Institute of Computer Science
  1. Courses
  2. 2023/24 spring
  3. Computer Security (LTAT.06.002)
ET
Log in

Computer Security 2023/24 spring

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Referaat

  • Referaat on individuaalne ning unikaalne (ei luba korduvaid teemasid).
  • Kohustuslik eksamile pääsemiseks. Referaat peab olema esitatud ja tuleb teenida vähemalt 4 punkti
  • Teema registreerimine: 18. aprill 2024 vastavas Moodle foorumis. Hilinemine lahutab tulemusest 2 punkti.
    • Teema saate valida siin https://moodle.ut.ee/mod/forum/view.php?id=1128324
  • Referaadi esitamine: 06. mai 2024. Hilinemisel korrutatakse tulemus koefitsendiga: <1 nädal: 0.75, >1 nädal: 0.5.

Registreerimisel:

  • teema oleks ajakohane, vanema kui 5 aastat turvanõrkuse uurimine peab olema põhjendatud;
  • kontrollige, et keegi pole sama teemat registreerinud;
  • kontrollige, et referaadi teemat pole eelmise 4 aasta referaatide hulgas (referaadid 2019-2023);
  • registreerige teema moodle foorumis. Esitage CVE kood, kui see on nõrkusele omistatud.

Mall

  • Malli näidis. Mall ei ole kohustuslik, töö peab olema korrektne ja vastama viitamisnõuetele (viitamisstiil vali endale sobiv, kuid joonealused märkused ei ole viited).
  • LaTeX mall. Kasuta Overleaf keskkonnas, ülikooli e-posti aadressi ja parooliga;

Uurimistöö konkreetsest turvaaugust või -probleemist:

  • Taust
    • Millises valdkonnas ning mis eesmärgil toodet-komponenti-teenust, milles turvaauk avaldub, peamiselt kasutatakse?
    • Turvaaugu lühikirjeldus (olemus)
  • Turvaauk
    • Turvaaugu avaldumise eeltingimused.
      • Sageli on turvaaugul mingid eeltingimused et seda ära kasutada saaks, nt spetsiifiline kombinatsioon komponentidest, seadistuse eripära või paigaldamise viis.
    • Turvaaugu avaldumine
      • Turvaaugu avaldumise hinnang CVSS põhikriteeriumite lahtikirjutusena.
    • Turvaaugu põhjused
      • Mis on turvaaugu põhjus(ed) CWE kohaselt ning selle lihtsaim(ad) vältimisviis(id).
  • Mõju ja turvaaugu kõrvaldamine
    • Mõju varadele
      • Mõju ulatus ja iseloom millised varad saavad kahjustatud ning milliseid turvaeesmärke rikub.
    • Turvaaugu parandamine
      • Milline on toote-teenuse-komponendi enda soovitus turvaaugu parandamiseks.
      • Turvaaaugu mõju leevendamine
    • Turvaaugu tegelik ärakasutatavus
      • Kas turvaaugule eksisteerib eksploit või kontseptsiooni tõendus (PoC)? Kas on tõendusi et nõrkust on juba ära kasutatud? Kui kaua nõrkuse avaldamisest nõrkuse PoC avaldamiseni või nõrkuse ärakasutamiseni aega kulus.

Referaadi esitamine

  • Esitatakse moodle.ut.ee andmeturve kursuse keskkonnas. Esitatud tööd läbivad ka plagiaadi- ja AI/GPT-tuvastuse.
  • Referaadi keel: eesti keel (inglise keeles kirjutamiseks küsige eriluba Tarmo Oja käest).
  • Referaadi formaat: PDF. Teistes formaatides töid ei hinnata.
  • Referaat peab olema korrektselt vormistatud, välistele materjalidele viidatud. Vaiete korral kasutatakse juhendina TÜ ATI lõputööde vormistamise juhendit. https://cs.ut.ee/sites/default/files/2023-04/2023%20ATI-loputoode-nouded-ja-Hindamiskriteeriumid-2023.pdf
  • Referaadis (näiteks lisana) peab olema volitus töö avaldamiseks, näiteks sõnastuses: Käesolevaga luban Tartu Ülikoolil seda referaati avalikult eksponeerida kuni aastani 2029.

Vihjeid:

Enne tähtaega võib teemat vahetada. Kui pärast registreerumis tähtaega teise teema valite, siis kaotate 2 punkti - aga parem 8 punkti hea referaadi eest kui 5 punkti kehva õigeaegselt registreeritu eest.

Soovitav on saata referaat varem, sest kui referaadi eest vähe punkte saate, võite saata uue ja parema referaadi - aga ikka ainult enne tähtaega. Õppejõud küll ei garanteeri, et jõuan kõiki referaate enne tähtaja lõppu kohe üle lugeda, seega mida varem saadate, seda rohkem on lootust.

Paranduse juures ei piisa sellest, et installida tootja paik (patch), vaid vaja on detailsemat kirjeldust, mida see parandus teeb ja miks ta piisav on (see seab muide ka piirangud referaadi teemale - valitud teema kohta peab olema piisavalt sisulist infot ja parem kui see oleks lähtekoodi analüüsi tasemel). Piisav maht on 2-3 lehekülge - parajasti niipalju, et suudaksite mind veenda, et olete probleemi sisust ja lahendusest aru saanud. Seega üheks oluliseks osaks referaadi tegemisel on ka teema valik - mitte igast teadaolevast turvaaugust pole piisavalt sisulist infot. Näiteks on lihtne jääda osadest punktidest ilma, kui te ei näe, mida see parandus teeb ja seega ei suuda seda ära seletada (ei piisa tootja üldsõnalisest kirjeldusest).

Eestikeelsete terminite kohta tasub vaadata standardipõhist tarkvaratehnika sõnastikku, andmekaitse ja infoturbe leksikoni ning Vallaste e-teatmikku.

Referaaditeemadest on mul välja pakkuda üks aukude nimekiri CVE, asub aadressidel http://cve.mitre.org/cve/ ja http://cve.mitre.org/cve/downloads/allitems.html (viimane on pikk fail ja võib vähese mäluga arvutis probleeme tekitada). Lisaks on olemas NIST'i turvaaukude andmebaas NVD: http://nvd.nist.gov/ . Soovitav on valida CVE selle järgi, millel on References-i all kõige rohkem linke, eriti neid, mis on märksõnaga [misc] - need on tavaliselt lihtsamalt loetavamad artiklid ja muudavad CVE olemuse kergemini hoomatavaks, kui seda võiks teha ametlik teade või vea koodi lugemine. Alati on teretulnud ka teie enda ideed - kirjutage ja arutame, kas sobib referaadiks.

Soovitav on võtta mõni eelmise aasta teise poole või käesoleva aasta CVE, siis ei ole muret varasematega kattumisega.

Teema ei pea lähtuma CVE nimekirjast -- näiteks Eestiga seotud turvaprobleemid on olulised, kuid neile ei omistata CVE tähist.

Soovitav on valida teema, millest ka tõesti aru saad. Pole väga mõtet võtta teemat, mis on küll väga huvitav, aga aega kulub liiga palju. Tuleb varakult otsida omale hea teema, mille kohta leidub internetis piisavalt infot. Suvaliselt mingisugust teemat ei tohiks kohe kindlasti võtta. Väga soovitav on võtta teema, mille kohta on näha lähtekoodi parandus, muidu on raske näidata, milles viga ja parandus seisnevad.

CVE pole andmebaas, pigem sõnaraamat. Enamusel aukudel on juures mingi viide, tihti CERTile või BUGTRAQ-le, nende järgi leiab detailsema kirjelduse. Nii et lugege seda, otsige Internetist otsingumootoritega detailne kirjeldus ning kui leiate ning aru saate, registreerige teema vastavas Moodle foorumis, kirjutage referaat ja esitage courses keskkonnas.

  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment