Kultura bezpieczeństwa komputerowego

Język wykładowy Polski
Semestr Zimowy
Status W ofercie
Opiekun Tomasz Wierzbicki
Liczba godzin 30 (wyk.) 30 (ćw.)
Rodzaj Informatyczny 1
ECTS 6
Polecany dla I roku Yes
Egzamin Yes

Opis przedmiotu:

**Cel zajęć** Celem zajęć jest zaznajomienie studentów z problematyką bezpieczeństwa komputerowego, uczulenie na zagrożenia cyberprzestępczością i wykształcenie właściwych nawyków ochrony poufności informacji oraz szerzenie dobrych praktyk w dziedzinie zapewnienia bezpieczeństwa informacji. Zostaną przedstawione podstawowe narzędzia służące do ochrony informacji, takie jak programy szyfrujące, _firewalle_ , systemy IPS itp., ale wykład omawia nie tylko techniczne, lecz także (a właściwie przede wszystkim) etyczne, psychologiczne, socjologiczne i prawne aspekty bezpieczeństwa komputerowego. Jest więc nie tylko przedmiotem „technicznym”, lecz też po części „humanistycznym”, co odzwierciedla słowo „kultura” w nazwie. Przedmiot nie wymaga wstępnego przygotowania studentów z zakresu bezpieczeństwa komputerowego ani szczególnej wiedzy informatycznej i jest przewidziany głównie dla młodszych studentów. Z tego powodu celem zajęć jest też zachęcenie słuchaczy do wyboru kolejnych, bardziej specjalistycznych i już _stricte_ technicznych przedmiotów dotyczących bezpieczeństwa komputerowego i do specjalizowania się na starszych latach studiów w tej dziedzinie. **Forma zajęć** **Zajęcia obowiązkowe:** Odbędzie się 30 dwugodzinnych spotkań, przy czym w pierwszej części semestru odbędzie się 15–20 wykładów, zaś w drugiej — 10–15 seminariów poprowadzonych przez studentów. Na wykładzie zostaną omówione podstawowe problemy bezpieczeństwa komputerowego. W trakcie seminariów studenci przedstawią wybrane, bardziej szczegółowe zagadnienia. Każdy student w trakcie semestru napisze 3 eseje (w dowolnym języku, który znają prowadzący, w szczególności może to być polski lub angielski). Warunkiem zaliczenia ćwiczeń jest otrzymanie pozytywnej oceny z wszystkich trzech esejów. Autorzy najlepszych esejów zostaną nominowani do wygłoszenia seminariów na podstawie swoich esejów (po polsku lub angielsku). **Zajęcia fakultatywne:** 15 wieczorków, w trakcie których odbędą się pokazy pentestingu, instalowania i administrowania oprogramowaniem itp., dyskusje panelowe i projekcje filmów. **Treść wykładu** I. WPROWADZENIE 1. Wprowadzenie do problematyki bezpieczeństwa komputerowego. Kultura bezpieczeństwa. 2. Omówienie sposobu pisania esejów. II. CYBERBEZPIECZEŃSTWO 1. Cyberbezpieczeństwo narodowe. a) Zagrożenia infrastruktury krytycznej i ładu gospodarczego. Służby powołane do ochrony bezpieczeństwa państwa (NSA, GCHQ, ABW, FSB) i ich uprawnienia. Kontrowersje. Cyberinwigilacja. Wikileaks (Julian Assange) i Edward Snowden. b) Cyberwojna. Cyberterroryzm. Cyberszpiegostwo i szpiegostwo przemysłowe. 2. Cyberbezpieczeństwo jednostki. a) Hakerzy i kultura hackingu. _White/grey/black hats_. Chaos Computer Club. Najsłynniejsi hakerzy i ich losy (Kevin Mitnick, Kevin Poulsen, Władymir Lewin, Adrian Lamo i inni). _Script kiddies_. „Niezamówiony pentesting”. Problemy prawne i zagrożenia. _Ethical hacking_. b) Cyberprzestępstwa. _Spam_ , _scam_ , oszustwa, wyłudzenia. _Nigerian 419 scam_. _Phishing_. Zagrożenia bankowości elektronicznej, cyberprzestępczość zorganizowana. c) Cyberwandalizm i _trolling_. Wandalizm w Wikipedii i innych portalach społecznościowych. d) Haktywizm. Nieposłuszeństwo obywatelskie. Zmiana prawa w ramach prawa, czy poza prawem? Ruchy społeczne. Anonymous. Wikileaks. Aaron Swartz. e) Rozwój kryptografii w XX w. Kryptoanarchizm, ruch cypherpunks. _Cryptowars_. 3. Cyberprywatność. a) Potrzeba prywatności i jej ochrona. Publiczne a prywatne. Prywatność u zwierząt. Psychologia, socjologia i neurologia prywatności. Skrępowanie i wstyd. Czwarta poprawka do Konstytucji Stanów Zjednoczonych. Samuel D. Warren, Louis D. Brandeis, Judge Thomas McIntyre Cooley. b) Naruszanie prywatności przez państwo. Panopticon, Orwell i Kafka. Powszechny monitoring. Masowe zbieranie danych. Metadane. c) Naruszanie prywatności przez korporacje. Cyberprzemysł i „darmowe usługi”. Przemysł reklamowy i _information economy_. Google, Facebook i in. Zbieranie danych w Internecie i inwigilacja użytkowników przez korporacje. WWW, ciasteczka, Javascript i _browser fingerprinting_. III. OCHRONA DANYCH 1. Kontrola dostępu. Protokoły AAA. Metody uwierzytelniania. Hasła. Bezpieczna mnemotechnika. Teoria bezpieczeństwa haseł. Uwierzytelnianie dwuskładnikowe. Problemy psychologiczne, _password fatigue_. Protokoły SSO, CAS. Uwierzytelnianie biometryczne. 2. Ochrona danych w spoczynku. _Digital forensics_. Architektura pamięci komputerów. Dyski twarde mechaniczne i dyski SSD. Triada CIA. a) Dostępność danych. Backupowanie i archiwizacja danych. _Failure recovery_. Dostępne narzędzia i techniki. b) Poufność i integralność danych. Podstawy kryptografii. Szyfrowanie dysków. Dostępne narzędzia. c) Retencja i niszczenie danych. Rekonstrukcja zniszczonych danych. 3. Ochrona danych w ruchu. Podstawy sieci komputerowych. Ataki na transmisję danych. MITM. _Typosquatting_. _Domain squatting_. _IDN homoglyph attack_. _BGP prefix hijacking_ i _DNS spoofing/cache poisoning_. Stos protokołów sieciowych i zasada end-to-end. Szyfrowanie w warstwach stosu TCP/IP. Szyfrowanie w warstwie aplikacji. Poczta elektroniczna i jej ochrona. OpenPGP i S/MIME. Szyfrowanie w warstwie transportowej. SSL/TLS. Infrastruktura klucza publicznego. _Certificate Authorities_ i _Web of Trust_. Problemy z CA w TLS. Certyfikaty w przeglądarkach WWW. Szyfrowanie w warstwie sieciowej i VPN. Szyfrowanie w warstwie łącza danych, WPA. Podatność WEP. 4. Cyberprawo. Prawo autorskie i plagiaty. Autorskie prawa majątkowe i piractwo. Specyfika mediów elektronicznych. _Descrambling_ a prawo. DRM. _Creative Commons_. Dozwolony użytek. Dobre praktyki. Jak tworzyć i rozpowszechniać własne dzieła z poszanowaniem cudzej własności intelektualnej. **Literatura** 1. Ross Anderson, _Security Engineering_ , Wiley, 2008.