**Cel zajęć**
Celem zajęć jest zaznajomienie studentów z problematyką bezpieczeństwa
komputerowego, uczulenie na zagrożenia cyberprzestępczością i wykształcenie
właściwych nawyków ochrony poufności informacji oraz szerzenie dobrych praktyk
w dziedzinie zapewnienia bezpieczeństwa informacji. Zostaną przedstawione
podstawowe narzędzia służące do ochrony informacji, takie jak programy
szyfrujące, _firewalle_ , systemy IPS itp., ale wykład omawia nie tylko
techniczne, lecz także (a właściwie przede wszystkim) etyczne, psychologiczne,
socjologiczne i prawne aspekty bezpieczeństwa komputerowego. Jest więc nie
tylko przedmiotem „technicznym”, lecz też po części „humanistycznym”, co
odzwierciedla słowo „kultura” w nazwie. Przedmiot nie wymaga wstępnego
przygotowania studentów z zakresu bezpieczeństwa komputerowego ani szczególnej
wiedzy informatycznej i jest przewidziany głównie dla młodszych studentów. Z
tego powodu celem zajęć jest też zachęcenie słuchaczy do wyboru kolejnych,
bardziej specjalistycznych i już _stricte_ technicznych przedmiotów
dotyczących bezpieczeństwa komputerowego i do specjalizowania się na starszych
latach studiów w tej dziedzinie.
**Forma zajęć**
**Zajęcia obowiązkowe:** Odbędzie się 30 dwugodzinnych spotkań, przy czym w
pierwszej części semestru odbędzie się 15–20 wykładów, zaś w drugiej — 10–15
seminariów poprowadzonych przez studentów. Na wykładzie zostaną omówione
podstawowe problemy bezpieczeństwa komputerowego. W trakcie seminariów
studenci przedstawią wybrane, bardziej szczegółowe zagadnienia. Każdy student
w trakcie semestru napisze 3 eseje (w dowolnym języku, który znają prowadzący,
w szczególności może to być polski lub angielski). Warunkiem zaliczenia
ćwiczeń jest otrzymanie pozytywnej oceny z wszystkich trzech esejów. Autorzy
najlepszych esejów zostaną nominowani do wygłoszenia seminariów na podstawie
swoich esejów (po polsku lub angielsku).
**Zajęcia fakultatywne:** 15 wieczorków, w trakcie których odbędą się pokazy
pentestingu, instalowania i administrowania oprogramowaniem itp., dyskusje
panelowe i projekcje filmów.
**Treść wykładu**
I. WPROWADZENIE
1. Wprowadzenie do problematyki bezpieczeństwa komputerowego. Kultura bezpieczeństwa.
2. Omówienie sposobu pisania esejów.
II. CYBERBEZPIECZEŃSTWO
1. Cyberbezpieczeństwo narodowe. a) Zagrożenia infrastruktury krytycznej i ładu gospodarczego. Służby powołane do ochrony bezpieczeństwa państwa (NSA, GCHQ, ABW, FSB) i ich uprawnienia. Kontrowersje. Cyberinwigilacja. Wikileaks (Julian Assange) i Edward Snowden. b) Cyberwojna. Cyberterroryzm. Cyberszpiegostwo i szpiegostwo przemysłowe.
2. Cyberbezpieczeństwo jednostki. a) Hakerzy i kultura hackingu. _White/grey/black hats_. Chaos Computer Club. Najsłynniejsi hakerzy i ich losy (Kevin Mitnick, Kevin Poulsen, Władymir Lewin, Adrian Lamo i inni). _Script kiddies_. „Niezamówiony pentesting”. Problemy prawne i zagrożenia. _Ethical hacking_. b) Cyberprzestępstwa. _Spam_ , _scam_ , oszustwa, wyłudzenia. _Nigerian 419 scam_. _Phishing_. Zagrożenia bankowości elektronicznej, cyberprzestępczość zorganizowana. c) Cyberwandalizm i _trolling_. Wandalizm w Wikipedii i innych portalach społecznościowych. d) Haktywizm. Nieposłuszeństwo obywatelskie. Zmiana prawa w ramach prawa, czy poza prawem? Ruchy społeczne. Anonymous. Wikileaks. Aaron Swartz. e) Rozwój kryptografii w XX w. Kryptoanarchizm, ruch cypherpunks. _Cryptowars_.
3. Cyberprywatność. a) Potrzeba prywatności i jej ochrona. Publiczne a prywatne. Prywatność u zwierząt. Psychologia, socjologia i neurologia prywatności. Skrępowanie i wstyd. Czwarta poprawka do Konstytucji Stanów Zjednoczonych. Samuel D. Warren, Louis D. Brandeis, Judge Thomas McIntyre Cooley. b) Naruszanie prywatności przez państwo. Panopticon, Orwell i Kafka. Powszechny monitoring. Masowe zbieranie danych. Metadane. c) Naruszanie prywatności przez korporacje. Cyberprzemysł i „darmowe usługi”. Przemysł reklamowy i _information economy_. Google, Facebook i in. Zbieranie danych w Internecie i inwigilacja użytkowników przez korporacje. WWW, ciasteczka, Javascript i _browser fingerprinting_.
III. OCHRONA DANYCH
1. Kontrola dostępu. Protokoły AAA. Metody uwierzytelniania. Hasła. Bezpieczna mnemotechnika. Teoria bezpieczeństwa haseł. Uwierzytelnianie dwuskładnikowe. Problemy psychologiczne, _password fatigue_. Protokoły SSO, CAS. Uwierzytelnianie biometryczne.
2. Ochrona danych w spoczynku. _Digital forensics_. Architektura pamięci komputerów. Dyski twarde mechaniczne i dyski SSD. Triada CIA. a) Dostępność danych. Backupowanie i archiwizacja danych. _Failure recovery_. Dostępne narzędzia i techniki. b) Poufność i integralność danych. Podstawy kryptografii. Szyfrowanie dysków. Dostępne narzędzia. c) Retencja i niszczenie danych. Rekonstrukcja zniszczonych danych.
3. Ochrona danych w ruchu. Podstawy sieci komputerowych. Ataki na transmisję danych. MITM. _Typosquatting_. _Domain squatting_. _IDN homoglyph attack_. _BGP prefix hijacking_ i _DNS spoofing/cache poisoning_. Stos protokołów sieciowych i zasada end-to-end. Szyfrowanie w warstwach stosu TCP/IP. Szyfrowanie w warstwie aplikacji. Poczta elektroniczna i jej ochrona. OpenPGP i S/MIME. Szyfrowanie w warstwie transportowej. SSL/TLS. Infrastruktura klucza publicznego. _Certificate Authorities_ i _Web of Trust_. Problemy z CA w TLS. Certyfikaty w przeglądarkach WWW. Szyfrowanie w warstwie sieciowej i VPN. Szyfrowanie w warstwie łącza danych, WPA. Podatność WEP.
4. Cyberprawo. Prawo autorskie i plagiaty. Autorskie prawa majątkowe i piractwo. Specyfika mediów elektronicznych. _Descrambling_ a prawo. DRM. _Creative Commons_. Dozwolony użytek. Dobre praktyki. Jak tworzyć i rozpowszechniać własne dzieła z poszanowaniem cudzej własności intelektualnej.
**Literatura**
1. Ross Anderson, _Security Engineering_ , Wiley, 2008.
