Bezpečnost a bezpečné programování

Přihlášení do KOSu pro zápis předmětu Zobrazit rozvrh

Kód	Zakončení	Kredity	Rozsah	Jazyk výuky
MI-BPR	Z,ZK	4	2+1	česky

Přednášející:

Tomáš Zahradnický, Róbert Lórencz (gar.)

Cvičící:

Tomáš Zahradnický

Předmět zajišťuje:

katedra počítačových systémů

Anotace:

Studenti se naučí posuzovat a zohledňovat bezpečnostní rizika při návrhu svého kódu a řešení v běžné inženýrské praxi. Od teorie modelování bezpečnostních rizik přistoupí k praxi, ve které si vyzkouší běh programů pod nižšími oprávněními a jak tato oprávnění stanovovat, protože ne každý program musí nutně běžet s administrátorským oprávněním. Dále se studenti budou krátce věnovat zabezpečení dat a jak toto zabezpečení souvisí s databázovými systémy, webem, vzdáleným voláním procedur a sokety obecně. V závěru se budou věnovat útokům typu DoS (Denial of Service) a obraně proti nim.

Požadavky:

Programování v C, znalost základních programových rozhraních a architektur počítačových systémů.

Osnova přednášek:

1. Úvod do bezpečnosti programování, současná bezpečnost.

2. Modelování bezpečnostních rizik.

3. Přetečení bufferu.

4. Psaní bezpečnějšího kódu v C.

5. Úrovně bezpečnostních oprávnění, ACL.

6. Běh programu při nízkých oprávněních.

7. Zabezpečení a integrita dat.

8. Datový vstup, kánonická reprezentace a bezpečnost.

9. Databáze a bezpečnost.

10. Bezpečnost webových aplikací.

11. Sokety, RPC a bezpečnost.

12. Ochrana proti DoS útokům.

13. Závěrečná přednáška, shrnutí, opakování

Osnova cvičení:

1. Modelování bezpečnostních rizik.

2. Přetečení bufferu.

3. Běh programu při nízkých oprávněních.

4. Databáze a bezpečnost.

5. Bezpečnost webových aplikací.

6. DoS útoky.

Cíle studia:

Cílem předmětu je studenty naučit myslet na bezpečnostní faktory při návrhu svých aplikací a řešení, které jsou dnes nepostradatelné. To budou studenti provádět modelováním bezpečnostních rizik, které posléze uvedou v praxi na úrovni programů v C. Studenti se naučí určit minimální privilegia pro běh programu. Dále se naučí, jak ve svých programech zabezpečit data, datovou komunikaci, vzdálené volání procedur a web.

Studijní materiály:

Howard, M., LeBlanc, D. ''Writing Secure Code (2nd Edition)''. Microsoft Press, 2003. ISBN 0735617228.

Howard, M., LeBlanc, D. „Writing Secure Code for Windows Vista“. Microsoft Press, 2007.

http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project

Poznámka:

Rozsah=prednasky+proseminare+cviceni2p+1c, Prednasejici: doc. Ing. Róbert Lórencz CSc.

Rozvrh na zimní semestr 2011/2012:

	06:00–08:0008:00–10:0010:00–12:0012:00–14:0014:00–16:0016:00–18:0018:00–20:0020:00–22:0022:00–24:00
Po
Út	místnost T9:349 Zahradnický T. 09:15–10:45 (přednášková par. 1) Dejvice NBFIT místnostmístnost T9:348 Zahradnický T. 11:00–12:30 LICHÝ TÝDEN (přednášková par. 1 paralelka 101) Dejvice NBFIT BOU ucebna místnost T9:348 Zahradnický T. 11:00–12:30 SUDÝ TÝDEN (přednášková par. 1 paralelka 102) Dejvice NBFIT BOU ucebna
St
Čt
Pá

Rozvrh na letní semestr 2011/2012:

Rozvrh není připraven

Předmět je součástí následujících studijních plánů:

Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2010 (povinný předmět oboru)
Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2010 (povinný předmět zaměření)
Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2010 (VO)
Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2011 (VO)
Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2011 (povinný předmět oboru)
Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2011 (povinný předmět zaměření)
Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2012 (VO)
Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2012 (povinný předmět oboru)
Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2012 (povinný předmět zaměření)