Bezpečnosť informačných systémov z pohľadu praxe

Prednášajúci:Michal Šrámka
Cvičiaci:Peter Švec
Linky:IS Sylabus
Vyučovanie
Kategória predmetu:,
Oznamy a diskusie

Discord

Upozornenie

Predpokladá sa, že študenti majú znalosti z operačných systémov, programovania, komunikačných sietí a z kryptológie.

Výuka
Cvičenia
Podmienky
Literatúra

Cvičenia

Cvičiaci: Ing. Peter Švec
informácie k cvičeniam sú v záložke Cvičenia

Prednášky

Utorky v BC-150 od 13:00 (nie v utorok 11.4. po Veľkej noci)
Prednášajúci: doc. Ing. Michal Šrámka, PhD.
Konzultácie: priebežne na MS Teams vo všeobecnej diskusii, osobnejšie cez MS Teams chat alebo email sramka(na)stuba.sk

Ciele predmetu

Základné informácie z oblasti bezpečnosti informačných systémov a to najmä z pohľadu praxe. Výučba bude rozdelené do niekoľkých blokov, v ktorých sa bude postupne analyzovať problematika formálnej bezpečnosti (bezpečnostné normy, manažment bezpečnosti), sieťovej bezpečnosti (architektúry, komponenty, bezpečná komunikácia), systémovej a aplikačnej bezpečnosti (autentifikácia, autorizácia, dôveryhodné systémy, škodlivé kódy) a problematika súkromia (sledovanie na webe, emailu, ochrana súkromia). Súčasťou výučby budú reálne príklady z praxe, z pohľadu útočníkov aj bezpečnostných špecialistov.

  • Cvičenia budú prebiehať formou tímovej CTF (Capture The Flag) súťaže. Forma súťaže bude typu Jeopardy, kde úlohy budú rozdelené do rôznych tém (úlohy z novej témy budú pribúdať v dvojtýždňových intervaloch). Každá téma sa bude venovať špecifickej oblasti/skillu v rámci binárnej exploitácie (podmnožina hackingu), od písania shellcodu, reverzného inžinierstva až po exploitovanie pamäťových zraniteľností a ROP. Súťaž vyvrcholí posledným blokom Exploitácia, v ktorom bude potrebné aplikovať vedomosti z celého semestra a vytvoriť komplexné exploity voči plne chráneným programom.
  • Riešenie úloh bude prebiehať v dvojčlenných tímoch (pocet_studentov_v_time=2)
  • Súťaž je tímová (kolaboratívne riešenie úloh).
  • Každý blok je za 10 bodov. Počet úloh bude vždy variabilný t.j. N (1-N). Počet bodov za úlohu je vždy 10/N.
  • Celkovo je dostupných 50 bodov za semester (min. 25 na zápočet).
  • Prvé tri tímy v každom bloku získavajú bonusové body.
  • Cvičenia sú nepovinné, avšak vždy na prvom cvičení v danom bloku bude predstavený teoretický úvod + riešenie prvej úlohy.
  • Okrem odovzdania správneho riešenia bude nutné nahrať do AISu zdrojové kódy úloh (okrem špecialneho bloku číslo 2) . Ďalšie detaily budú priblížené na cvičení.
  • Neodovzdávajte cudzie flagy (vieme to detegovať :().

Cvičenia budú každý pondelok o 15:00 v AB150.

Stránka CTF súťaže: pridám po cviku: https://feictf.xyz/

Harmonogram cvičení:

13.2.2023 Úvod + Jazyk symbolických inštrukcií
20.2.2023 Shellcoding (10b)
27.2.2023 Shellcoding konzultácie
6.3.2023 Reverzné inžinierstvo (10b)
13.3.2023 Reverzné inžinierstvo konzultácie
20.3.2023 Pamäťové zraniteľnosti (10b)
27.3.2023 Pamäťové zraniteľnosti konzultácie
3.4.2023 Pamäťové zraniteľnosti konzultácie
11.4.2023 Návratovo orientované programovanie (10b)
17.4.2023 Návratovo orientované programovnanie konzultácie
24.4.2023 Exploitácia (10b)
11.5.2023 Exploitácia konzultácie

Bodové rozdelenie

Cvičenia: 50 bodov
Prednášky: 25 bodov za test počas semestra alebo za prezentáciu
Skúška: 25 bodov
Ďalšie „bonusové“ body je možné získať na cvičeniach aj na prednáškach.

Podmienky absolvovania

Zápočet získa ten, kto

  1. má aspoň 50% úspešnosť z cvičení
  2. a zároveň má aspoň 50% celkovú úspešnosť z testov počas prednášok

Predmet absolvuje ten, kto

  1. získa zápočet
  2. a zároveň získa aspoň 56% (= 56 bodov) dokopy

Známky budú pridelené podľa platnej klasifikačnej stupnice FEI.

Literatúra

Ďalšie študijné materiály budú uvedené na prednáškach. Jedná sa väčšinou o odborné a vedecké články v angličtine a materiály z webu.

  1. William Stallings, Lawrie Brown. Computer Security: Principles and Practice, 4th ed., Pearson, 2018. (odporúčané čítanie)
  2. Charles P. Pfleeger, Shari L. Pfleeger, Jonathan Marguiles: Security in Computing, 5th ed., Prentice Hall, 2015. (dá sa vygoogliť pdf)
  3. Ross Anderson: Security Engineering, 3rd ed., Wiley, 2020. (2. vydanie z 2008 zadarmo)