ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ( 2009-0). Δομή και περιεχόμενο μαθήματος ver. 2.2/4.0.200 Θέμα διάλεξης Εννοιολογική Θεμελίωση: Βασικές έννοιες και ορισμοί. Σχέσεις και διαφοροποιήσεις. Ανάλυση και απεικόνιση μέσω διαγραμμάτων E-R. 3 Διάλεξη R. Anderson, Security Engineering, Wiley (2 nd ed.) 2008. + case study AUEB_ISS_Terminology_v2.pdf : Security and Safety (BBC, 2004) Ανάλυση και Διαχείριση Επικινδυνότητας: Στόχοι, δυνατότητες και περιορισμοί των τεχνικών ανάλυσης και διαχείρισης επικινδυνότητας. Παραδείγματα τεχνικών (CRAMM, OCTAVE, SBA κλπ.). Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 335-75, Εκδόσεις Νέων Τεχνολογιών, 2003. AUEB_ISS_Risk_Analysis_v2.pdf CCTA Risk Analysis and Management Methodology (CRAMM) (ver. 5.) Ελεγχος Πρoσπέλασης: Ταυτοποίηση, αυθεντικοποίηση, αγνωστικά και πιθανοτικά πρωτόκολλα, διαχείριση ταυτότητας, βιομετρικές τεχνολογίες, διαχείριση ταυτότητας. Αυθεντικοποίηση μέσω CAPTCHA. R. Anderson, Security Engineering, Wiley (2 nd ed.), 2008. D. Gollmann, Computer Security, pp. 9-44, J. Wiley, 999. AUEB_ISS_Access_Control_v.pdf AUEB_ISS_540_Biometrics_General.pdf AUEB_ISS_570_Biometrics_Tech.pdf Εισαγωγή στην Κρυπτολογία: Εννοιολογική θεμελίωση. Συμμετρική και Ασύμμετρη Κρυπτογραφία. Έμπιστη Τρίτη Οντότητα. Υποδομές Δημόσιου Κλειδιού (PKI). Ψηφιακές υπογραφές. Πιστοποιητικά. Κρυπτανάλυση. Πολιτικές ανάπτυξης και αξιοποίησης κρυπτοσυστημάτων. 5 Διάλεξη + case study R. Anderson, Security Engineering, Wiley (2 nd ed.) 2008. Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, σελ. 69-4, Παπασωτηρίου, AUEB_ISS_Cryptography_v.pdf Εφαρμογή και αξιολόγηση κρυπτοσυστημάτων (με χρήση CAP, CryptTool κλπ.) : Codes (History Channel, 2008) Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα από 5
Θέμα διάλεξης Ιομορφικό Λογισμικό: Οριοθέτηση και ταξινόμηση. Δούρειοι ίπποι, αναπαραγωγοί (worms), προγράμματα ιοί. Αλγοριθμική προσέγγιση. Θεμελιώσεις: Cohen (Turing Machines), Adleman (αριθμητική Goedel), Kephart (κατευθυνόμενοι γράφοι). Πολιτικές, μέθοδοι και τεχνικές προληπτικής και κατασταλτικής αντιμετώπισης. Adleman L., "An Abstract Theory of Computer Viruses", in Hoffman L. (Ed.), Rogue Programmes, Van Nostrand, pp. 307-323, 990. Cohen F., "Computational aspects of computer viruses", Computers and Security, Vol. 8, Νo. 4, pp. 325-344, 989. Kephart J., White S., "Directed graph epidemiological models of computer viruses", in Proc. of the 99 IEEE Symposium on Research in Security and Privacy, pp. 343-359, 99. AUEB_ISS_Viral_Software_v.pdf Ασφάλεια στο Διαδίκτυο, Hackers και Hacking: Θεωρία τεσσάρων ασυνεχειών. Μορφότυποι hackers. Ethics of Security. Hacking και Hacktivism. Ασφάλεια ασύρματων τοπικών δικτύων (WLAN). Λογισμικό αξιολόγησης και ελέγχου ασφάλειας (Openvas Nessus, Metasploit, N- map, Aircrack-ng κλπ.). 8 Εργαστήριο 2 Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 295-365, Παπασωτηρίου, Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, Παπασωτηρίου, Robins K., Webster F., Η Εποχή του Τεχνοπολιτισμού, Καστανιώτης, 2002.Cheswick W., Bellovin S., Rubin A., Firewalls and Internet Security, Addison-Wesley, 2003. AUEB_ISS_Hacking_v.pdf Εξειδικευμένο δημόσια διαθέσιμο λογισμικό ασφάλειας υπολογιστών και δικτύων Προστασία Προσωπικών Δεδομένων: Ιδιωτικότητα (privacy) και προστασία προσωπικών δεδομένων. Θεσμικό πλαίσιο (Ν. 2472/997). Οπτική, ρόλος και ευθύνη των Πληροφορικών. Privacy Enhancing Technologies (PET). Μελέτη Περίπτωσης + case study Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 443-58, Εκδόσεις Νέων Τεχνολογιών, 2003. Νόμος 2472/997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50 Α, 0 Απριλίου 997. AUEB_ISS_Data_Protection_v.pdf ΜΠ-: Βιομετρικές Τεχνολογίες ΜΠ-2: Ασφάλεια ΟΠΣ Νοσοκομείου : DNA and personal data protection: Risks and promises (BBC, 2000) 2 Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα 2 από 5
Θέμα διάλεξης Ασφάλεια στο Απανταχού Υπολογίζειν: Ασφάλεια στο Απανταχού Υπολογίζειν (UbiComp). Internet of things. Στρατηγικές Ασφάλειας και Ιδιωτικότητας στην Κοινωνία της Πληροφορίας (Ευρωπαϊκή Ενωση, Ιαπωνία, ΗΠΑ). Εξειδικευμένα πεδία εφαρμογής ασφάλειας (e-voting, RFID, VoIP κλπ.). Ασφάλεια στο Cloud Computing. 2 (+ case study) και Κινηματογραφική ταινία (+ συζήτηση) Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 85-99, Παπασωτηρίου, Γκρίτζαλης Δ., Μήτρου Ν., Σκουλαρίδου Β., Προστασία Κρισίμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης, e-goverment Forum, Σεπτέμβρης 2008. Friedewald M., Vildjiounaite E., Wright D. (Eds.), The brave world of Ambient Intelligence: state-of-the-art-review, SWAMI Project Consortium, Deliverable, January 2006. Murakami T., Ubiquitous Networking: Business opportunities and strategic issues, NRI Papers, Paper no. 79, Nomura Research Institute, Japan, August Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The Promise, the Price, and the Social Disruption, Review Report Series, AUEB/REV- 006/v2.4, March 2006. AUEB_ISS_Secure_WLAN_v2.pdf (/2): Ο κόσμος σε 50 χρόνια (ZDF, 2007) Cyberterrorism (History Channel, 2005) Κινηματογραφική ταινία (/2): (α). The China Syndrome (979) (β). Τhe Lives of Others (2006) Σελίδα 3 από 5
2. Εργαστηριακές διαλέξεις Εργαστηριακές διαλέξεις Στόχος Διδακτική προσέγγιση Προσέγγιση και μέσα Εργαλεία λογισμικού/υλικού Αποτίμηση επικινδυνότητας 2 Ολοκληρωμένο εργαλείο λογισμικού για την ανάλυση και διαχείριση επικινδυνότητας Πληροφοριακών Συστημάτων. Παρουσίαση CRAMM Στοιχεία Κρυπτανάλυσης 2 Κλασικοί κρυπταλγόριθμοι και ενδεικτική κρυπτανάλυσή τους. CrypTool Αναγνώριση και ανάλυση δικτύου 2 Ανεύρεση ενεργών κόμβων εσωτερικού δικτύου, αναγνώριση υ- πηρεσιών που προσφέρουν και αδυναμιών που εμφανίζουν. Nmap, Οpenvas Νessus Ανάλυση ευπαθειών/τρωτοτήτων 2 Παρουσίαση τεχνικών παραβίασης ενός συστήματος με εκμετάλλευση γνωστών αδυναμιών. Metasploit, custom exploits Ασφάλεια ασύρματων δικτύων 2 Επιθέσεις σε ασύρματα δίκτυα 802., κρυπτανάλυση WEP και brute force/dictionary attacks σε WPA/WPA2. Aircrack-ng Ανάλυση ιομορφικού λογισμικού 2 Έλεγχος αρχείων για την παρουσία ιομορφικού κώδικα. Μελέτη περίπτωσης: Ανάλυση αναπαραγωγού (worm). Παρουσίαση Online virus scanners, online sandboxes, manual analysis Σελίδα 4 από 5
3. Αξιολόγηση επίδοσης φοιτητών 2. Γραπτή (τελική) εξέταση Βαρύτητα Σχόλια Θα ζητείται να απαντηθεί, μέσα σε περιορισμένο χρόνο, αριθμός θεμάτων που περιλαμβάνουν (ενδεικτικά): (α). Ερωτήσεις κρίσης. (β). Ερωτήσεις σύγκρισης. (γ). Περιγραφή τεχνολογιών, τεχνικών, μεθόδων κλπ. Τα θέματα θα καλύπτουν εκτενές τμήμα της εξεταστέας ύλης. 40% Για να θεωρηθεί επιτυχών ένας φοιτητής πρέπει: (α). Να αξιολογηθεί και στη γραπτή εργασία και στην τελική ε- ξέταση με βαθμό 50% (σε κάθε μία από αυτές). (β). Να έχει άθροισμα βαθμών από τη γραπτή εργασία, τις εργαστηριακές εργασίες και την τελική εξέταση 50%. 2.2 Γραπτή εργασία Βαρύτητα Σχόλια Θεωρητική εργασία, που αποσκοπεί στη συστηματικότερη επεξεργασία κάποιου ζητήματος Ασφάλειας στις ΤΠΕ, με χρήση εκτενούς βιβλιογραφίας. 20% Η εργασία είναι υποχρεωτική. Εκπονείται από ομάδες (2-3) φοιτητών, μέσα σε χρονικό διάστημα 3-4 εβδομάδων. Ο βαθμός της κατοχυρώνεται (αυστηρά και) μόνο για τις 2 ε- ξεταστικές περιόδους της τρέχουσας χρονιάς. 2.3 Εργαστηριακές ασκήσεις Βαρύτητα Σχόλια Επίλυση ασκήσεων στο Εργαστήριο, με χρήση εξειδικευμένου λογισμικού, που α- ποσκοπούν στην εξοικείωση των φοιτητών με αμιγώς τεχνικά ζητήματα Ασφάλειας στις ΤΠΕ. 40% Οι ασκήσεις είναι υποχρεωτικές και θα εκπονούνται στο Εργαστήριο. Ο βαθμός τους κατοχυρώνεται (αυστηρά και) μόνο για τις 2 ε- ξεταστικές περιόδους της τρέχουσας χρονιάς. Σελίδα 5 από 5