====== CI301 - Cronograma 2017/1 ====== ==== Local das aulas: Sala CT-03 ==== * As atividades indicadas com :!: serão avaliadas; * Os projetos devem ser entregues usando o [[http://moodle.c3sl.ufpr.br|Moodle]]. * Leia com atenção as [[teaching:Regras das Atividades de Laboratório]]. === 21/2: Aula 1 === * Apresentação da disciplina * Conceitos básicos * **Leitura complementar**: * [[http://www.landwehr.org/Carl%20E.%20Landwehr/Publications_files/2001%20IJIS%20landwehr%20computer%20security%20from%20web.pdf|Computer security]], C. Landwehr, 2001. * [[https://doi.org/10.1109/TDSC.2004.2|Basic Concepts and Taxonomy of Dependable and Secure Computing]]. A. Avizienis et al, 2004. * {{sc:1997_a_review_of_information_security_principles.pdf|A Review of Information Security Principles}}, 1997 === 23/2: Aula 2 === * Conceitos básicos (cont.) * Sorteio de temas de [[Aspectos de Governança da Segurança]] * :!: **Atividade 1**: [[Base de Vulnerabilidades]] (prazo: aula 4) === 2/3: Aula 3 === * Criptografia: cifragem e decifragem; criptografia simétrica; criptografia assimétrica. * **Leitura complementar**: * {{:sas:diffie-hellman.pdf|Algoritmo de troca de chaves de Diffie-Helmann}} * Video: [[https://www.youtube.com/watch?v=YEBfamv-_do|Diffie-Hellman Key exchange]] (a) * Vídeo: [[https://www.youtube.com/watch?v=LameOrl3Qgw|Diffie-Hellman Key exchange]] (b) * [[http://doctrina.org/How-RSA-Works-With-Examples.html|How RSA Works with Examples]] * Vídeo: [[http://www.youtube.com/watch?v=wXB-V_Keiu8|Public Key Cryptography: RSA Encryption Algorithm]] * Vídeo: [[https://www.youtube.com/watch?v=Z8M2BTscoD4|How RSA works]] * Vídeo: [[https://www.youtube.com/watch?v=dCvB-mhkT0w|Elliptic Curves Cryptography]] === 7/3: Aula 4 === * **Atividade 2**: [[cifradores simétricos]] /* Atividade: Explicar passo-a-passo os algoritmos de criptografia RSA (assimétrico, bloco), DES (simétrico, bloco) e RC4 (simétrico, fluxo). Podem ser usadas versões simplificadas dos algoritmos. */ === 9/3: Aula 5 === * Criptografia: resumo criptográfico; assinatura digital; certificado de chave pública; infraestrutura de chaves públicas. /* Atividade: seminários sobre tópicos em certificação digital: X509 Attribute Certificate, Certificate Revocation List, S/MIME, SPKI/SDSI, PGP, [[http://en.wikipedia.org/wiki/Convergence_%28SSL%29|Convergence]]. */ === 14/3: Aula 6 === * Criptografia: (cont) * Autenticação: usuários e grupos; técnicas de autenticação; senhas; * :!: **Atividade 3**: [[Certificados digitais]] (prazo: aula 10) * **Leitura complementar**: * {{ceseg:2009-sbseg-mc2.pdf|Modelos de criptografia de chave pública alternativos}}. Goya et al, minicurso do SBSeg 2009. === 16/3: Aula 7 === * Autenticação: senhas; senhas descartáveis; desafio/resposta; certificados de autenticação. * :!: **Atividade 4**: [[Quebra de senhas]] (prazo: aula 12) * **Leitura complementar**: * [[https://www.cl.cam.ac.uk/~fms27/papers/2012-BonneauHerOorSta-password--oakland.pdf|The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes]], IEEE Symposium on Security and Privacy, 2012. * [[http://dl.acm.org/citation.cfm?id=1979321|Of passwords and people: measuring the effect of password-composition policies]], Komanduri et al, 2011. === 21/3: Aula 8 === * Autenticação: técnicas biométricas * **Leitura complementar**: * {{ceseg:2006-sbseg-mc3.pdf|Introdução à Biometria}}. Costa et al, SBSeg 2006. * :!: **Atividade 5**: [[Questionário sobre biometria]] (entrega em 24h) === 23/3: Aula 9 === * Autenticação: Kerberos; infraestruturas de autenticação local. * **Atividade 6**: [[autenticação SSH por certificados]] * :!: **Atividade 7**: Experimento {{:sas:seed-pam.pdf|PAM Authentication}} do [[http://www.cis.syr.edu/~wedu/seed/|SEED Project]] (texto de apoio: {{:sas:linux-pam_system_administrators_guide.pdf|PAM system administrator's Guide}}) (prazo: aula 15) * Sortear apresentações da atividade 8 === 28/3: Aula 10 === * :!: **Atividade 8**: seminários sobre [[Tópicos em autenticação]] === 30/3: Aula 11 === * **Atividade 8** (cont.) * **Leitura complementar**: * {{:ceseg:2010-sbseg-mc1.pdf|Gerenciamento de Identidades Federadas}}. Wangham et al, SBSeg 2010. === 4/4: sem aula === === 6/4: Aula 12 === * :!: **Atividade 9**: seminários sobre [[Aspectos de Governança da Segurança]] (entrega até aula 13) === 11/4: Aula 13 === * **Atividade 9** (cont.) === 13/4: sem aula === === 18/4: Aula 14 === * **Atividade 9** (cont.) === 20/4: Aula 15 === * :!: **Prova 1** (conteúdo do bimestre) === 25/4: Aula 16 === * Controle de acesso: políticas, modelos e mecanismos de controle de acesso; políticas discricionárias. * **Atividade 10**: Experimento {{:sas:seed-sop.pdf|Same-Origin Policy}} do [[http://www.cis.syr.edu/~wedu/seed/|SEED Project]] (leia com **muita atenção** a seção 3 do documento), (prazo: aula 19) * Sorteio das [[demonstrações de ataques]] (grupos de 3 alunos de graduação, 1 de pós-graduação) === 27/4: Aula 17 === * Controle de acesso: políticas obrigatórias; políticas baseadas em domínios; políticas baseadas em papéis; políticas baseadas em atributos. * **Leitura complementar**: * RBAC: [[http://csrc.nist.gov/groups/SNS/rbac/documents/ferraiolo-kuhn-92.pdf|Role-Based Access Controls]], 1992; [[http://csrc.nist.gov/rbac/sandhu96.pdf|Role-Based Access Control Models]], 1996. * ABAC: [[http://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-162.pdf|Guide to Attribute Based Access Control (ABAC) Definition and Considerations]], 2014. * UCON: [[http://dl.acm.org/citation.cfm?id=984339|The UCONabc usage control model]], 2004. * :!: **Atividade 11** (alunos do //stricto sensu//): resumo sobre modelos de controle de acesso: Clark-Wilson, Brewer-Nash (//Chinese wall//), Graham-Denning (Harrison-Ruzzo-Ullman), Take-Grant, Low Watermark, Lipner Integrity, [[http://www.hpl.hp.com/techreports/2003/HPL-2003-222.pdf|Object capabilities]], com 2 páginas no formato IEEE 2 colunas (prazo: aula 23) === 2/5: Aula 18 === * Controle de acesso: mecanismos de controle de acesso: infraestrutura básica, controle de acesso em UNIX, controle de acesso em Windows; mudança de privilégios. * Credenciais de processo em UNIX: {{sas:credentials.c}} * Sorteio dos temas da atividade 15 (3 alunos por grupo) === 4/5: Aula 19 === * :!: **Atividade 12**: Experimento {{:sas:seed-setuid.pdf|Set-UID Program Vulnerability}} do [[http://www.cis.syr.edu/~wedu/seed|SEED Project]] (prazo: aula 22) === 9/5: Aula 20 === * **Atividade 13**: [[Buffer overflow]] (demo) === 11/5: Aula 21 === * :!: **Atividade 14**: Experimento {{:sas:seed-capabilities.pdf|Capability exploration}} do [[http://www.cis.syr.edu/~wedu/seed|SEED Project]] (prazo: aula 25) === 16/5: Aula 22 === * :!: **Atividade 15**: seminários sobre [[frameworks de controle de acesso]] === 18/5: Aula 23 === * **Atividade 15**: cont. === 23/5: Aula 24 === * Sistemas de Detecção de Intrusão (palestra prof. André Grégio) * **Leitura complementar**: * [[http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf|NIST Guide to Intrusion Detection and Prevention Systems (IDPS)]], 2007 * [[http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.1.6603&rep=rep1&type=pdf|Intrusion Detection Systems: A Survey and Taxonomy]], 2000. === 25/5: Aula 25 === * Auditoria: coleta de dados; análise de dados; auditoria preventiva. * **Atividade 16**: [[Explorando sistemas de logs]] === 30/5: Aula 26 === * :!: **Atividade 17**: [[demonstrações de ataques]] (**peso 2**, prazo: aula 26) === 1/6: Aula 27 === * Demonstrações de ataques (cont.) === 6/6: Aula 28 === * Demonstrações de ataques (cont.) === 8/6: Aula 29 === * Demonstrações de ataques (cont.) === 13/6: Aula 30 === * :!: **Prova 2** (conteúdo do bimestre) === 4/7: exame final === * :!: Prova sobre todo o conteúdo da matéria, incluindo conteúdos dos trabalhos/projetos propostos e leituras recomendadas ao longo do semestre.