**Cel zajęć**
Celem zajęć jest zaznajomienie studentow z problematyką bezpieczeństwa
komputerowego, uczulenie na zagrożenia cyberprzestępczością i wykształcenie
właściwych nawykow ochrony poufności informacji oraz szerzenie dobrych praktyk
w dziedzinie zapewnienia bezpieczeństwa informacji. Zostaną przedstawione
podstawowe narzędzia służące do ochrony informacji, takie jak programy
szyfrujące, _firewalle_ , systemy IPS itp., ale wykład omawia nie tylko
techniczne, lecz także (a właściwie przede wszystkim) etyczne, psychologiczne,
socjologiczne i prawne aspekty bezpieczeństwa komputerowego. Jest więc nie
tylko przedmiotem „technicznym", lecz też po części „humanistycznym", co
odzwierciedla słowo „kultura" w nazwie. Przedmiot nie wymaga wstępnego
przygotowania studentow z zakresu bezpieczeństwa komputerowego ani szczegolnej
wiedzy informatycznej i jest przewidziany głownie dla młodszych studentow. Z
tego powodu celem zajęć jest też zachęcenie słuchaczy do wyboru kolejnych,
bardziej specjalistycznych i już _stricte_ technicznych przedmiot ow
dotyczących bezpieczeństwa komputerowego i do specjalizowania się na starszych
latach studiow w tej dziedzinie.
**Forma zajęć**
**Zajęcia obowiązkowe:** Odbędzie się 30 dwugodzinnych spotkań, przy czym w
pierwszej części semestru odbędzie się 15-20 wykładow, zaś w drugiej -- 10-15
seminariow poprowadzonych przez studentow. Na wykładzie zostaną omowione
podstawowe problemy bezpieczeństwa komputerowego. W trakcie seminariow
studenci przedstawią wybrane, bardziej szczegołowe zagadnienia. Każdy student
w trakcie semestru napisze 3 eseje (w dowolnym języku, ktory znają prowadzący,
w szczegolności może to być polski lub angielski). Warunkiem zaliczenia
ćwiczeń jest otrzymanie pozytywnej oceny z wszystkich trzech esejow. Autorzy
najlepszych esejow zostaną nominowani do wygłoszenia seminariow na podstawie
swoich esejow (po polsku lub angielsku).
**Zajęcia fakultatywne:** 15 wieczorkow, w trakcie ktorych odbędą się pokazy
pentestingu, instalowania i administrowania oprogramowaniem itp., dyskusje
panelowe i projekcje filmow.
**Treść wykładu**
I. WPROWADZENIE
1. Wprowadzenie do problematyki bezpieczeństwa komputerowego. Kultura bezpieczeństwa.
2. Omowienie sposobu pisania esejow.
II. CYBERBEZPIECZEŃSTWO
1. Cyberbezpieczeństwo narodowe. a) Zagrożenia infrastruktury krytycznej i ładu gospodarczego. Służby powołane do ochrony bezpieczeństwa państwa (NSA, GCHQ, ABW, FSB) i ich uprawnienia. Kontrowersje. Cyberinwigilacja. Wikileaks (Julian Assange) i Edward Snowden. b) Cyberwojna. Cyberterroryzm. Cyberszpiegostwo i szpiegostwo przemysłowe.
2. Cyberbezpieczeństwo jednostki. a) Hakerzy i kultura hackingu. _White/grey/black hats_. Chaos Computer Club. Najsłynniejsi hakerzy i ich losy (Kevin Mitnick, Kevin Poulsen, Władymir Lewin, Adrian Lamo i inni). _Script kiddies_. „Niezamowiony pentesting". Problemy prawne i zagrożenia. _Ethical hacking_. b) Cyberprzestępstwa. _Spam_ , _scam_ , oszustwa, wyłudzenia. _Nigerian 419 scam_. _Phishing_. Zagrożenia bankowości elektronicznej, cyberprzestępczość zorganizowana. c) Cyberwandalizm i _trolling_. Wandalizm w Wikipedii i innych portalach społecznościowych. d) Haktywizm. Nieposłuszeństwo obywatelskie. Zmiana prawa w ramach prawa, czy poza prawem? Ruchy społeczne. Anonymous. Wikileaks. Aaron Swartz. e) Rozwoj kryptografii w XX w. Kryptoanarchizm, ruch cypherpunks. _Cryptowars_.
3. Cyberprywatność. a) Potrzeba prywatności i jej ochrona. Publiczne a prywatne. Prywatność u zwierząt. Psychologia, socjologia i neurologia prywatności. Skrępowanie i wstyd. Czwarta poprawka do Konstytucji Stanow Zjednoczonych. Samuel D. Warren, Louis D. Brandeis, Judge Thomas McIntyre Cooley. b) Naruszanie prywatności przez państwo. Panopticon, Orwell i Kafka. Powszechny monitoring. Masowe zbieranie danych. Metadane. c) Naruszanie prywatności przez korporacje. Cyberprzemysł i „darmowe usługi". Przemysł reklamowy i _information economy_. Google, Facebook i in. Zbieranie danych w Internecie i inwigilacja użytkownikow przez korporacje. WWW, ciasteczka, Javascript i _browser fingerprinting_.
III. OCHRONA DANYCH
1. Kontrola dostępu. Protokoły AAA. Metody uwierzytelniania. Hasła. Bezpieczna mnemotechnika. Teoria bezpieczeństwa haseł. Uwierzytelnianie dwuskładnikowe. Problemy psychologiczne, _password fatigue_. Protokoły SSO, CAS. Uwierzytelnianie biometryczne.
2. Ochrona danych w spoczynku. _Digital forensics_. Architektura pamięci komputer ow. Dyski twarde mechaniczne i dyski SSD. Triada CIA. a) Dostępność danych. Backupowanie i archiwizacja danych. _Failure recovery_. Dostępne narzędzia i techniki. b) Poufność i integralność danych. Podstawy kryptografii. Szyfrowanie dyskow. Dostępne narzędzia. c) Retencja i niszczenie danych. Rekonstrukcja zniszczonych danych.
3. Ochrona danych w ruchu. Podstawy sieci komputerowych. Ataki na transmisję danych. MITM. _Typosquatting_. _Domain squatting_. _IDN homoglyph attack_. _BGP prefix hijacking_ i _DNS spoofing/cache poisoning_. Stos protokoł ow sieciowych i zasada end-to-end. Szyfrowanie w warstwach stosu TCP/IP. Szyfrowanie w warstwie aplikacji. Poczta elektroniczna i jej ochrona. OpenPGP i S/MIME. Szyfrowanie w warstwie transportowej. SSL/TLS. Infrastruktura klucza publicznego. _Certificate Authorities_ i _Web of Trust_. Problemy z CA w TLS. Certyfikaty w przeglądarkach WWW. Szyfrowanie w warstwie sieciowej i VPN. Szyfrowanie w warstwie łącza danych, WPA. Podatność WEP.
4. Cyberprawo. Prawo autorskie i plagiaty. Autorskie prawa majątkowe i piractwo. Specyfika mediow elektronicznych. _Descrambling_ a prawo. DRM. _Creative Commons_. Dozwolony użytek. Dobre praktyki. Jak tworzyć i rozpowszechniać własne dzieła z poszanowaniem cudzej własności intelektualnej.
**Przykładowe tematy esej ow**
1. Anonymous -- historia, fakty. Czemu nie atakują Rosjan podczas sporu z Ukrainą? Czyżby wszyscy Anonymous byli Rosjanami?
2. Spam (elektroniczny i papierowy), telemarketing, niechciane reklamy. Jesteśmy na nie skazani, czy powinniśmy z nimi walczyć? Jak one wpływają na nasze zachowanie, w szczegolności decyzje, ktore podejmujemy?
3. Lista Robinsonow -- rozwiązanie problemu, czy fortel spamerow i telemarketerow by obejść prawo? A może jeszcze jeden sposob na wyłudzanie danych osobowych?
4. Cyberprzemoc. Czy to jest problem społeczny w Polsce?
5. Trolling i mowa nienawiści w Internecie. Dlaczego te negatywne zjawiska występują masowo w komunikacji elektronicznej? Czy i jak powinniśmy na nie reagować?
6. Cyberdebilizm. Afera generała Petraeusa: czy szef CIA może nie mieć bladego pojęcia o cyberpoufności?
7. Uber, Airbnb i in. Czy nowe technologie spowodują rewolucję społeczno-ekonomiczną? Kto na niej zyska, a kto straci?
8. Kody CVV2 -- zwiększenie bezpieczeństwa czy mydlenie oczu?
9. RFID i NFC. Wygoda, czy zagrożenie? Inwigilacja poprzez RFID. Ataki na urządzenia z NFC. Atak przedłużonego terminala.
10. Emission security. Czy można skonstruować zdalny keylogger działający poprzez sieć energetyczną? Czy można przechwytywać dane podsłuchując hałas wytwarzany przez urządzenia elektroniczne (w tym zasilacze)?
11. Skąd Google Maps wiedzą, gdzie są korki?
12. Podpis elektroniczny kwalifikowany i profil zaufany. Czemu jeszcze nie jesteśmy e-obywatelami? Doświadczenia i problemy E-stonii.
13. E-wybory i e-głosowania. Protokoły, bezpieczeństwo, doświadczenia.
14. Czterocyfrowy PIN zapisany na karcie płatniczej. Oni znowu to robią! Po co? Jak bardzo to jest niebezpieczne?
15. Elektroniczny pieniądz. Jak to działa? Korzyści i zagrożenia.
16. Ślad ekologiczny cyberinwigilacji. Jaki jest wpływ NSA na środowisko naturalne?
17. Bezpieczeństwo systemow informatycznych w motoryzacji.
18. Czy oprogramowanie Open Source jest bezpieczniejsze niż Closed Source?
19. Wirusy a OS. Ktory system jest najbardziej zawirusowany (zdaje się, że Android pobił Windows)?
20. Mit bezpiecznego systemu. Czy brak wirusow w Linuksie (np. Ubuntu) to kwestia dobrych zabezpieczeń, czy niskiej popularności?
21. Pod Linuksem można klikać w dowolny link, bo przecież żadnego wirusa się nie złapie. Czy aby na pewno jest to bezpieczne? CVE-2015-4495.
22. Ewolucja bezpieczeństwa Windows. Od podatnego XP do bezpiecznej 10-ki.
23. Do niedawna uważano, że OS X oraz iOS są bezpieczne. Ostatnie doniesienia wskazują, że tak może nie być. Jaka jest prawda?
24. Podatności Adobe Flash. Jak można było z tym żyć? Czy da się żyć bez? Nowe możliwości HTML w wersji 5 w znacznej części zastępują Flasha, ale czy są mniej podatne?
25. Dziury w SSL/TLS: BEAST, CRIME, TIME, BREACH, HEARTBLEED, POODLE… Czy połączenia HTTPS w ogole są bezpieczne?
26. Podatności protokołu DNS na ataki i sposoby zabezpieczania. DNSSEC.
27. Protokoł NTP i jego podatność na ataki. CVE-2013-5211.
28. Buffer overflow vulnerability -- nadal najpopularniejsza podatność umożliwiająca skonstruowanie ataku na kod mimo ochrony pamięci, separacji danych i kodu itd. Jak to możliwe?
29. Keyloggery -- jak działają i jak się przed nimi bronić?
30. SCADA i ataki na nie. Czy można rozregulować wrocławskie wodociągi przez Internet?
31. Wycieki prywatnych danych z chmur. Czy Dropbox jest bezpieczny? Przykłady incydentow (np. ostatni wyciek zdjęć nagich celebrytow). Metody zabezpieczania (encfs, duplicati, boxcryptor, cloudfogger, secretsync itp.)
32. Sprzętowe generatory liczb losowych. Jak skonstruować dobry generator? W jaki sposob może on polepszyć działanie /dev/random?
33. Onion routing -- jak to działa? Jak z tego korzystać? Czy jest bezpieczne? TOR -- kto za tym stoi? Czemu tego nie zabronią?
34. Co by się stało, gdyby nagle wyłączono Internet?
35. Prawnie dopuszczalna inwigilacja. Wymagane przez prawo lub potajemnie wprowadzone przez instytucje rządowe backdoory w popularnych protokołach. Przypadek WPS. Dual_EC_DRBG. Heartbleed -- przypadkowy błąd, czy celowe działanie?
36. Echelon -- początki inwigilacji na szeroką skalę.
37. No Such Agency. Historia i przyszłość NSA. Jakie są dopuszczalne normy działania takich instytucji w demokratycznych państwach i poza ich granicami?
38. Cenzura Internetu na Świecie. Spor Chin z Googlem, Egipt 2011, Rosja.
39. Pornografia w Internecie i jej blokowanie. Art 4a. Ustawy o systemie oświaty. Uchwała Sejmu Rzeczypospolitej Polskiej wzywająca Ministra Administracji i Cyfryzacji do zagwarantowania rodzicom prawa do Internetu bez pornografii. Deklaracja Davida Camerona z 22 lipca 2013 w sprawie domyślnego nałożenia na Internet w Wielkiej Brytanii filtrow moralności i blokowania w wyszukiwarkach zapytań „chorych ludzi, szukających w sieci nielegalnych treści". Czy to cenzura Internetu? Słuszne czy groźne? Czy Internet powinien być przezroczysty?
40. Cyberterroryzm islamistyczny.
41. United States Cyber Command. Historia, zadania, metody działania.
42. Cyberwojna w Estonii w 2007 i w Gruzji w 2008\. Co wiemy o rosyjskich cyberwojskach i czy one za tym stoją?
43. Cyberwojska połnocnokoreańskie. Czy jest się czego bać?
44. Stuxnet -- jednorazowy incydent, czy proof of concept? Będzie ciąg dalszy?
45. Czy organizacje pożytku publicznego są naprawdę publiczne? Kto finansuje Wikimedia Foundation, EFF i inne podobne organizacje?
46. Czy w dobie Internetu i mediow elektronicznych własność intelektualna to przeżytek? Czy Creative Commons są rozwiązaniem problemu? A może jest nim Digital Rights Management?
47. Uzależnienie państw od infokorporacji. Minister Sikorski na Twitterze. Czy wypada, by władze państwowe używały takich kanałow komunikacji? Czy zagraża to bezpieczeństwu i prestiżowi państwa? Czy wypada, by „politycy bawi[li] się Twitterem z gorliwością gimnazjalisty obdarowanego smartfonem na urodziny" (Orliński)? Producent systemu operacyjnego ma kontrolę nad komputerami, na ktorych ten system jest zainstalowany. Czy oznacza to, że ma też kontrolę nad politykami i administracją państwową?
48. Jak długo jeszcze będzie można żyć bez korporacyjnych mediow społecznościowych? Ile jest prawdy w plotkach, że od zawartości profilu na Facebooku ubezpieczyciel będzie mogł uzależnić składkę polisy, a bank -- warunki kredytu (o ile w ogole go nam udzieli)?
**Literatura**
1. Ross Anderson, _Security Engineering_ , Wiley, 2008.
**Praise for the Third Edition (wybrane cytaty z systemu oceny zajęć)**
* _Jest to najlepszy przedmiot w Instytucie Informatyki. Są na nim omawianie nie tylko kwestie bezpieczeństwa; kładziony jest też nacisk na umiejętności miękkie, kt ore można zaprezentować podczas prezentacji własnego eseju. Byłam na każdym wykładzie, ktore były na tyle ciekawe, że po prostu nie można było odpuścić sobie chociażby jednych zajęć. Forma zajęć jest bardzo rozwijająca (dzięki pisaniu esejow można się dowiedzieć wiele fascynujących rzeczy)._
* _Było super! Jeszcze raz bym poszedł._
* _Przedmiot fantastyczny, uświadamia studenta (przynajmniej w takim stopniu, w jakim można zdążyć w poł roku) o rożnych zagrożeniach wynikających z korzystania z sieci oraz w życiu codziennym. Bardzo ciekawa tematyka, wykłady kapitalne, przedmiot na 5+._
sem. letni 2023/24: piątki, godz. 12.30-13.30, pokój 311, a także konsultacje zdalne za pośrednictwem MSTeams, w piątki, godz. 19.15 - 19.30 i dłużej, jeżeli będą zainteresowani.
Zapraszam też na konsultacje zdalne lub w Instytucie w terminach uzgodnionych ze stosownym wyprzedzeniem np. pocztą elektroniczną.
