Bezpečnosť informačných systémov z pohľadu praxe

Prednášajúci:Michal Šrámka
Cvičiaci:Peter Švec
Pavol Litauszki
Linky:IS Sylabus
Vyučovanie
Kategória predmetu:,
Oznamy a diskusie

Teams – BISPP 2024

Upozornenie

Predpokladá sa, že študenti majú znalosti z operačných systémov, programovania, komunikačných sietí a z kryptológie.

Výuka
Cvičenia
Podmienky
Literatúra

Cvičenia

Cvičiaci: Ing. Peter Švec, Bc. Pavol Litauszki
informácie k cvičeniam sú v záložke Cvičenia

Prednášky

Pondelky v AB-150 od 13:00
Prednášajúci: doc. Ing. Michal Šrámka, PhD.
Konzultácie: priebežne na MS Teams vo všeobecnej diskusii, osobnejšie cez MS Teams chat alebo email sramka(na)stuba.sk

Ciele predmetu

Základné informácie z oblasti bezpečnosti informačných systémov a to najmä z pohľadu praxe. Výučba bude rozdelené do niekoľkých blokov, v ktorých sa bude postupne analyzovať problematika formálnej bezpečnosti (bezpečnostné normy, manažment bezpečnosti), sieťovej bezpečnosti (architektúry, komponenty, bezpečná komunikácia), systémovej a aplikačnej bezpečnosti (autentifikácia, autorizácia, dôveryhodné systémy, škodlivé kódy) a problematika súkromia (sledovanie na webe, emailu, ochrana súkromia). Súčasťou výučby budú reálne príklady z praxe, z pohľadu útočníkov aj bezpečnostných špecialistov.

Cvičenia budú prebiehať formou tímovej CTF (Capture The Flag) súťaže. Forma súťaže bude typu Jeopardy, kde úlohy budú rozdelené do rôznych tém (úlohy z novej témy budú pribúdať v dvojtýždňových intervaloch). Každá téma sa bude venovať špecifickej oblasti/skillu v rámci hackingu od reverzného inžinierstva, web hackingu až po exploitovanie pamäťových zraniteľností. Súťaž vyvrcholí posledným blokom Exploitácia, v ktorom bude potrebné aplikovať vedomosti z celého semestra a vytvoriť komplexné exploity voči plne chráneným programom.

  • Riešenie úloh bude prebiehať v trojčlenných tímoch (pocet_studentov_v_time=3)
  • Súťaž je tímová (kolaboratívne riešenie úloh).
  • Každý blok je za 10 bodov. Počet úloh bude vždy variabilný t.j. N (od 1 po N). Počet bodov za úlohu je vždy 10/N.
  • Celkovo je dostupných 50 bodov za semester (min. 25 na zápočet).
  • Prvé tri tímy v každom bloku získavajú bonusové body.
  • Cvičenia sú nepovinné, avšak vždy na prvom cvičení v danom bloku bude predstavený teoretický úvod + riešenie prvej úlohy.
  • Okrem odovzdania správneho riešenia bude nutné nahrať do AISu krátku dokumentáciu a zdrojové kódy vyriešených úloh.
  • Neodovzdávajte cudzie flagy a cudzie zdrojové kódy (bude sa to kontrolovať)

Cvičenia budú každý pondelok o 15:00 v AB150.

Stránka CTF súťaže: https://feictf.xyz/

Harmonogram cvičení:

12.2.2024 Úvod + Jazyk symbolických inštrukcií
19.2.2024 Reverzné inžinierstvo (10b)
26.2.2024 Reverzné inžinierstvo konzultácie
4.3.2024 Pamäťové zraniteľnosti (10b)
11.3.2024 Pamäťové zraniteľnosti konzultácie
18.3.2024 Webová bezpečnosť (10b)
25.3.2024 Webová bezpečnosť konzultácie
8.4.2024 Race conditions (10b)
15.4.2024 Race conditions konzultácie
22.4.2024 Exploitácia (10b)
29.4.2023 Exploitácia konzultácie
6.5.2024 .*

Bodové rozdelenie

Cvičenia: 50 bodov
Prednášky: 25 bodov za test počas semestra alebo za prezentáciu
Skúška: 25 bodov
Ďalšie „bonusové“ body je možné získať na cvičeniach aj na prednáškach.

Podmienky absolvovania

Zápočet získa ten, kto

  1. má aspoň 50% úspešnosť z cvičení
  2. a zároveň má aspoň 50% celkovú úspešnosť z testov počas prednášok

Predmet absolvuje ten, kto

  1. získa zápočet
  2. a zároveň získa aspoň 56% (= 56 bodov) dokopy

Známky budú pridelené podľa platnej klasifikačnej stupnice FEI.

Literatúra

Ďalšie študijné materiály budú uvedené na prednáškach. Jedná sa väčšinou o odborné a vedecké články v angličtine a materiály z webu.

  1. William Stallings, Lawrie Brown. Computer Security: Principles and Practice, 4th ed., Pearson, 2018. (odporúčané čítanie)
  2. Charles P. Pfleeger, Shari L. Pfleeger, Jonathan Marguiles: Security in Computing, 5th ed., Prentice Hall, 2015. (dá sa vygoogliť pdf)
  3. Ross Anderson: Security Engineering, 3rd ed., Wiley, 2020. (2. vydanie z 2008 zadarmo)