Úvod do počítačovej bezpečnosti

Prednášajúci:Pavol Zajac
Cvičiaci:Štefan Balogh
Kategória predmetu:,

Upozornenie

Upozornenie: Predmet I-UPB je možné pokúsiť sa absolvovať maximálne 2x, po druhom nezvládnutí predmetu bude študent vylúčený zo štúdia (žiadne odpisovanie po semestri).


 

Materiály k prednáškam

Slajdy z prednášok budú pribúdať v sprievodnom  Moodle kurze  (aktuálne sú tam prednášky z roku 2015, môžu sa zmeniť).

Ostatné odkazy k prednáškam:

SimpleWebServer (v časti Source Code) a iné materiály ku knihe Christoph Kern, Anita Kesavan, Neil Daswani. Foundations of Security: What Every Programmer Needs to Know.

Java Cryptography Architecture

CERT coding standards
Testovací kód k buffer overflow, základná verzia [attachment:access1.c C kód]

OWASP SQL Injection Prevention Cheat Sheet

Organizácia predmetu

Prednášky: Pavol Zajac
Cvičenia: Štefan Balogh, Peter Švec

AIS sylabus
Cvičenia sú založené na riešení zadaní. Organizácia prezenčných cvičení:
1 hodina týždenne vždy po prednáške (povinná účasť), spoločné inštrukcie ku zadaniam
1 hodina týždenne rezervovaná na priebežné konzultácie a pomoc pri problémoch s riešením zadaní v menších skupinách

Hodnotenie

40 bodov za semester (min. 20 bodov podmienka absolovania)
10 bodov priebežne na prednáškach
50 bodov písomná skúška (min. 25 bodov podmienka absolvovania)

Obsah prednášok

Predpokladaný plán predmetu:

Pozvaná prednáška, informačná bezpečnosť
Modelovanie hrozieb, STRIDE
Základné bezpečnostné opatrenia, prehľad kryptografických nástrojov
Kryptografia podrobnejšie: dôvernosť dát
Kryptografia podrobnejšie: integrita a nepopierateľnosť správ
Autentizácia/autorizácia, správa identít, privacy
Heslá, viacfaktorová autentizácia, session management
Injection type zraniteľnosti / all input is evil / : overflow, SQL injection, general code injection
Špecifické hrozby pre web aplikácie (javascript related, cross-site, OWASP…)
TODO: Pozvaná prednáška – útoky na web
TODO: Pozvaná prednáška – zraniteľnosti desktop aplikácií
TODO: Výberová téma (kryptomeny/blockchain, post-quantum/quantum, games and cheating, DRM, steganografia, …)

Obsah cvičení/zadania

Ak všetko pôjde podľa plánu:

Modelovanie hrozieb metodikou STRIDE
Vytvorenie (server-side) aplikácie na šifrovanie súborov
Riešenie používateľských účtov a správy hesiel
Analýza zabezpečenia modelového web-servera
Zabezpečenie vytvorenej webovej aplikácie (server+klient)

Odporúčaná literatúra

[http://www.apress.com/9781590597842 Christoph Kern, Anita Kesavan, Neil Daswani. Foundations of Security: What Every Programmer Needs to Know. ISBN: 978-1-59059-784-2. Apress, 2007]

[http://eu.wiley.com/WileyCDA/WileyTitle/productCd-0470474246.html Niels Ferguson, Bruce Schneier, Tadayoshi Kohno. Cryptography Engineering: Design Principles and Practical Applications. ISBN: 978-0-470-47424-2. Wiley, 2010]

[http://eu.wiley.com/WileyCDA/WileyTitle/productCd-1118809998.html Adam Shostack. Threat Modeling: Designing for Security. ISBN: 978-1-118-80999-0. Wiley, 2014]

[https://www.microsoft.com/learning/en-us/book.aspx?id=5957 Michael Howard, David LeBlanc. Writing Secure Code, Second Edition. ISBN: 9780735617223. Microsoft Press, 2002]

[https://www.microsoft.com/learning/en-us/book.aspx?ID=6892 Frank Swiderski, Window Snyder. Threat Modeling. ISBN: 9780735619913. Microsoft Press, 2004]

[http://www.cert.org/secure-coding/publications/books/secure-coding-c-c-second-edition.cfm Robert C. Seacord. Secure Coding in C and C++, Second Edition. ISBN: 978-0-321-82213-0. Addison-Wesley, 2013]

[http://www.amazon.com/Cryptographic-Libraries-Developers-Charles-Programming/dp/1584504099 Ed Moyle, Diana Kelley. Cryptographic Libraries for Developers. ISBN: 978-1-584-50409-2. Charles River Media, 2005]

Odkazy

Zaujímavé čítanie k DOS útokom: https://krebsonsecurity.com/2016/09/the-democratization-of-censorship/ (plus veľa ďalších zaujímavých článkov o bezpečnosti)

https://msdn.microsoft.com/en-us/security/aa570401.aspx

http://www.cert.org/

https://www.csirt.org/

https://nvd.nist.gov/

http://csrc.nist.gov/

https://cve.mitre.org/

http://www.osvdb.org/

[https://www.youtube.com/watch?v=GqmQg-cszw4&list=PLUl4u3cNGP62K2DjQLRxDNRi0z2IRWnNh MIT courseware Computer Systems Security]