460-4134/01 – Metody počítačové bezpečnosti automobilových systémů (MPBAS)
| Garantující katedra | Katedra informatiky | Kredity | 5 |
| Garant předmětu | Ing. Svatopluk Štolfa, Ph.D. | Garant verze předmětu | Ing. Svatopluk Štolfa, Ph.D. |
| Úroveň studia | pregraduální nebo graduální | Povinnost | povinný |
| Ročník | 2 | Semestr | zimní |
| | Jazyk výuky | čeština |
| Rok zavedení | 2019/2020 | Rok zrušení | 2023/2024 |
| Určeno pro fakulty | FEI | Určeno pro typy studia | navazující magisterské |
Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi
Výuka je rozdělena do několika bloků, které jsou tematicky zaměřeny do těchto oblastí: teoretický úvod, kde budou vysvětleny základní pojmy z oblasti počítačové bezpečnosti, srovnání systémů používaných ve sféře automotiv a představení možností jak zneužít chyby těchto systémů, popis chování konkrétních útoků a jejich modifikací. Absolvent předmětu by měl být schopen vytvořit bezpečné pracovní prostředí pro vývoj automotiv komponent, navrhnout a používat bezpečný, testovatelný a opakovatelný vývojový proces pro vývoj bezpečných komponent s využitím nejnovějších poznatků a v neposlední řadě by měl být schopen provést penetrační testování předložených řešení.
Vyučovací metody
Přednášky
Cvičení (v učebně)
Anotace
V rámci předmětu se bude probírat vývoj bezpečných automotiv komponent v bezpečném prostředí, penetrační testování, komunikace mezi vozidly a standardy z oblasti automotiv. Budou zmíněny jak historicky klasické techniky, tak moderní postupy a algoritmy, které lze snadno použít pro útok na automotiv komponenty (například Denial of Service útok na sběrnici CAN). Značná část předmětu se zaměřuje i na možnosti obrany proti klasickým útokům, zabezpečení obsahu a anonymizaci dat.
Povinná literatura:
Vehicle Electrical System Security Committee. SAE J3061 Cybersecurity Guide-
book for Cyber-Physical Automotive Systems.
Dietmar P.F. Möller, Roland E. Haas: Guide to Automotive Connectivity and Cybersecurity: Trends, Technologies, Innovations and Applications, Springer; 1st ed. 2018 edition (November 11, 2018), ISBN-10: 331973511X
ISBN-13: 978-3319735115
Craig Smith: The Car Hacker's Handbook: A Guide for the Penetration Tester, 1st Edition, No Starch Press; 1 edition (March 1, 2016), ISBN-10: 9781593277031
ISBN-13: 978-1593277031
Doporučená literatura:
Craig Gibbs: Automotive Cybersecurity: Issues and Vulnerabilities (Transportation Issues, Policies and R&d), Nova Science Pub Inc; UK ed. edition (October 20, 2016), ISBN-10: 1634859871, ISBN-13: 978-1634859875
Shamik, Ghosh: Automotive Cybersecurity - From perceived threat to stark reality, About publishing group, July 2016
Allisa Knight: Hacking Connected Cars: Tactics, Techniques, and Procedures, 1st Edition, Wiley; 1 edition (January 30, 2019), ISBN-10: 1119491800, ISBN-13: 978-1119491804
Forma způsobu ověření studijních výsledků a další požadavky na studenta
Plnění bodovaných úkolů na cvičeních a písemné a ústní ověření znalostí zkouškou.
E-learning
Další požadavky na studenta
Plnění bodovaných úkolů na cvičeních a písemné a ústní ověření znalostí zkouškou.
Prerekvizity
Předmět nemá žádné prerekvizity.
Korekvizity
Předmět nemá žádné korekvizity.
Osnova předmětu
Přednášky:
1. Úvod do kybernetické bezpečnosti: vysvětlení základních pojmů, příklady historických útoků, vektory útoků.
2. Penetrační testování a testovací paradigma: co, jak a kdy testovat. Testovací techniky a rámce.
3. Internetové webové služby: zabezpečení aplikačního rozhraní a správa přístupů k webovým službám.
4. Síť internetových robotů (botnet) a počítačové útoky typu zamezení použití služby (DOS, DDOS)
5. Síťové služby a domácí sítě: dohledové systémy, zabezpečení sítě a logování síťových aktivit.
6. Připojení mobilních zařízení a komunikace mezi automobily: komunikační protokoly, útoky typu "Man in the middle".
7. Správa obsahu a ochrana dat: práce s anonymizací dat, bezpečné uložení dat, šifrování dat, základní principy GDPR a jejich aplikace na sféru automotiv.
8. Životní cyklus počítačové bezpečnosti - životní cyklus v referenci na SAE J3061TM
9. Životní cyklus počítačové bezpečnosti - řízení
10. Životní cyklus počítačové bezpečnosti - modelování rizik
11. Životní cyklus počítačové bezpečnosti - analýza a hodnocení rizik
12. Životní cyklus počítačové bezpečnosti - Specifikace požadavků na počítačovou bezpečnost
13. Životní cyklus počítačové bezpečnosti - Validace
14. Shrnutí a závěr
Cvičení:
1. Tvorba pracovního prostředí: vytvoření obrazu operačního systému, které bude použito pro simulaci útoků.
2. Úvod do penetračního testování I: prezentace nástrojů, jednoduché příklady útoků.
3. Úvod do penetračního testování II: příklad komplexního útoku.
4. Internetové webové služby: možnosti vystavení rozhraní a zabezpečení přístupů k webovým metodám.
5. Síť internetových robotů (botnet) a počítačové útoky typu zamezení použití služby (DOS, DDOS): praktická ukázka DOS útoku na CAN sběrnici.
6. Síťové služby a domácí sítě: dohledové systémy a nástroje na monitorování síťového provozu. Analýza logů a hledání nestandardního chování.
7. Správa obsahu a ochrana dat: práce s anonymizací dat, bezpečné uložení dat, šifrování dat.
8. Životní cyklus počítačové bezpečnosti - životní cyklus v referenci na SAE J3061TM, definice potřeb projektu
9. Životní cyklus počítačové bezpečnosti - řízení - naplánování a řízení projektu
10. Životní cyklus počítačové bezpečnosti - modelování rizik
11. Životní cyklus počítačové bezpečnosti - analýza a hodnocení rizik
12. Životní cyklus počítačové bezpečnosti - Specifikace požadavků na počítačovou bezpečnost
13. Životní cyklus počítačové bezpečnosti - Validace - metody validace návrhu
14. Shrnutí a závěr
Podmínky absolvování předmětu
Výskyt ve studijních plánech
Výskyt ve speciálních blocích
Hodnocení Výuky