Bezpečnosť informačných systémov z pohľadu praxe

Prednášajúci:Michal Šrámka
Cvičiaci:Peter Švec
Linky:IS Sylabus
Vyučovanie
Kategória predmetu:,
Online výuka

MS Teams – BISPP

Upozornenie

Predpokladá sa, že študenti majú znalosti z operačných systémov, programovania, komunikačných sietí a z kryptológie.

Oznamy
Výuka
Podmienky
Cvičenia
Literatúra

V súčasnosti prebieha výuka online/distančne.

Office 365 info – vytvorenie konta pre O365, teda aj pre MS Teams

Ďaľšie oznamy budú priamo v MS Teams – BISPP 2022.

Predmet je členený do nasledujúcich aktivít:

  • Prednášky: 2 hodiny týždenne podľa rozvrhu
  • Cvičenia: 2 hodiny týždenne podľa rozvrhu
Cvičenia

Cvičiaci: Ing. Peter Švec
informácie k cvičeniam sú v záložke Cvičenia

Prednášky

Utorky v BC 150, 13:00 – 14:40 hod.
Pripojte sa na/cez MS Teams v utorky o 13:00

Prednášajúci: doc. Ing. Michal Šrámka, PhD.
Konzultácie: priebežne na MS Teams vo všeobecnej diskusii, osobnejšie cez MS Teams chat alebo email sramka(na)stuba.sk

Cieľ predmetu

Základné informácie z oblasti bezpečnosti informačných systémov a to najmä z pohľadu praxe. Výučba bude rozdelené do niekoľkých blokov, v ktorých sa bude postupne analyzovať problematika formálnej bezpečnosti (bezpečnostné normy, manažment bezpečnosti), sieťovej bezpečnosti (architektúry, komponenty, bezpečná komunikácia), systémovej a aplikačnej bezpečnosti (autentifikácia, autorizácia, dôveryhodné systémy, škodlivé kódy) a problematika súkromia (sledovanie na webe, emailu, ochrana súkromia). Súčasťou výučby budú reálne príklady z praxe, z pohľadu útočníkov aj bezpečnostných špecialistov.

Bodové rozdelenie

Cvičenia: 50 bodov
Prednášky: 50 bodov – v prípade prezenčnej v výučby to bude písomná skúška za 50 bodov počas skúškového obdobia, v prípade online výuky bude 50 bodov rovnomerne rozdelených na priebežné testy počas semestra.

Podmienky absolvovania

Predmet absolvuje ten, kto

  1. má aspoň 50% úspešnosť z cvičení (50% z 50 bodov => aspoň 25 bodov)
  2. má účasť na všetkých* priebežných testoch z prednášok
  3. má aspoň 50% celkovú úspešnosť z priebežných testov (resp. z písomnej skúšky, ak by bola)
  4. získa aspoň 56% (= 56 bodov) dokopy

Známky budú pridelené podľa platnej klasifikačnej stupnice FEI.

Informácie k testom sú publikované na MS Teams.

* 2 neospravedlné neúčasti na testoch sú povolené. 50 bodov bude teda zo (všetkých – 2) najlepších testov [ak niekto nevynechá žiadny test, 2 najhoršie sa nerátajú. ak vynechá 1 test, najhorší sa neráta. ak vynechá 2 testy, do 50 bodov sa rátajú všetky spravené. ak vynechá 3 a viac testov, nezíska zápočet.] Náhradné testy pre ospravedlnených v AIS budú k dispozícii na vyžiadanie do dvoch týždňov od ukončenia neprítomnosti.

  • Cvičenia budú prebiehať formou tímovej CTF (Capture The Flag) súťaže. Forma súťaže bude typu Jeopardy, kde úlohy budú rozdelené do rôznych tém (úlohy z novej témy budú pribúdať v dvojtýždňových intervaloch). Každá téma sa bude venovať špecifickej oblasti/skillu v rámci binárnej exploitácie (podmnožina hackingu), od písania shellcodu, reverzného inžinierstva až po exploitovanie pamäťových zraniteľností a ROP. Súťaž vyvrcholí posledným blokom Exploitácia, v ktorom bude potrebné aplikovať vedomosti z celého semestra a vytvoriť komplexné exploity voči plne chráneným programom.
  • Riešenie úloh bude prebiehať v menších tímoch (1-3); jednočlenný tím je možný pre veľmi motivovaných jedincov).
  • Súťaž je tímová (kolaboratívne riešenie úloh).
  • Každý blok je za 10 bodov. Počet úloh bude vždy variabilný t.j. N (1-10). Počet bodov za úlohu je vždy 10/N.
  • Celkovo je dostupných 50 bodov za semester (min. 25 na zápočet).
  • Prvé tri tímy v každom bloku získavajú bonusové body.
  • Cvičenia sú nepovinné (okrem prvého!), avšak vždy na prvom cvičení v danom bloku bude predstavený teoretický úvod + riešenie prvej úlohy.
  • Okrem odovzdania správneho riešenia bude nutné nahrať do AISu zdrojové kódy úloh (okrem špecialneho bloku číslo 2) . Ďalšie detaily budú priblížené na cvičení.
  • Neodovzdávajte cudzie flagy (budeme to vedieť detegovať).

Cvičenia (cez STU konto): https://meet.google.com/ayo-oahg-obt

CTF server: https://feictf.xyz/

Harmonogram cvičení:

14.2.2022 Úvod + Jazyk symbolických inštrukcií (assembler)
21.2.2022 Rektorské voľno
28.2.2022 Shellcoding (10 bodov)
7.3.2022 Shellcoding – konzultácie
14.3.2022  Reverzné inžinierstvo (10 bodov)
21.3.2022 Reverzné inžinierstvo – konzultácie
28.3.2022 Pamäťové zraniteľnosti (10 bodov)
4.4.2022 Pamäťové zraniteľnosti – konzultácie
11.4.2022 Návratovo orientované programovanie (10 bodov)
25.4.2022 Návratovo orientované programovanie – konzultácie
2.5.2022 Exploitácia (10 bodov)
9.5.2022 Exploitácia – konzultácie

Literatúra

Prednášky budú čerpať hlavne z knihy Computer Security. Ďalšie študijné materiály budú uvedené na prednáškach. Jedná sa väčšinou o odborné a vedecké články v angličtine a materiály z WWW.

  1. William Stallings and Lawrie Brown. Computer Security: Principles and Practice, 2.ed, Pearson, 2012. odporúčané čítanie
  2. Charles P. Pfleeger a Shari L. Pfleeger. Security in Computing, 4ed., Prentice Hall, 2008.
  3. Ross Anderson. Security Engineering, 2ed., Wiley, 2008. 1. vydanie z 2001 zadarmo
  4. S. Garfinkel. Database Nation: The Death of Privacy in the 21st Century, O’Reilly, 2000.
  5. Robert O’Harrow. No Place to Hide: Behind the Scenes of Our Emerging Surveillance Society, Free Press, 2005.