Computer and Data Security

Sigurnost računala i podataka

Preddiplomski studij računarstva (120)

2011/12

Osnove

Predavač: Mario Čagalj (mario.cagalj@fesb.hr, http://www.fesb.hr/~mcagalj)
Asistent: Toni Perković (toperkov@fesb.hr)
Web: http://www.fesb.hr/~mcagalj/SRP_12
Termin: Utorak, 09:00-11:00
Predavaonica: C401

Završni ispit: 3.2. (petak) u 10h00 u C502. Ispit je 'open-book' tipa.

Opis predmeta

U okviru ovog predmeta, studenti će se upoznati sa osnovnim aspektima računalne sigurnosti povjerljivost, cjelovitost, dostupnost (confidentiality, integrity & availability - CIA), te sigurnosnim mehanizmima (tehničkim i netehničkim) za realizaciju i implementaciju sigurnih računalnih sustava. Neke od tema koje planiramo obraditi u okviru ovog predmeta su kontrola pristupa (access control), osnove kriptografije, kontrola pristupa datotekama u UNIX i Windows operacijskim sustavima, maliciozni softver (virusi, računalni crvi, rootkits, bot mreže) i zaštita od malicioznog softvera, programska sigurnost (buffer overflow napadi), trusted computing i Trusted Platform Module (TPM), višerazinska sigurnost (Bell-LaPadula, Chinese wall modeli sigurnosti), DoS i DDoS napadi i obrane, upravljanje sigurnošću, procjena rizika, penetration testing i auditing.

Od studenata se očekuje aktivno sudjelovanje u nastavi. Format predavanja je ineraktivan: slobodno postavljajte pitanja, te ako vam se učini da sam napisao ili rekao nešto netočno ili pogrešno, možda i jesam (slobodno me upozorite).

Ocjenjivanje

(A) Prisustvo na predavanjima i lab. vježbama
(B) “Midterm” (pismeni) - sredina predavanja
(C) Projektni zadatak
(D) Pismeni ispit - kraj predavanja

Konačna ocjena: Round[ 0.05*A + 0.15*B + 0.35*C + 0.45*D ]

Konzultacije

Po dogovoru (obavezno me kontaktirajte putem e-maila):

E-mail: mario.cagalj@fesb.hr
Ured: A503
Tel.: 5663

Predavanja

Slide-ove sa predavanja postavljat ću različitom dinamikom na web stranice predmeta (uoči ili nakon predavanja).

Datum	Opis	Slide-ovi sa predavanja	Vezana literatura (radovi)
4.10.	General info/Demo/Why Info Security is Hard?	Lecture-1.ppt	Literatura 1
11.10.	Overview of Computer Security/Basic Concepts	Lecture-2.ppt	Literatura 2
18.10.	Basic Concepts/Basic Cryptography	Lecture-3.ppt	Literatura 3
25.10.	Secret key crypto	Lecture-3.ppt	Literatura 3
1.11.	Hash, MAC, intro public key crypto	Lecture-3.ppt	Literatura 3
8.11.	Public key crypto, digital cert., random num.	Lecture-3.ppt	Literatura 3
15.11.	User authentication intro	Lecture-4.ppt	Literatura 4
22.11.	User authentication UNIX	Lecture-4.ppt	Literatura 4
29.11.	User authentication Windows, TMTO - rainbow t.	Lecture-4.ppt, Rainbow	Literatura 4
6.12.	Biometric authentication, Access Control intro	Lecture-4.ppt	Literatura 4
13.12.	Middterm exam (1. kolokvij)
20.12.	Access Control	Lecture-5.ppt	Literatura 5
10.1.	Malware: Viruses, Trojan horses, Antivirus	Lecture-6.ppt	Literatura 6
17.1.	Malware: Internet worms	Lecture-7.ppt	Literatura 7
24.1.	DDoS Attacks and Countermeasures	Lecture-8.ppt	Literatura 8
3.2.	Final exam

Laboratorijske vježbe i projekti

Laboratorijske vježbe će biti praktično-auditornog tipa. Vježbe će se održavati ponedjeljkom u 14h30-16h00 i utorkom u 14h00-15h30 u labu A508. U okviru vježbi studenti će realizirati praktičan projekt na neku od ponuđenih tema iz područja računalne sigurnosti. Student će detaljno dokumentirati projekt u formi opširnijeg izvještaja: opisati zadatak, detalje izvedbe, analizirati i diskutirati dobivene rezultate. Na zahtjev student je također dužan pripremiti prezentaciju u kojoj će izložiti rezultate ostvarene tijekom izrade projekta. Prezentacije projekata će se održati na kraju semestra. Profesor će osigurati uvjete, sav potreban materijal kao i asistentsku potporu nužanu za uspješnu izvedbu projekta. Ocjena projekta (rad + prezentacija) ulazi u konačnu ocjenu!

Okviran (open-end) popis projektnih tema:
Penetration testing, Keyloggin software, Fuzzing, Buffer overflow, Access control in Linux and Windows, Setting up and managing an Active Directory, OpenVPN, Cracking passwords using Rainbow tables, DoS and DDoS, Using TPM for advanced system protection, DB security (MySQL), Drive encryption, SFTP, SSH, QR and Man-in-the-Browser...

Literatura
Osnovna:
- o“Computer Security Principles and Practice”. W. Stallings and L. Brown - “Computer Security: Art and Science.” Matt Bishop

Vezane knjige dostupne "on-line":
- “Handbook of Applied Cryptography.” Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone - “Security Engineering.” Ross Anderson - o“Firewalls and Internet Security: Repelling the Wily Hacker, 1st Edition.” William R. Cheswick and Steven M. Bellovin

Slide-ovi sa predavanja (članci i poglavlja knjiga):

- Literatura 1
1. "Why Information Security is Hard – An Economic Perspective". R. Anderson, 2001.
2. Uvodna poglavlja “Security Engineering”.

- Literatura 2
1. "Computer Security in the Real World". Butler W. Lampson, 2004.
2. "An Introduction to Computer Security: The NIST Handbook". NIST, 1995.
3. Poglavlje 1 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
4. Uvodna poglavlja “Security Engineering”.

- Literatura 3
1. Chapter 1, 7, 8 and 12 from “Handbook of Applied Cryptography”.
2. "New Directions in Cryptography." Whitfield Diffie and Martin E. Hellman. IEEE Transactions on Information Theory, November 1976.
3. "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems." Rivest, Shamir, and Adleman. Comm. of the ACM, 1978.
4. Cryptool

- Literatura 4
1. Poglavlje 3 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
2. “password protection for modern operating systems”. S. Alexander, ;login: 2004
3. “Comparing Passwords, Tokens, and Biometrics for User Authentication”. L. O'Gorman, Proceedings of the IEEE, 2003
4. “NTLM Authentication Unsafe”. iSec Partners, 2004

- Literatura 5
1. Poglavlje 4 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
2. “Access Control: Principles and Practice”. R. S. Sandhu and P. Samarati, IEEE Communications Magazine, 1994
3. “Role-Based Access Controls”. D. F. Ferraiolo and D. R. Kuhn, 15th National Computer Security Conference, 1992
4. “Windows: Parts of the Access Control Model”. Microsoft MSDN Library, 2010
5. “Windows Server 2003: Authorization and Access Control Technologies”. Microsoft TechNet, 2003
6. Google "Windows Vista Mandatory Integrity Control"

- Literatura 6
1. Poglavlje 7 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
2. “Virus-Antivirus Coevolution”. Symantec 2001
3. “Understanding Heuristics”. Symantec 1997
4. “Understanding and Managing Polymorphic Viruses”. Symantec 1996
5. “Behavior Blocking: The Next Step in Anti-Virus Protection”. Carey Nachenberg, 2002

- Literatura 7
1. Poglavlje 7 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
2. “How to 0wn the Internet in Your Spare Time”. S. Staniford, V. Paxson and N. Weaver, USENIX Security Symposium 2002
3. “The Spread of the Code-Red Worm (CRv2)”. CAIDA 2001
4. “Code Red Worm Propagation Modeling and Analysis”. C. Zou et al., ACM CCS 2002

- Literatura 8
1. Poglavlje 8 u “Computer Security Principles and Practice”. W. Stallings and L. Brown
2. “Defending against Flooding-Based Distributed Denial-of-Service Attacks: A Tutorial”. R. K. C. Chang, IEEE Communications Magazine 2002
3. “Inferring Internet Denial-of-Service Activity”. D. Moore, USENIX Security 2001
4. “The Strange Tale of the Denial of Service Attacks Against GRC.COM”. S. Gibson, 2001

Drugi interesantni linkovi:
1. http://www.cryptool.com (e-learning program za kriptografiju, za Windows platformu)

Kontakt za eventualne komentare i sugestije: mario.cagalj@fesb.hr (soba A503)