Referaat
Eksamile pääsemiseks on vaja kirjutada referaat. See annab ka 15% hindest.
Referaadi tegemisel on kaks olulist tähtaega - referaadi teema valik ja valmis referaadi esitamine.
Referaadi teema tuleb meilitsi (mroos@ut.ee) registreerida hiljemalt 31. märtsil (2020 erandina 3. aprillil), muidu läheb referaadi tulemusest 5 punkti maha. Kui hiljem teise teema valite, siis kah läheb maha - aga parem 10 punkti hea referaadi eest kui 6 punkti kehva õigeaegselt registreeritu eest. Enne tähtaega võib samas teemat vabalt vahetada. Palun kirjutage teema registreerimise meili sisse ka CVE number, kui teie valitud turvaaugul see olemas on.
Referaat ise tuleb esitada hiljemalt 1. mail (1 kuu enne semestri lõppu!) meili teel loengut pidavale õppejõule. Referaadi eest on võimalik saada kokku 15 punkti. Hilinemisel läheb referaadi punktidest 8 maha. Soovitav on saata referaat varem, sest kui referaadi eest vähe punkte saate, võite saata uue ja parema referaadi - aga ikka ainult enne tähtaega. Ma küll ei garanteeri, et jõuan kõiki referaate enne tähtaja lõppu kohe üle lugeda, seega mida varem saadate, seda rohkem on lootust.
Referaat peab olema mingist konkreetsest turvaaugust - milles see seisneb, miks see ohtlik on (kuidas seda ära saab kasutada), kuidas seda parandada ning miks see parandus piisav on.
Paranduse juures ei piisa sellest, et installida tootja paik (patch), vaid vaja on detailsemat kirjeldust, mida see parandus teeb ja miks ta piisav on (see seab muide ka piirangud referaadi teemale - valitud teema kohta peab olema piisavalt sisulist infot ja parem kui see oleks lähtekoodi analüüsi tasemel). Piisav maht on 2-4 lehekülge - parajasti niipalju, et suudaksite mind veenda, et olete probleemi sisust ja lahendusest aru saanud. Seega üheks oluliseks osaks referaadi tegemisel on ka teema valik - mitte igast teadaolevast turvaaugust pole piisavalt sisulist infot. Näiteks on lihtne jääda osadest punktidest ilma, kui te ei näe, mida see parandus teeb ja seega ei suuda seda ära seletada (ei piisa tootja üldsõnalisest kirjeldusest).
Referaat peab olema eesti või inglise keeles. Inglise keele puhul tekib ilmselt copy-paste ahvatlus, sellest tuleb kah hoiduda (sõltumata keelest muidugi).
Referaadi kirjutamisel arvestage, et see läheb avalikku veebi tulevastele põlvedele lugemiseks kuni 5 aastaks. Seetõttu tuleb referaat esitada veebi jaoks mugavalt käideldavas formaadis (HTML, PDF, TXT) ning igasugused DOC, DOCX, KWD, RTF, ODT, SXW, PAGES jms toimetamisele orienteeritud või kinnises formaadis dokumendid ei sobi.
Samuti on vaja teie nõusolekut, et teie nimega referaat saaks kuni 5 aastaks avalikult veebis üleval olla. See kirjutage palun sissejuhatuse algusesse (näiteks kujul "Käesolevaga luban Tartu Ülikoolil seda referaati avalikult eksponeerida kuni aastani 2023").
Eestikeelsete terminite kohta tasub vaadata standardipõhist tarkvaratehnika sõnastikku, andmekaitse ja infoturbe leksikoni ning Vallaste e-teatmikku.
Eelnevate aastate referaate eeskujuks võttes pange tähele, et teaduskonna nimi on muutunud.
Segaduste vältimiseks on kasulik panna kaasatud faili nimesse ka oma nimi.
Eelmised aastad on näidanud, et meiliprobleemide tõttu ei jõua referaadid alati kohale. Kindlam on saata ülikooli või gmaili aadressilt.
Vaadake, et teie meilis oleks korralik saatja nimi From: real, sest imelikelt nimedelt tulnud kirjad võin ma kergesti spämmiks lugeda.
Kuna teemad on üsna väikesed, siis on referaat individuaalne, mitte grupitöö.
Referaat tuleb teha sellisel teemal, mida möödunud kahe aasta referaatide hulgas ega sel aastal registreeritute hulgas ei ole. Soovitav on võtta mõni eelmise aasta teise poole või käesoleva aasta CVE, siis ei ole muret varasematega kattumisega.
Referaaditeemadest on mul välja pakkuda üks aukude nimekiri CVE, asub aadressidel http://cve.mitre.org/cve/ ja http://cve.mitre.org/cve/downloads/allitems.html (viimane on pikk fail ja võib vähese mäluga arvutis probleeme tekitada). Lisaks on olemas NIST'i turvaaukude andmebaas NVD: http://nvd.nist.gov/ . Soovitav on valida CVE selle järgi, millel on References-i all kõige rohkem linke, eriti neid, mis on märksõnaga [misc] - need on tavaliselt lihtsamalt loetavamad artiklid ja muudavad CVE olemuse kergemini hoomatavaks, kui seda võiks teha ametlik teade või vea koodi lugemine. Alati on teretulnud ka teie enda ideed - kirjutage ja arutame, kas sobib referaadiks. Soovitav on valida teema, millest ka tõesti aru saad. Pole väga mõtet võtta teemat, mis on küll väga huvitav, aga aega kulub liiga palju. Tuleb varakult otsida omale hea teema, mille kohta leidub internetis piisavalt infot. Suvaliselt mingisugust teemat ei tohiks kohe kindlasti võtta. Väga soovitav on võtta teema, mille kohta on näha lähtekoodi parandus, muidu on raske näidata, milles viga ja parandus seisnevad.
CVE pole andmebaas, pigem sõnaraamat. Enamusel aukudel on juures mingi viide, tihti CERTile või BUGTRAQ-le, nende järgi leiab detailsema kirjelduse.
Nii et lugege seda, otsige Internetist otsingumootoritega detailne kirjeldus ning kui leiate ning aru saate, registreerige teema, kirjutage referaat ja saatke mulle meilitsi.