ich erwarte, dass ihr Euch nach dem Layout in dem oben angegebenen PDF richtet. Das sind etwa 1800 Worte und insgesamt 8 Seiten als Richtwert. Der Umfang der individuellen Arbeit hängt natürlich auch vom Inhalt ab.

Ich gebe hier ein sehr luftiges Layout vor, was das Lesen erleichtert. Die gleiche Wortzahl bei konservativer Gestaltung erzeugt 5 geschriebene Seiten.

Ratgeber und Links

Findet Ihr generell auf der Seite mit unseren Regeln für Seminare. Beachtet besonders folgende Abschnitte:

• Typische Fehler beim Schreiben
• Ratgeber und Veranstaltungen

Übungsblätter und Folien

• Folien der Vorbesprechung/Einführungsveranstaltung vom 28.10.2008
• Übungsblatt 1 vom 16.02.2009: Vorbereitung auf das Blockseminar und Peer-Review-Prozess.
• Folien der Einführung zur Blockveranstaltung am 02.03.2009
• Folien zum Abschluss der Blockveranstaltung

Themen

Hinweise:

• Nähere Infos zu Themen und Terminen stehen in den Folien der Vorbesprechung/Einführungsveranstaltung vom 28.10.2008.
• Alle Literaturverweise beziehen sich auf die Bibtex-Datei: (s_sicherheit_08_literature.bib)

Thema	BearbeiterIn	Literaturempfehlungen
A1) Was ist (IT-) Sicherheit	Mikel Keriakos	Eckert04, Anderson01, Lampson04, Snow05
PP1) Microsofts Security Development Lifecycle (SDL)	Andreas Lindner	LipHow04, GreBuyWin07
PP2) Comprehensive, Lightweight Application Security Process	Kenneth Würfel	ChaFerGra07, GreBuyWin07
PP3) Entwicklungsprozess für sichere Software in der Praxis	Daniel Marzin	GliMcDWel06
PP4) Spezielle Praktiken des Security Engineering	Florian Otto	Eckert04, KolKocLoe06, Vorlesung ITS (11.2-11.4)
AV1) Schwachstellendatenbanken und -taxonomien	Eva Jockwer	CVE, NVD, CWE/vulnerability theory, CAPEC
AV2) Hacker-Kultur	Sönke Schmidt	Bratus07
AV3) Spezielle Schwachstellen: SQL Injection	Mohsen Taheri	OWASP Top 10, HalVieOrs06
AV4) Spezielle Schwachstellen: Cross-Site-Scripting	Franz Gatzke	OWASP Top 10, BisVen08
AV5) Spezielle Schwachstellen: Eine weitere aus OWASP Top 10	Hoang Viet Do	OWASP Top 10
AV6) Spezielle Schwachstellen: Buffer Overflow	Robin Nehls	Cowan03
AV7) Spezielle Schwachstellen: Social Engineering	Daniel Steig
PW1) Statische Werkzeuge für Sicherheitstests	Christian Gätcke	Cowan03
PW2) Dynamische Werkzeuge für Sicherheitstests und Laufzeitüberwachung	Felix Lange	Cowan03, HalVieOrs06
PW3) Praktiken für Web Application Security / Bau sicherer LAMP Anwendungen	Marco Slusalek	Esser08, KunEss08
EZ1) Systems Security Engineering Capability Maturity Model	Sascha Wientzek	Hefner97, ISSEA03
EZ2) Common Criteria	Robert Fels	Eckert04, Anderson01
EZ3) Security Metrics	Henrik Matzke	GeeHooJaq03
SOS1) Sicherheit in OSS: Chancen und Risiken	Sebastian Kürten	Viega04, VieMcG02, Wheeler03, Cowan03
SOS2) Studien über Sicherheit und Open Source	Salih Zengin	Studie 1, Studie 2
S1) Usability: Nutzbarkeit und IT-Sicherheit	Björn Kahlert	WhiTyg99
S2) Wahlmaschinen	Cristian Hoof	KohStuRub04, Anderson99, CCC Berlin

Comments