ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ( 200-). Ενδεικτική δομή και περιεχόμενο μαθήματος ver..2/8.09.200 Θέμα διάλεξης Εννοιολογική Θεμελίωση: Βασικές έννοιες και ορισμοί. Σχέσεις και διαφοροποιήσεις. Ανάλυση και απεικόνιση μέσω διαγραμμάτων E-R. 2 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd ed.) 2008. + case study AUEB_ISS_Terminology_v2.pdf Security and Safety (BBC, 2004) Ανάλυση και Διαχείριση Επικινδυνότητας: Στόχοι, δυνατότητες και περιορισμοί των τεχνικών ανάλυσης και διαχείρισης επικινδυνότητας. Παραδείγματα τεχνικών (CRAMM, OCTAVE, SBA κλπ.). 2 Διάλεξη Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 335-75, Εκδόσεις Νέων Τεχνολογιών, 2003. AUEB_ISS_Risk_Analysis_v2.pdf CCTA Risk Analysis and Management Methodology (CRAMM) (ver. 5.) Έλεγχος Προσπέλασης: Ταυτοποίηση, αυθεντικοποίηση, αγνωστικά και πιθανοτικά πρωτόκολλα, διαχείριση ταυτότητας, βιομετρικές τεχνολογίες, διαχείριση ταυτότητας. 3 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd ed.), 2008. D. Gollmann, Computer Security, pp. 9-44, J. Wiley, 999. AUEB_ISS_Access_Control_v.pdf AUEB_ISS_540_Biometrics_General.pdf AUEB_ISS_570_Biometrics_Tech.pdf Εισαγωγή στην Κρυπτολογία: Εννοιολογική θεμελίωση. Συμμετρική και Ασύμμετρη Κρυπτογραφία. Έμπιστη Τρίτη Οντότητα. Υποδομές Δημόσιου Κλειδιού (PKI). Ψηφιακές υπογραφές. Πιστοποιητικά. Κρυπτανάλυση. Πολιτικές αξιοποίησης Κρυπτολογίας. 3 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd ed.) 2008. + case study Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, σελ. 69-4, Παπασωτηρίου, AUEB_ISS_Cryptography_v.pdf Εφαρμογή και αξιολόγηση κρυπτοσυστημάτων (με χρήση CAP, CryptTool κλπ.) Codes (History Channel, 2008) Διανέμεται δωρεάν στους φοιτητές. Σελίδα από 5
Θέμα διάλεξης Ιομορφικό Λογισμικό: Οριοθέτηση και ταξινόμηση. Δούρειοι ίπποι, αναπαραγωγοί (worms), προγράμματα ιοί. Αλγοριθμική προσέγγιση. Θεμελιώσεις: Cohen (Turing Machines), Adleman (αριθμητική Goedel), Kephart (κατευθυνόμενοι γράφοι). Πολιτικές, μέθοδοι και τεχνικές προληπτικής και κατασταλτικής αντιμετώπισης. 3 Διάλεξη Adleman L., "An Abstract Theory of Computer Viruses", in Hoffman L. (Ed.), Rogue Programmes, Van Nostrand, pp. 307-323, 990. Cohen F., "Computational aspects of computer viruses", Computers and Security, Vol. 8, Νo. 4, pp. 325-344, 989. Kephart J., White S., "Directed graph epidemiological models of computer viruses", in Proc. of the 99 IEEE Symposium on Research in Security and Privacy, pp. 343-359, 99. AUEB_ISS_Viral_Software_v.pdf Ασφάλεια στο Διαδίκτυο, Hackers και Hacking: Θεωρία τεσσάρων ασυνεχειών. Μορφότυποι hackers. Ethics of Security. Hacking και Hacktivism. Ασφάλεια ασύρματων τοπικών δικτύων (WLAN). Λογισμικό αξιολόγησης και ελέγχου ασφάλειας (Openvas Nessus, Metasploit, N- map, Aircrack-ng κλπ.). 4 Διάλεξη 6 Εργαστήριο 2 Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 295-365, Παπασωτηρίου, Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, Παπασωτηρίου, Robins K., Webster F., Η Εποχή του Τεχνοπολιτισμού, Καστανιώτης, 2002.Cheswick W., Bellovin S., Rubin A., Firewalls and Internet Security, Addison-Wesley, 2003. AUEB_ISS_Hacking_v.pdf Εξειδικευμένο δημόσια διαθέσιμο λογισμικό ασφάλειας υπολογιστών και δικτύων Προστασία Προσωπικών Δεδομένων: Ιδιωτικότητα (privacy) και προστασία προσωπικών δεδομένων. Θεσμικό πλαίσιο (Ν. 2472/997). Οπτική, ρόλος και ευθύνη των Πληροφορικών. Privacy Enhancing Technologies (PET). Διάλεξη Μελέτη Περίπτωσης + case study Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 443-58, Εκδόσεις Νέων Τεχνολογιών, 2003. Νόμος 2472/997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50 Α, 0 Απριλίου 997. AUEB_ISS_Data_Protection_v.pdf ΜΠ-: Βιομετρικές Τεχνολογίες ΜΠ-2: Ασφάλεια ΟΠΣ Νοσοκομείου DNA and personal data protection: Risks and promises (BBC, 2000) 2 Διανέμεται δωρεάν στους φοιτητές. Σελίδα 2 από 5
Θέμα διάλεξης Ασφάλεια στο Απανταχού Υπολογίζειν: Ασφάλεια στο Απανταχού Υπολογίζειν (UbiComp). Internet of things. Στρατηγικές Ασφάλειας και Ιδιωτικότητας στην Κοινωνία της Πληροφορίαςκαι στην Κοινωνία της Γνώσης. Εξειδικευμένα πεδία εφαρμογής ασφάλειας (e-voting, VoIP, RFID κλπ.). Ασφάλεια στο Cloud Computing. 2 Διάλεξη 2 (+ case study) και Κινηματογραφική ταινία (+ συζήτηση) Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 85-99, Παπασωτηρίου, Γκρίτζαλης Δ., Μήτρου Ν., Σκουλαρίδου Β., Προστασία Κρισίμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης, e-goverment Forum, Σεπτέμβρης 2008. Friedewald M., Vildjiounaite E., Wright D. (Eds.), The brave world of Ambient Intelligence: state-of-the-art-review, SWAMI Project Consortium, Deliverable, January 2006. Murakami T., Ubiquitous Networking: Business opportunities and strategic issues, NRI Papers, Paper no. 79, Nomura Research Institute, Japan, August Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The Promise, the Price, and the Social Disruption, Review Report Series, AUEB/REV- 006/v2.4, March 2006. AUEB_ISS_Secure_WLAN_v2.pdf (/2): Ο κόσμος σε 50 χρόνια (ZDF, 2007) Cyberterrorism (History Channel, 2005) Κινηματογραφική ταινία (/2): (α). The China Syndrome (979) (β). Τhe Lives of Others (2006) Σελίδα 3 από 5
2. Εργαστηριακές διαλέξεις (ενδεικτικά) Εργαστηριακές διαλέξεις Στόχος Διδακτική προσέγγιση Προσέγγιση και μέσα Εργαλεία λογισμικού/υλικού Αποτίμηση επικινδυνότητας Ολοκληρωμένο εργαλείο λογισμικού για την ανάλυση και διαχείριση επικινδυνότητας Πληροφοριακών Συστημάτων. Παρουσίαση CRAMM Στοιχεία Κρυπτανάλυσης Κλασικοί κρυπταλγόριθμοι και ενδεικτική κρυπτανάλυσή τους. CrypTool Αναγνώριση και ανάλυση δικτύου Ανεύρεση ενεργών κόμβων εσωτερικού δικτύου, αναγνώριση υ- πηρεσιών που προσφέρουν και αδυναμιών που εμφανίζουν. Nmap, Οpenvas Νessus Ανάλυση ευπαθειών/τρωτοτήτων 2 Παρουσίαση τεχνικών παραβίασης ενός συστήματος με εκμετάλλευση γνωστών αδυναμιών. Metasploit, custom exploits Ασφάλεια ασύρματων δικτύων 2 Επιθέσεις σε ασύρματα δίκτυα 802., κρυπτανάλυση WEP και brute force/dictionary attacks σε WPA/WPA2. Aircrack-ng Ανάλυση ιομορφικού λογισμικού Έλεγχος αρχείων για την παρουσία ιομορφικού κώδικα. Μελέτη περίπτωσης: Ανάλυση αναπαραγωγού (worm). Παρουσίαση Online virus scanners, online sandboxes, manual analysis Σελίδα 4 από 5
3. Μέσα αξιολόγησης της επίδοσης των φοιτητών 2. Γραπτή (τελική) εξέταση Βαρύτητα Σχόλια Θα πρέπει να απαντηθεί, μέσα σε σχετικά περιορισμένο χρόνο (-.5 ώρα), περιορισμένο πλήθος θεμάτων που περιλαμβάνουν (ενδεικτικά): (α). Ερωτήσεις κρίσης και σύνθεσης (β). Ερωτήσεις σύγκρισης κα αξιολόγησης (γ). Περιγραφή και ανάλυση τεχνολογιών, μεθόδων, τεχνικών κλπ. 50% Για να θεωρηθεί επιτυχών ένας φοιτητής πρέπει: (α). Να αξιολογηθεί και στη γραπτή εργασία και στην τελική ε- ξέταση με βαθμό 50% (σε κάθε μία από αυτές). (β). Να έχει άθροισμα βαθμών από τη γραπτή εργασία, τις εργαστηριακές εργασίες και την τελική εξέταση 50%. 2.2 Γραπτή εργασία Βαρύτητα Σχόλια Εκπόνηση γραπτής εργασίας (<3.000 λέξεων), με χρήση εκτενούς βιβλιογραφίας. Η γραπτή εργασία αποσκοπεί στη συστηματική επεξεργασία και εμβάθυνση σε κάποιο θεωρητικό ζήτημα Ασφάλειας στις ΤΠΕ. 20% Η εργασία είναι υποχρεωτική. Εκπονείται από ομάδες (2-3) φοιτητών, μέσα σε χρονικό διάστημα 3-5 εβδομάδων. Ο βαθμός της κατοχυρώνεται (αυστηρά και) μόνο για τις 2 ε- ξεταστικές περιόδους της τρέχουσας χρονιάς. 2.3 Εργαστηριακές ασκήσεις Βαρύτητα Σχόλια Επίλυση ασκήσεων και απάντηση τεχνικών ερωτήσεων στο Εργαστήριο, με χρήση εξειδικευμένου λογισμικού. Οι εργαστηριακές ασκήσεις αποσκοπούν στην εξοικείωση των φοιτητών με αμιγώς τεχνικά ζητήματα Ασφάλειας στις ΤΠΕ. 30% Εξέταση, στο Εργαστήριο, φοιτητών κατανεμημένων σε ομάδες. Ο βαθμός των ασκήσεων κατοχυρώνεται (αυστηρά και) μόνο για τις 2 εξεταστικές περιόδους της τρέχουσας χρονιάς. Σελίδα 5 από 5