Bezpečnosť informačných systémov z pohľadu praxe

Prednášajúci:Michal Šrámka
Cvičiaci:Štefan Balogh
Kategória predmetu:,

Upozornenie

Predpokladá sa, že študenti majú znalosti z operačných systémov, programovania, komunikačných sietí a z kryptológie.

Organizácia
Podmienky
Cvičenia
Literatúra

Plán ukončenia predmetu

  • semestrálne práce opravené do 2.6.
  • výsledky aj s cvičeniami zosumarizované najneskôr 2.6. (linka na hodnotenie tu vpravo)
  • možnosť konzultácie v piatok 5.6. – napíšte mi na email ak máte záujem, spravíme v piatok chat/meet
  • zadanie známok do AISu po konzultáciách (okrem ing 2. ročník, ktorí by to mali mať do 3.6.)

Organizácia predmetu

Predmet je členený do nasledujúcich aktivít:

  • Prednášky: 2 hodiny týždenne podľa rozvrhu
  • Cvičenie: 2 hodiny týždenne podľa rozvrhu
  • Samostatné domáce štúdium
Prednáška:

Utorok, BC 150, 13:00 – 15:00 hod.
Utorok, meet.google.com/jis-ymod-bmt, od 13:00

Konzultácie:

Konzultačné hodiny po dohode mailom

Cieľ predmetu

Základné informácie z oblasti bezpečnosti informačných systémov a to najmä z pohľadu praxe. Výučba bude rozdelené do niekoľkých blokov, v ktorých sa bude postupne analyzovať problematika formálnej bezpečnosti (bezpečnostné normy, manažment bezpečnosti), sieťovej bezpečnosti (architektúry, komponenty, bezpečná komunikácia), systémovej a aplikačnej bezpečnosti (autentifikácia, autorizácia, dôveryhodné systémy, škodlivé kódy) a problematika súkromia (sledovanie na webe, emailu, ochrana súkromia). Súčasťou výučby budú reálne príklady z praxe, z pohľadu útočníkov aj bezpečnostných špecialistov.

Plán semestra

18.2.2020Prednáška 1 – Úvodné informácie. Základy bezpečnosti, definície.
25.2.2020Prednáška 2 – Sieťová bezpečnosť: hrozby
3.3.2020Prednáška 3 – Sieťová bezpečnosť: protiopatrenia
10.3.2020Prednáška 4 – odpadla
17.3.2020Prednáška 5 – Sieťová bezpečnosť: prvky ochrany
24.3.2020Prednáška 6 – Bezpečná komunikácia
31.3.2020Prednáška 7 – Bezpečnosť databáz
7.4.2020Prednáška 8 – Identita a prístup
+ test z prednášky 1 a 2
14.4.2020Prednáška 9 – Šifrovanie v praxi
+ test z prednášky 3 a 5
21.4.2020Prednáška 10 – Bezpečnosť koncových zariadení
IT audit, Sociálne inžinierstvo (pozvaná prednáška)
+ test z prednášky 6 + 7
28.4.2020Prednáška 11 – Anonymita a anonymná komunikácia + test z prednášky 8 + 9
5.5.2020Prednáška 12 – Bezpečný vývoj
+ test z prednášky 10 + 11
Materiály z prednášok

prezentácie

Nové podmienky absolvovania

Cvičenia: 50 bodov, zadania ostávajú

Písomná skúška: bude len v prípade, že „Prerušenie prezenčnej metódy štúdia na VŠ“ bude ukončené pred koncom skúškového obdobia (v súčasnosti je Prerušenie platné do odvolania a skúškové obdobie podľa nového harmonogramu výuky končí 25.7.2020)

Náhradou písomnej skúšky bude:

  1. Test každý týždeň pred prednáškou
    • online formulár alebo AIS. 1-5 otázok. časovo ohraničené.
    • nebudú body. vyhodnocovať sa bude úspešnosť
  2. Vypracovanie písomného projektu
    • výber tém bol možný do 9.4.
    • zoznam tém je sfinalizovaný od 15.4.
    • odovzdanie do AISu do 15.5.
    • forma: titulná strana, [obsah], [skratky], text (Times 12pt, riadkovanie 1.1-1.3, okraje 1”) 8-10 strán (cca. 50% texu toretický úvod a základy, 50% praktická časť), [literatúra, ak nie sú odkazy pod čiarou(footnotes)]
    • hodnotiť za 50 bodov sa bude text (teoretická a praktická časť). úspešnosť testov môže ovplyvniť výsledný počet bodov

Pôvodné Podmienky absolvovania

Cvičenia: 50 bodov
Písomná skúška: 50 bodov

Na absolvovanie predmetu je potrebné získať aspoň 25 bodov zo skúšky a 56 bodov dokopy.

 

Cieľom cvičení je porozumieť praktickej stránke kybernetickej bezpečnosti z pohľadu bezpečnostného špecialistu (t.j. akým spôsobom chrániť infraštruktúru) ale aj z pohľadu útočníka (t.j. hľadať zraniteľnosti v infraštruktúre a následne hľadať spôsoby ako ich zneužiť).  Počas semestra sa bude postupne pracovať na 6 zadaniach, každé dva týždne (každé zadanie bude za 8 alebo 9 bodov, spolu 50). Pracovať sa bude v menších tímoch (4-5 študentov).  Výstupom každého zadania bude odovzdaná dokumentácia v AISe a krátka prezentácia na cvičení pre cvičiacich a spolužiakov. Účasť na cvičeniach, kde sa prezentujú zadania je povinná. Zvyšné cvičenia majú hlavne konzultačný charakter a účasť nie je povinná, avšak na niektorých vybraných cvičeniach sa budú prezentovať informácie k zadaniam, resp. teoretický úvod a metodika ako postupovať (najmä k zadaniam z bloku Exploitácie).

Konzultácie k zadaniam prebiehajú na Discord serveri: https://discord.gg/ysyBz6Q

Zmena: Pôvodných 6 zadaní bolo zredukovaných na 5. Body za zadania 4 a 5 boli zvýšené z 8 na 12.

Harmonogram cvičení:

17.2.2020Organizačné záležitosti
24.2.2020Vytvorenie infraštruktúry a inštalácia IDS [9 b]
2.3.2020Vytvorenie infraštruktúry a inštalácia IDS (pokračovanie)
9.3.2020Inštalácia HIDS systémov [8 b]
16.3.2020Inštalácia HIDS systémov (pokračovanie)
23.3.2020Exploitácia (w/o NX) [9 b]
30.3.2020Exploitácia (w/o NX pokračovanie)
6.4.2020Exploitácia (w/ NX) [12 b]
20.4.2020Exploitácia (w/ NX pokračovanie)
27.4.2020Web hacking [12 b]
4.5.2020Web hacking (pokračovanie)
11.5.2020Web hacking (pokračovanie 2)

Literatúra

Prednášky budú čerpať hlavne z knihy Computer Security. Ďalšie študijné materiály budú uvedené na prednáškach. Jedná sa väčšinou o odborné a vedecké články v angličtine a materiály z WWW.

  1. William Stallings and Lawrie Brown. Computer Security: Principles and Practice, 2.ed, Pearson, 2012. odporúčané čítanie
  2. Charles P. Pfleeger a Shari L. Pfleeger. Security in Computing, 4ed., Prentice Hall, 2008.
  3. Ross Anderson. Security Engineering, 2ed., Wiley, 2008. 1. vydanie z 2001 zadarmo
  4. S. Garfinkel. Database Nation: The Death of Privacy in the 21st Century, O’Reilly, 2000.
  5. Robert O’Harrow. No Place to Hide: Behind the Scenes of Our Emerging Surveillance Society, Free Press, 2005.