Bezpečnosť informačných systémov z pohľadu praxe

Prednášajúci:Michal Šrámka
Cvičiaci:Peter Švec
Linky:IS Sylabus
Vyučovanie
Kategória predmetu:,
Online výuka

MS Teams – BISPP

Upozornenie

Predpokladá sa, že študenti majú znalosti z operačných systémov, programovania, komunikačných sietí a z kryptológie.

Oznamy
Výuka
Podmienky
Cvičenia
Literatúra

V súčasnosti prebieha výuka online/distančne.

Office 365 info – vytvorenie konta pre O365, teda aj pre MS Teams

Ďaľšie oznamy budú priamo v MS Teams.

Predmet je členený do nasledujúcich aktivít:

  • Prednášky: 2 hodiny týždenne podľa rozvrhu
  • Cvičenia: 2 hodiny týždenne podľa rozvrhu
Cvičenia

TBA

Prednášky

Utorky v BC 150, 13:00 – 14:40 hod.
Pripojte sa na/cez MS Teams v utorky o 13:00

Prednášajúci: doc. Ing. Michal Šrámka, PhD.
Konzultácie: priebežne na MS Teams vo všeobecnej diskusii, osobnejšie cez MS Teams chat alebo email sramka(na)stuba.sk

Cieľ predmetu

Základné informácie z oblasti bezpečnosti informačných systémov a to najmä z pohľadu praxe. Výučba bude rozdelené do niekoľkých blokov, v ktorých sa bude postupne analyzovať problematika formálnej bezpečnosti (bezpečnostné normy, manažment bezpečnosti), sieťovej bezpečnosti (architektúry, komponenty, bezpečná komunikácia), systémovej a aplikačnej bezpečnosti (autentifikácia, autorizácia, dôveryhodné systémy, škodlivé kódy) a problematika súkromia (sledovanie na webe, emailu, ochrana súkromia). Súčasťou výučby budú reálne príklady z praxe, z pohľadu útočníkov aj bezpečnostných špecialistov.

Bodové rozdelenie

Cvičenia: 50 bodov
Písomná skúška: 50 bodov – bude len v prípade, že by bolo ukončené „Prerušenie prezenčnej metódy štúdia na VŠ“ a v tom prípade nahrádza výsledky priebežných testov.
Náhrada písomnej skúšky: priebežné testy počas semestra v celkovom rozsahu 50 bodov.

Podmienky absolvovania

Predmet absolvuje ten, kto

  1. má aspoň 50% úspešnosť z cvičení (50% z 50 bodov => aspoň 25 bodov)
  2. má účasť na všetkých* priebežných testoch z prednášok
  3. má aspoň 50% celkovú úspešnosť z priebežných testov (resp. z písomnej skúšky, ak by bola)
  4. získa aspoň 56% (= 56 bodov) dokopy

Známky budú pridelené podľa platnej klasifikačnej stupnice FEI.

* 2 neospravedlné neúčasti na testoch sú povolené. 50 bodov bude teda zo (všetkých – 2) najlepších testov [ak niekto nevynechá žiadny test, 2 najhoršie sa nerátajú. ak vynechá 1 test, najhorší sa neráta. ak vynechá 2 testy, do 50 bodov sa rátajú všetky spravené. ak vynechá 3 a viac testov, nezíska zápočet.] Náhradné testy pre ospravedlnených v AIS budú k dispozícii na vyžiadanie do dvoch týždňov od ukončenia neprítomnosti.

Cvičenia budú prebiehať formou tímovej CTF (Capture The Flag) súťaže. Forma súťaže bude typu Jeopardy, kde úlohy budú rozdelené do rôznych tém (úlohy z novej témy budú pribúdať v dvojtýždňových intervaloch). Každá téma sa bude venovať špecifickej oblasti/skillu v rámci binárnej exploitácie (aka hacking), od písania shellcodu, reverzného inžinierstva až po exploitovanie pamäťových zraniteľností a ROP. Súťaž vyvrcholí posledným blokom Exploitačné scenáre, v ktorom bude potrebné aplikovať vedomosti z celého semestra a vytvoriť komplexné exploity voči plne chráneným programom.

Dôležité informácie:

  • Počet členov tímu – (jeden kapitán)
  • Každý blok je za 10 bodov. Počet úloh bude vždy variabilný t.j. n (max. 7-10). Počet bodov za úlohu je 10/n.
  • Na získanie bodov treba vždy odovzdať krátky write-up (t.j. kód/skript + krátky popis) a získaný flag odovzdať na CTF serveri.
  • Súťaž je tímová (kolaboratívne riešenie úloh).
  • Prosím nezdieľajte flagy. V rámci tímu môžete spolupracovať v najvyššej možnej miere stratégiou, ktorú určí kapitán. Medzi tímami môžete zdieľať hinty avšak riešenia/skripty/flagy nie.
  • Každý blok sa vyhlási aj najlepší tím, ktorý získa bonusové body.  Hodnotí sa počet vyriešených úloh. V prípade zhody rozhodne rýchlejší čas.
  • Cvičenia sú nepovinné (okrem prvého!), avšak vždy na prvom cvičení v danom bloku bude predstavený teoretický úvod + riešenie prvej úlohy.

Discord server pre cvičenia:

https://discord.gg/kSnMsJE25Q

CTF server s úlohami:

https://feictf.gq/

Cvičenia:

https://meet.google.com/rkg-nnsz-hmw

Harmonogram cvičení:

15.2.2021 Organizácia + Úvod do assembleru
22.2.2021 Shellcoding (10b)
1.3.2021 Shellcoding (konzultácie)
8.3.2021 Reverzné inžinierstvo (10b)
15.3.2021 Reverzné inžinierstvo (konzultácie)
22.3.2021 Pamäťové zraniteľnosti (10b)
29.3.2021 Pamäťové zraniteľnosti (konzultácie)
12.4.2021 Návratovo orientované programovanie (10b)
19.4.2021 Návratovo orientované programovanie (konzultácie)
26.4.2021 Exploitačné scenáre (10b)
3.5.2021 Exploitačné scenáre (konzultácie)
10.5.2021 .*

Literatúra

Prednášky budú čerpať hlavne z knihy Computer Security. Ďalšie študijné materiály budú uvedené na prednáškach. Jedná sa väčšinou o odborné a vedecké články v angličtine a materiály z WWW.

  1. William Stallings and Lawrie Brown. Computer Security: Principles and Practice, 2.ed, Pearson, 2012. odporúčané čítanie
  2. Charles P. Pfleeger a Shari L. Pfleeger. Security in Computing, 4ed., Prentice Hall, 2008.
  3. Ross Anderson. Security Engineering, 2ed., Wiley, 2008. 1. vydanie z 2001 zadarmo
  4. S. Garfinkel. Database Nation: The Death of Privacy in the 21st Century, O’Reilly, 2000.
  5. Robert O’Harrow. No Place to Hide: Behind the Scenes of Our Emerging Surveillance Society, Free Press, 2005.