460-4054/05 – Počítačové viry a bezpečnost počítačových systémů (PVBPS)
| Garantující katedra | Katedra informatiky | Kredity | 4 |
| Garant předmětu | prof. Ing. Ivan Zelinka, Ph.D. | Garant verze předmětu | prof. Ing. Ivan Zelinka, Ph.D. |
| Úroveň studia | pregraduální nebo graduální | | |
| | Jazyk výuky | angličtina |
| Rok zavedení | 2016/2017 | Rok zrušení | |
| Určeno pro fakulty | FEI | Určeno pro typy studia | navazující magisterské |
Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi
Cílem předmětu je seznámit posluchače s komplexní problematikou počítačových virů a malwaru obecně – jejich definicí, klasifikací, strukturou a způsoby šíření v rámci počítačových systémů a sítí. Kurz pokrývá jak historický vývoj škodlivého softwaru, tak jeho moderní formy, včetně obrněných virů, červů, spyware, kybernetických zbraní a malware využívajícího umělou inteligenci. Součástí kurzu je i praktická analýza skutečného malwaru, tvorba ukázkových virových struktur, seznámení se s technikami reverse engineeringu, vizualizace binárního kódu pomocí fraktální geometrie a behaviorální analýzy.
Zvláštní pozornost je věnována ekonomice kyberzločinu, roli temného webu a způsobům šíření malwaru skrze podzemní digitální infrastrukturu. Předmět dále rozvíjí schopnosti detekce a reakce na moderní hrozby s využitím nástrojů strojového učení a umělé inteligence.
Absolvent kurzu získá přehled o technologiích tvorby, šíření a analýzy malwaru, porozumí jeho využití ve špionáži i útocích na kritickou infrastrukturu, a bude schopen navrhnout a aplikovat adekvátní opatření na ochranu počítačových systémů a sítí včetně zálohovacích a forenzních technik.
Vyučovací metody
Přednášky
Cvičení (v učebně)
Projekt
Anotace
Po absolvování tohoto předmětu bude student schopen:
Vysvětlit principy fungování škodlivého kódu, jeho historický vývoj a současné trendy.
Rozpoznat a klasifikovat různé typy malwaru (včetně virů, červů, trojských koní, spyware, ransomwaru a obrněného kódu).
Popsat a analyzovat způsoby šíření malwaru v počítačových systémech a sítích.
Pracovat se vzorky reálného malwaru v řízeném prostředí a porozumět jejich struktuře i chování.
Navrhnout a implementovat ukázkové typy malwaru pro studijní účely, včetně jejich hybridizace s prvky umělé inteligence.
Aplikovat základní principy reverzního inženýrství a behaviorální analýzy škodlivého kódu.
Využívat vizualizační techniky (např. fraktální geometrie) k analýze binárního kódu.
Orientovat se v problematice temného webu a popsat jeho roli v šíření a monetizaci škodlivého softwaru.
Identifikovat bezpečnostní rizika a navrhnout vhodná protiopatření ke zvýšení bezpečnosti počítačových systémů.
Samostatně zpracovat, prezentovat a obhájit zadané úkoly navazující na probíranou látku.
Povinná literatura:
1. Zelinka I., Merhaut F., Úvod do počítačové bezpečnosti, Fakulta elektrotechniky a informatiky VŠB-TU Ostrava, 2018
2. Peter Szor, Počítačové viry - analýza útoku a obrana, Zoner Press
Doporučená literatura:
3. Pokorný J., Hacking - umění exploitace, Zoner Press
Lance J., Phishing bez záhad, Grada, 2007
Další studijní materiály
Forma způsobu ověření studijních výsledků a další požadavky na studenta
E-learning
Další požadavky na studenta
Je požadována schopnost tvořit programy v některém z používaných programovacích jazyků a aplikovat získané znalosti do tvorby algoritmů.
Další požadavky na studenta nejsou kladeny.
Prerekvizity
Předmět nemá žádné prerekvizity.
Korekvizity
Předmět nemá žádné korekvizity.
Osnova předmětu
Přednášky:
1. Struktura předmětu
Tato úvodní přednáška seznamuje studenty se strukturou celého předmětu „Počítačové viry a bezpečnost počítačových systémů“. Představuje hlavní témata, která budou během semestru probírána, způsob hodnocení, formu výuky i očekávané výstupy. Slouží také k motivaci studentů a úvodní orientaci v problematice.
2. Úvod do kybernetické bezpečnosti
Přednáška uvádí základní pojmy a principy kybernetické bezpečnosti. Seznamuje studenty s hlavními hrozbami, aktéry kybernetických útoků a důvody, proč je zabezpečení informačních systémů stále důležitější. Důraz je kladen na pochopení kontextu a významu ochrany dat a systémů.
3. Historie a motivace vývoje škodlivého softwaru
Tématem této přednášky je historický vývoj škodlivého softwaru, včetně virů, červů a dalších forem malwaru. Diskutovány jsou také motivace útočníků – od recese přes finanční zisk až po státem podporované útoky. Studenti se seznámí s klíčovými milníky vývoje a změnami v přístupu k ochraně systémů.
4. Škodlivý software – typy a klasifikace
Přednáška se věnuje podrobné klasifikaci malwaru – virům, červům, trojským koním, rootkitům, ransomwaru a dalším formám. Rozebírá jejich technické vlastnosti, způsoby šíření a strategie, jak se vyhnout detekci. Součástí je i ukázka reálných případů a dopadů na uživatele a organizace.
5. Mechanismy infekce
Zaměřuje se na detailní popis toho, jak malware infikuje počítačové systémy. Studenti se naučí chápat jednotlivé fáze infekčního procesu, jako je doručení, spuštění, instalace a šíření. Přednáška se věnuje i metodám, které útočníci používají pro maskování a přežití v napadeném systému.
6. Provozní prostředí malwaru
Přednáška analyzuje prostředí, ve kterém malware operuje, a způsoby, jak se přizpůsobuje různým systémovým konfiguracím. Popisuje techniky pro detekci virtuálních strojů, obcházení antivirových řešení a detekci sandboxů. Součástí jsou i příklady adaptivního chování malwaru v různých podmínkách.
7. Obrněné viry a obranné mechanismy
Věnuje se tzv. „obrněným“ virům – tedy těm, které využívají pokročilé techniky ochrany proti detekci a analýze. Studenti se seznámí s metodami jako je šifrování, polymorfismus, metamorfismus a detekce debuggerů. Zároveň jsou představeny obranné strategie, jak těmto technikám čelit.
8. Tvorba a generování virů
Tato přednáška se zabývá procesem tvorby virů a vývojem jejich kódu. Rozebírá nástroje pro automatizovanou tvorbu (tzv. virus generators), evoluční přístupy a možnosti, jak malware mění svůj kód při každé infekci. Umožňuje porozumět tomu, proč je detekce nových vzorků malwaru tak obtížná.
9. Počítačové červy
Přednáška je zaměřena na počítačové červy jako specifickou třídu malwaru, která se dokáže samostatně šířit po sítích. Studenti se seznámí se strukturou červů, metodami hledání cílových zařízení, technikami šíření a způsoby vzdálené aktualizace. Zmíněny jsou i tzv. „mobilní červi“ a budoucí trendy.
10. Škodlivý účinek (payload)
Tématem je to, co malware po úspěšné infekci ve skutečnosti provádí – tzv. payload. Může jít o ničení dat, krádež informací, šifrování souborů (ransomware), sledování aktivity uživatele nebo zneužití systému pro útoky (např. DDoS). Přednáška rozebírá různé typy škodlivých funkcí a jejich cíle.
11. Zálohování jako obrana proti malwaru
Tato praktická přednáška se věnuje metodám zálohování dat jako zásadnímu nástroji obrany. Vysvětluje rozdíl mezi zálohováním a archivací, možnosti automatizace a praktické techniky pro obnovu dat. Zmíněna je i role zálohování při ochraně před ransomwarem a kyberútoky.
12. Umělá inteligence a malware
Spojuje oblasti AI a kyberbezpečnosti. Ukazuje, jak lze umělou inteligenci využít k detekci malwaru, predikci útoků a automatickému učení bezpečnostních systémů. Zároveň upozorňuje na to, jak mohou útočníci AI zneužít k vytváření adaptivních a těžko odhalitelných hrozeb.
13. Spyware a kyberzbraně
Dvojdílná přednáška věnovaná špionážnímu softwaru a kybernetickým zbraním. Popisuje druhy spyware, jejich šíření a využití státy i korporacemi. Zvláštní pozornost je věnována případovým studiím (např. Stuxnet, FinFisher) a diskusi o dopadu těchto technologií na globální bezpečnost.
------- Bonusové přednášky dle vytížení v semestru -------
14. Fraktály a vizualizace malwaru
Představuje nový přístup k analýze malwaru prostřednictvím fraktální geometrie a vizualizace binárního kódu. Vysvětluje, jak lze škodlivý kód převést do obrazové podoby a analyzovat ho pomocí metod strojového učení. Přednáška otevírá nové směry výzkumu v oblasti vizuální analýzy malwaru.
15. Počítačový virus – od základů po budoucnost
Závěrečná přednáška se věnuje programování virů v jazycích C, C++ a C#, a to jak z hlediska vývoje, tak reverzního inženýrství. Ukazuje vývoj od jednoduchých po komplexní virové kódy a trendy jako jsou viry ve formě „hejna“ (swarm). Diskutována je i budoucnost malwaru v kontextu nových technologií.
16. Temný web, darknet a jeho role v ekosystému malwaru
Tato přednáška se věnuje fenoménu temného webu (darkwebu) a jeho infrastruktuře – sítím jako Tor, I2P a Freenet. Studenti se dozví, jakým způsobem se zde obchoduje s malwarem, jak fungují podzemní trhy (black markets) a jaké služby jsou zde nabízeny – od Ransomware-as-a-Service až po databáze odcizených dat. Přednáška přináší vhled do ekonomiky kyberzločinu, metod anonymizace a způsobů, jakými je darknet využíván k šíření a monetizaci škodlivého softwaru.
Cvičení v PC učebnách
1. Keylogger: Studenti si vytvoří základní program malwaru, který bude sloužit jako jednoduchý keylogger.
Seznamte se s problematikou tvorby keyloggeru.
2. Windows API, registry, oprávnění: Výuka ovládání Windows API a programová práce s registry Windows.
Pomocí registrů Windows zajistěte, aby se Váš keylogger spouštěl při startu systému.
3. PowerShell, Alternate stream: Skrytí malware do alternativního streamu, ukázka práce s PowerShellem.
Seznamte se s mechanismy „streamů“, které jsou součástí NTFS file systému. Seznamte se se základy PowerShellu a s kódováním base64.
4. DLL injection: Maskování běhu malware za použití této techniky.
Přes Vaši aplikaci proveďte DLL injection vytvořené knihovny do zamýšleného (běžícího) procesu.
5. Symetrické šifrování: Malware šifrující soubory - využití např. u ransomwaru.
Svůj malware z předchozích cvičení rozšiřte o šifrování a dešifrování souboru, do kterého se ukládají stisknuté klávesy z keyloggeru.
6. Statická analýza malware 1: Úvod do analýzy malware - integrita souborů, extrakce stringů.
Ověřování integrity a získávání dat ze software: Seznamte se s technikami užívanými k ověřování itegrity souborů. Seznamte se s nástroji pro extrakci řetězců (stringů) z exe souborů. Seznamte se s on-line službou https://www.virustotal.com/.
7. Statická analýza malware 2: Práce s PE hlavičkami, odhalení obfuskačních technik u malware.
Nastudujte různé techniky, jež se užívají ke skrytí těla malware. Především pak techniky typu „obfuscation“ a „packing“. Detailně se seznamte s hlavičkami užívanými u spustitelných souborů – především pak PE a DOS hlavičkou.
8. Dynamická analýza malware: Debuggování dodaného malware v assembleru, úprava kódu v assembleru.
Debugging a Cracking: Seznamte se s procesem debuggování binárních souborů. Crackněte dodanou aplikaci.
9. Praktická analýza malware: Studentům bude dodán kód aktuálního malware, samostatně si pak vyzkouší manuální analýzu, při které by měli uplatnit nabyté vědomosti.
Proveďte důkladnou analýzu dodaného vzorku, na internetu najděte o malware různé zajímavé informace a zodpovězte přiložené otázky.
10. Automatická analýza malware za pomocí Cuckoo Sandbox: Instalace Cuckoo sandboxu, analýza malware za použití automatizovaných nástrojů.
Nainstalujte si vlastní instanci Cuckoo Sandboxu. Přes Cuckoo Sandbox analyzujte dodané vzorky. Následně také proveďte analýzu keyloggeru, který jste vytvářeli v rámci cvičení.
11) Studentské prezentace
Podmínky absolvování předmětu
Výskyt ve studijních plánech
Výskyt ve speciálních blocích
Hodnocení Výuky
Předmět neobsahuje žádné hodnocení.