También se realizan prácticas de algunas de las herramientas que se pueden utilizar para proteger los sistemas o para detectar los errores de programación o configuración que los pueden poner en peligro en caso de ataque.
Profesorado
Responsable
- René Serral Gracià ( rserral@ac.upc.edu )
Otros
- Marc Catrisse i Pérez ( marc.catrisse@upc.edu )
- Roberto Barreda Orenga ( roberto.barreda@upc.edu )
Horas semanales
Teoría
2
Problemas
1
Laboratorio
1
Aprendizaje dirigido
0
Aprendizaje autónomo
6
Competencias
Competencias técnicas comunes
- CT6.4 - Demostrar conocimiento y capacidad de aplicación de las características, las funcionalidades y la estructura de los Sistemas Distribuidos, de las Redes de Computadores y de Internet que permita su uso y su administración, así como el diseño y la implementación de aplicaciones basadas en ellas.
- CT7.1 - Demostrar conocimiento de las métricas de calidad y saber utilizarlas.
- CT7.2 - Evaluar sistemas hardware/software en función de un criterio de calidad determinado.
- CT7.3 - Determinar los factores que inciden negativamente en la seguridad y la fiabilidad de un sistema hardware/software, y minimizar sus efectos.
- CT8.1 - Identificar tecnologías actuales y emergentes y evaluar si son aplicables, y en qué medida, para satisfacer las necesidades de los usuarios.
Especialidad tecnologías de la información
- CTI1.1 - Demostrar comprensión del entorno de una organización y sus necesidades en el ámbito de las tecnologías de la información y las comunicaciones.
- CTI1.2 - Seleccionar, diseñar, desplegar, integrar y gestionar redes e infraestructuras de comunicaciones en una organización.
- CTI1.3 - Seleccionar, desplegar, integrar y gestionar sistemas de información que satisfagan las necesidades de la organización con los criterios de costo y calidad identificados.
- CTI2.3 - Demostrar comprensión, aplicar y gestionar la garantía y la seguridad de los sistemas informáticos (CEIC6).
- CTI3.1 - Concebir sistemas, aplicaciones y servicios basados en tecnologías de red, incluyendo Internet, web, comercio electrónico, multimedia, servicios interactivos y computación ubicua.
Uso solvente de los recursos de información
- G6.3 - Planificar y utilizar la información necesaria para un trabajo académico (por ejemplo, para el trabajo de final de grado) a partir de una reflexión crítica sobre los recursos de información utilizados. Gestionar la información de manera competente, independiente y autónoma. Evaluar la información encontrada e identificar las lagunas presentes.
Objetivos
-
Ser capaz de entender las amenazas y riesgos de seguridad de los sistemas informáticos.
Competencias relacionadas: CT7.1, CT7.2, CT7.3, CTI1.1,
Subcompetences- Ser capaz de entender las ideas generales de las implicaciones legales de la seguridad informática.
-
Ser capaz de analizar malware, como virus, troyanos, etc.
Competencias relacionadas: CT8.1, G6.3, CT7.1, CT7.3, -
Ser capaz de entender e identificar mecanismos de control de acceso de un sistema operativo.
Competencias relacionadas: CTI1.2, CT8.1, CT7.2, CT7.3, CTI1.3, -
Conocer las problemáticas de seguridad en las redes de computadores y ser capaz de encontrar soluciones para protegerlas.
Competencias relacionadas: CTI3.1, CT6.4, CTI2.3,
Subcompetences- Ser capaz de entender la implicación de una red en la seguridad corporativa
-
Ser capaz de diseñar mecanismos de protección para las aplicaciones distribuidas.
Competencias relacionadas: CTI3.1, CTI1.2, CT8.1, G6.3, CT6.4, CT7.3, CTI2.3,
Subcompetences- Ser capaz de identificar amenazas de seguridad y proponer soluciones en aplicaciones web y de comercio electrónico.
-
Ser capaz de entender la necesidad y funcionamiento de mecanismos forenses a la seguridad informática.
Competencias relacionadas: G6.3, CT7.1, CT7.3, CTI2.3, -
Ser capaz de utilizar mecanismos criptográficos para la protección de recursos informáticos.
Competencias relacionadas: CTI3.1, CTI2.3,
Subcompetences- Ser capaz de implementar mecanismos de firma electrónica.
-
Ser capaz de entender, aplicar y diseñar infraestructuras de clave pública (PKI).
Competencias relacionadas: CTI3.1, CTI1.2, CT8.1, CT6.4, CTI1.3,
Subcompetences- Ser capaz de diseñar y gestionar certificados de clave pública.
-
Ser capaz de entender los mecanismos de protección y las políticas de seguridad.
Competencias relacionadas: CTI1.2, CT7.3, -
Ser capaz de gestionar la adquisición, estructuración, análisis y visualización de datos y de información del ámbito de la ingeniería informática, valorando de forma crítica los resultados de esta gestión.
Competencias relacionadas: G6.3,
Contenidos
-
Introducción
Amenazas, análisis de riesgos, mecanismos de protección, seguridad en las comunicaciones, seguridad forense, políticas, recuperación, aspectos legales, ... -
Criptografía
Conceptos básicos de criptografía. Clave pública. Firma electrónica. -
Infraestructura PKI
Certificados. Directorios. Protocolos. -
Seguridad en las aplicaciones
Seguridad en la web. Protocolos seguros de aplicación. -
Uso de fuentes abiertas de datos (OSINT)
Actualmente muchos de los ataques realizados por actores maliciosos se basan en la ingeniería social. Para poder realizar ataques más avanzados, el uso de fuentes abiertas de datos en Internet, abre nuevas fronteras en estos ataques. Este tema cubrirá las técnicas para la realización de este tipo de ataques y cómo poder mitigarlos. -
Seguridad en los sistemas operativos
Analisis de las amenazas. Funcionamiento de los codigos maliciosos. Virus y gusanos. Protección. Antivirus. Estructura de un SO. -
Análisis forense
Recopilación de evidencias. Análisis.
Actividades
Actividad Acto evaluativo
Criptografía
Aprendizaje de los conceptos y objetivos asociados a este tema.Objetivos: 7
Contenidos:
Teoría
2h
Problemas
2h
Laboratorio
0h
Aprendizaje dirigido
0h
Aprendizaje autónomo
4h
Infraestructura PKI
Aprendizaje de los conceptos y objetivos asociados a este tema.- Laboratorio: Explicación proceso de creación de un certificado X.509 con openssl. Explicación del protocolo HTTPS
Contenidos:
Teoría
4h
Problemas
1h
Laboratorio
2h
Aprendizaje dirigido
0h
Aprendizaje autónomo
9h
Uso de fuentes abiertas de datos (OSINT)
La publicación descontrolada de datos puede acarrear ataques de Ingeniería Social que comporten suplantación de identidad, fraude y muchas otras cosas. Open Source Intelligence es la técnica por la que se utilizan fuentes de datos abiertas que proporcionan esta información.- Teoría: Comprensión de las fuentes de datos abiertas y qué se puede obtener de ellas
- Laboratorio: Utilizar herramientas de OSINT para poder obtener información de fuentes abiertas de datos.
Contenidos:
Teoría
2h
Problemas
0h
Laboratorio
2h
Aprendizaje dirigido
0h
Aprendizaje autónomo
6h
Seguridad en las aplicaciones
Aprendizaje de los conceptos y objetivos asociados a este tema.- Laboratorio: Comprensión de las técnicas de programación seguras descritas en la sesión. Uso de las aplicaciones webscarab y webgoat de la distribución de linux OWASP
Contenidos:
Teoría
8h
Problemas
6h
Laboratorio
4h
Aprendizaje dirigido
0h
Aprendizaje autónomo
19h
Seguridad forense
Aprendizaje de los conceptos y objetivos asociados a este tema.Objetivos: 6
Contenidos:
Teoría
3h
Problemas
2h
Laboratorio
2h
Aprendizaje dirigido
0h
Aprendizaje autónomo
7h
Lab CT. Uso solvente de los recursos bibliográficos
Gestionar la adquisición, estructuración, análisis y visualización de datos y de información del ámbito de la ingeniería informática, valorando de forma crítica los resultados de esta gestión. - Planificar y utilizar la información necesaria para un trabajo académico (por ejemplo, para el trabajo de fin de grado) a partir de una reflexión crítica sobre los recursos de información utilizados. - Gestionar la información de forma competente, independiente y autónoma. - Evaluar la información encontrada e identificar sus lagunas.Objetivos: 10
Teoría
0h
Problemas
0h
Laboratorio
2h
Aprendizaje dirigido
0h
Aprendizaje autónomo
2h
Cuestionario sobre el uso solvente de los recursos bibliográficos
Cuestionario sobre el uso solvente de los recursos bibliográficosObjetivos: 10
Semana: 9
Teoría
0h
Problemas
0h
Laboratorio
0h
Aprendizaje dirigido
0h
Aprendizaje autónomo
0h
Examen final de laboratorio
Examen sobre todas las prácticas de laboratorio realizadas a lo largo del curso. Es prerrequisito haber entregado todas las prácticas para poder tener opción de realizar el examen.Objetivos: 7 8 2 3 4 5
Semana: 14
Teoría
0h
Problemas
0h
Laboratorio
0h
Aprendizaje dirigido
0h
Aprendizaje autónomo
0h
Segundo examen de teoría
Examen de teoría de los temas de la asignatura: Seguridad en las aplicaciones, seguridad en los sistemas operativos y análisis forense. Este examen, quienes no hayan aprobado el primer parcial, les permitirá recuperarlo.Objetivos: 2 3 5 6
Semana: 15 (Fuera de horario lectivo)
Teoría
0h
Problemas
0h
Laboratorio
0h
Aprendizaje dirigido
0h
Aprendizaje autónomo
0h
Metodología docente
Esta asignatura ha de dar una visión global y lo más técnica posible de los problemas y soluciones de seguridad en los sistemas informáticos y las redes. Por esta razón, cubre muchos temas y debe tener una componente descriptiva grande.Sin embargo, la metodología docente utilizará ejemplos y problemas para ir introduciendo los conceptos para que los estudiantes alcancen las competencias necesarias. Además, se intentará fomentar la interactividad con los estudiantes planteando en clase situaciones reales para discutir las soluciones posibles.
Por otra parte, las prácticas en el laboratorio irán completando las capacidades y los conocimientos adquiridos en clase de teoría / problemas.
Método de evaluación
1. Realización de un control (C1) a mitad del cuatrimestre y de un segundo control al final (C2) sobre la materia expuesta en las clases de teoría.Theory = 0,3 x C1 + 0,7 x C2
2. Realización de las prácticas:
2.1 Se evaluará a través de entregas y/o cuestionarios individuales por Atenea (NQ)
2.2 Se realizará un examen final de laboratorio (EL).
La nota del laboratorio será: Lab = 0,5 * NQ + 0,5 EL
3. Realización de una actividad individual dedicada a la competencia transversal (CT) propuesta por los profesores de teoría y/o laboratorio relacionada con "Uso solvente de recursos bibliográficos"
La nota final (NF) de la asignatura se calculará de la siguiente forma:
NF = 0,7 x Teoría + 0,25 x Lab + 0,05 x CT
No habrá un examen final, hay la posibilidad de repetir el primer parcial durante el segundo (que se hará en el horario de exámenes al final de curso)
El nivel de consecución de la competencia transversal se evalúa a partir de la CT y se calculará de la siguiente forma:
A si CT >= 8.5; B si CT >=7; C si CT >= 5; D si CT < 5
Bibliografía
Básico
-
Cryptography and network security: principles and practice
- Stallings, W,
Person,
2023.
ISBN: 9781292437484
https://discovery.upc.edu/discovery/fulldisplay?docid=alma991005147378506711&context=L&vid=34CSUC_UPC:VU1&lang=ca -
Computer Security: Principles and Practice
- Stallings, W,
Prentice Hall,
2018.
ISBN: 9781292220611
https://discovery.upc.edu/discovery/fulldisplay?docid=alma991004175229706711&context=L&vid=34CSUC_UPC:VU1&lang=ca -
Handbook of applied cryptography
- Menezes, A.J.; Van Oorschot, P.C.; Vanstone, S.A,
CRC Press,
1997.
ISBN: 0-8493-8523-7
https://discovery.upc.edu/discovery/fulldisplay?docid=alma991001420389706711&context=L&vid=34CSUC_UPC:VU1&lang=ca -
Understanding PKI: concepts, standards, and deployment considerations
- Adams, C.; Lloyd, S,
Addison-Wesley,
2003.
ISBN: 0-672-32391-5
https://discovery.upc.edu/discovery/fulldisplay?docid=alma991002739719706711&context=L&vid=34CSUC_UPC:VU1&lang=ca
Complementario
-
Cibercrimen : ¡protégete del Bit-Bang!, los ataques en el Ciberespacio a : tu ordenador, tu móvil, tu empresa... aprende de víctimas, expertos y CiberVigilantes
- Medina, M.; Molist, M,
Tibidabo,
2015.
ISBN: 9788416204823
https://discovery.upc.edu/discovery/fulldisplay?docid=alma991004074839706711&context=L&vid=34CSUC_UPC:VU1&lang=ca
Capacidades previas
Las obtenidas en las asignaturas Sistemas Operativos y Redes de Computadores.Conocimientos de inglés técnico.