Securitatea sistemelor de calcul

Curs, anul IV, sem. I 2014/2015 Cursul de anul trecut
Titular: Marius Minea
Colaboratori: s.l. dr.ing. Bogdan Groza, ing. Loránd Szakács

Situația notelor
Rezultatele la prezentarea 1, 2, 3 și 4

Material de curs

1. Introducere folii 1:1
   J. H. Saltzer, M. D. Schroeder. "The protection of information in computer systems". Proceedings of the IEEE 63(9):1278-1308, 1975. HTML, PDF (sec. I A 3), rezumat in 10 randuri
   Ken Thompson Reflections on Trusting Trust
   Drepturi de acces în UNIX
2. Controlul accesului. folii 1:1
   vezi și Overview of Computer Security (Matt Bishop), sec. 1.1-1.5
   curs, Univ. of Edinburgh (noțiuni și discuție, mai puțin formalismul)
   M. Bishop. Race conditions, Files and Security Flaws (introducere; exemplele cu passwd si binmail)
   FAQ: setuid shell scripts - O discuție despre pericolele scripturilor setuid.
3. Buffer overflows. (rezumat in folii)
   curs Purdue, partea 1, partea a 2-a,
   Programare defensiva. Secure Programming for Linux and Unix HOWTO (David Wheeler)
   (vezi prezentarea, sau pentru detalii cartea, in special cap. 5.1-5. si cap. 6)
4. Vulnerabilități în rețele curs Purdue partea 1 și partea a 2-a,
   (ARP spoofing, SYN flood (+ SYN cookies), session hijacking (TCP seq. num.), smurfing (ICMP echo attack), DNS cache poisoning)
   Firewalls (folii de curs, după Stallings/Brown)
   vezi și cap. 5 din Building Internet Firewalls (O'Reilly)
5. Malware. SQL Injection. Web security. SQL injection
   Securitatea aplicațiilor web: cap. 7; cap. 10 (p.1-35) (v. și cartea aici)
6. Criptografie simetrică (Bogdan Groza)
7. Criptografie asimetrică (Bogdan Groza). Exerciții la laborator
8. Fundamente de criptografie, v. Handbook of Applied Cryptography: Fundamente (cap. 1-1.4), noțiuni matematice (cap. 2: probabilitate condițională, paradoxul zilei de naștere, entropie, complexitate, teoria numerelor); probleme de referință (cap. 3: definițiile problemelor din tabel; relații dintre ele).
9. Protocoale de autentificare (curs Edinburgh); v. și HAC, cap. 10-10.4.1, incl. ZK (Fiat-Shamir)
   Protocoale de autentificare și distribuție a cheilor (curs Edinburgh), v. și HAC, cap. 12-12.2 + Kerberos, Needham-Schroeder (a)simetric, Diffie-Hellman (12.6)
10. Probabilistic Contract Signing (V. Shmatikov, p. 1-11), și Fair Exchange (S. Kremer, M. Ryan; p. 1-12)
    Digital Cash (Mark Ryan, U. Birmingham)
    Bitcoin (J. Johenfors, U. Linköping) -- fundamente

Lucrări de laborator

• Laborator 1: Drepturi de acces
• Laborator 2: Programe setuid
• Laborator 3: Buffer overflows
• Laborator 4: Atacuri tip return-to-libc
• Laborator 5: Vulnerabilități de format
• Laborator 6: Atacuri în rețele TCP
• Laborator 7: Malware Android
• Laborator 8: Atacuri la DNS
  Script pentru configurarea mașinilor virtuale (de urmarit cu atenție)
• Laborator 9: Firewalls
• Laborator 10: Cross-Site Request Forgery
  Cross-Site Scripting
  SQL Injection
• Laborator 13: Modelarea și verificarea de protocoale cu Scyther

Lectura suplimentara

Alte cursuri

• Computer Security David Aspinall, University of Edinburgh
• CS 426: Computer Security. Ninghui Li, Purdue University.

Cărți

• Ross Anderson. Security Engineering, 2nd ed., Wiley, 2008 (online)
• Dieter Gollmann. Computer Security (ed. 3), Wiley, 2010
• Ed Skoudis, Tim Liston. Counter Hack Reloaded (ed. 2), Prentice Hall, 2005