Glavna stranica

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Dobrodošli na glavnu stranicu wiki stranica kolegija Sigurnost informacijskih sustava Fakulteta organizacije i informatike u Varaždinu. SIS wiki Stranice i sav njihov sadržaj rezultat je suradnje djelatnika kolegija i studenata fakulteta. SIS wiki nakupina je korisnih informacijama o sigurnost informacijskih sustava. Ako želite svoj sustav napraviti sigurnim, saznati novosti u svijetu sigurnosti, uključujući sve zakonske regulative koje se odnose na sigurnost informacijskih sustava u Republici Hrvatskoj te aktualne ISO standarde došli ste na pravo mjesto

Ovaj wiki se više ne održava. Na kraju dokumenta je nepromijenjena kopija zadnjih par godina SIS DS seminara, s ciljem očuvanja vrijednih radova studenata.

Sadržaj

SIS Baza znanja

SIS Baza znanja

SIS Baza znanja prati nastavni sadržaj kolegija Sigurnost informacijskih sustava te se kao takva uzima kao relevantan izvor informacija za sva ispitivanja znanja na kolegiju. Baza znanja je u konstantnom procesu nadopune od strane djelatnika kolegija i studenata fakulteta. Trenutačno obrađena poglavlja sigurnosti:


Popis projekata

Popis projekata

Popis projekata je skup svih ponuđenih o obrađenih projekata na kolegiju Sigurnost informacijskih sustava. Jedno od obaveza studenata je obrađivanje projektnog problema. Problematika obuhvaća aktualne zanimljivosti u svijetu sigurnosti informacijskih sustava, a model praćenja na kolegiju studente obvezuje da u timovima odabranu problemsku tematiku obrade s teoretske i praktične strane.

Studentske projekte možete vidjeli ovdje



Zakoni i norme
Izgradnja ISMS-a i certificiranje po normi ISO 27001
ISO 27002 - Norma i Sukladnost
ISO 27005 - Upravljanje rizicima
PCI-DSS_norma
PCI-DSS Norma, sukladnost sa PCI-DSS normom
Zakoni Republike Hrvatske vezani uz informacijsku sigurnost i zaštitu podataka
NASA - Information Systems Security Policy


ISMS (Information security management system)
Sigurnosne politike
Implementacija ISMS-a
Procjena rizika
Odgovaranje na incidente - Incident response
Fizička i tehnička sigurnost


Sigurnost i nadzor servisa i poslužitelja
Virtualizacija poslužitelja - ESXi
Virtualizacija poslužitelja - KVM
Virtualizacija poslužitelja - XEN
Monitoring - Splunk
Monitoring - ZenOSS
Monitoring - NagiOS / Zabbix
Sigurnosno spremanje podataka - NAS storage
Puppet - Orkestracija servisa
Obvezna kontrola pristupa - MAC - AppArmor
Zaštita web poslužitelja - Moduli za apache i ostali mehanizmi zaštite
Zaštita od DDoS napada
Zaštita od DoS-a u Apacheu s mod cband - prednosti i mane


Mrežna sigurnost
Mrežno filtriranje - PFSense, iptables
L7 Mrežno filtriranje
Otvoreni routeri - OpenWRT / DD-WRT
Detekcija i Prevencija upada - IDS/IPS
Sustavi za detekciju napada (Snorby/Snort)
Sustavi za detekciju napada (Suricata)
Sustavi za detekciju napada (OSSEC)
Sigurnost 802.1x standarda
Nmap. Nmap scripting engine
Filtiriranje sadržaja u tvrtkama: (primjena squid-a i ostalih proxya)
Napredne funkcije iptables-a kao vatrozida (sa L7 filtiranjem i custom zakrpama)
VPN mreže - OpenVPN i IPSEC
VPN pomoću: OpenVPN-a
VPN pomoću: N2N-a
VPN pomoću: L2TP/IPSEC-a
TOR i anonimizacijske mreže
Samba kao domenski kontroler



Kriptografija
Ispravno korištenje stream ciphera nalik RC4
Osobna kriptografija - GPG, TrueCrypt, SSL
Anonimizacijske mreže
Sigurni VoIP
Infrastruktura javnog ključa - PKI
[1]
Linearna kriptoanaliza
XSL i Boomerang kriptoanaliza
Kriptiranje PE-ova
ECC kriptografija (Eliptične krivulje)
Kriptovirologija
Enkripcija baza podataka
OTP (One time password rješenja) - primjena Google Authenticatora


Aplikacijska sigurnost
zaštita programskih proizvoda
Packeri i mehanizmi zaštite izvršnog koda
Reverzni inžinjering na Windows platformi
Metode zaštite softwarea - Packing
OWASP Top 10: Problemi sa umetanjem koda/znakova
OWASP Top 10: Problemi autentikacije, kriptografije i referenci koda
Sigurnost baza podataka - Multimaster replikacija i tajnost podataka
Botneti i napredni oblici malwarea - analiza zeus / spyeye sourcea
Primjena Yubikey-a
Zaštita PHP aplikacija s mod security
W3AF framework
ModSecurity
Pregled_sigurnosti_Google_Android_sustava
Pregled Java EE Sigurnosti


Podatkovna sigurnost
Rješenje za backup: Bacula
Rješenje za backup: BackupPC


Testiranje sustava sigurnosti
Elementi razvoja malicioznog koda
Eksploatacijski frameworkovi
Metasploit framework i izrada modula za MSF
Razvoj naprednih tehnika za izradu malwarea/rootkita
Traženje ranjivosti - OpenVAS / NeXpose
OSINT - Open Source Intelligence
Honeypotovi
Webapp honeypotovi
Social Engineering i SET
Pretexting - Praktična primjena social engineeringa
Korištenje Javascripta u maliciozne svrhe
Web bazirani malware
Heap Spraying


Razvoj malicioznog softwarea
Izrada naprednog malwarea: trojana/rootkita


Računalni kriminal

Računalni kriminal/cyber kriminal
Računalne i online prijevare
Underground forumi/Underground scena


Web serveri

Nginx
Usporedba nginx-a, lighttpd-a i apache-a, sa posebnim naglascima na raspoloživost i mogućnosti sigurnosnih nadogradnja i sigurnosti


Ostalo
Raspberry Pi i njegova primjena u sigurnosti informacijskih sustava
Varnish
SPDY - dizajn, prednosti i mane
OpenWRT
Izrada mrežnih spremišta sa softwareskim raidom / Sambom

Popis projekata

Računalni kriminal
Ransomware maliciozni softver
Phishing
Cyberbullying
Krađa identiteta
MitM napadi
Spoofing napadi
Izvori i mehanizmi financiranja cyber kriminala



Kriptografija
Kvantna kriptografija
PKI infrastruktura
Akustična kriptoanaliza


Mrežna sigurnost
Sigurnost WLAN mreža
Pfsense live firewall
Dizajn sigurnih mreža
Sigurnost i propusti u DNS infrastrukturi
SSH, SFTP, SCP


Sigurnost podataka
Operacijska sigurnost
Steganografija
Autentifikacija, autorizacija i bilježenje


Fizička sigurnost
Pametne kartice
Zaštita novca i isprava
Komercijalno spašavanje podataka
RFID tehnologija Sefovi


Testiranje sustava sigurnosti
Testiranje antivirusnog softvera
Social Engineering and SET


Prevencija napada
Prevencija XSS-a i SQL injectiona u PHP-u


Upravljanje incidentima
Odgovor i baratanje incidentima
Odgovaranje na incidente - Incident response PITUP


Ostalo
Anonymous
E-voting
Zaštita i forenzika digitalnih fotografija
Sigurnost androida
Bitcoin
Mobilno bankarstvo
OSTN
WikiLeaks
Sigurnosna svojstva i forenzika fotografija


Diplomski studij 2017

CORS exploitation via JSONP

Reverse engineering APK file

Social Engineering with SET

Web integrated lightweight (SPV) Bitcoin wallet

Isolation methods in networks

Authentication and Authorization in Java Systems

Analysis of VaultX leaks

Identificirajuća veza prema web servisu

Upravljanje rizicima pomoću alata AlienVault

Postavljanje jednostavnih VPN-ova

Sigurno spremanje lozinki na složenim infrastrukturama

Methods of monetization for cyber crimes

Tempest attacks using SDR

PHP Security Static Analysis

Authentication on mobile devices using machine learning

Post eksploatacija Windowsa

Otpornost Tehničkih Mjera Za Neovlašteni Pristup

Spring security u spring bootu

Secure Boot

Sigurnost u PostgreSQL-u

Android dozvole (engl. permissions)

Elastic security

Hidden Service

Upravljanje mrežnim prometom

TOR router - Raspberry Pi

Osiguravanje java koda na moblinim aplikacijama

Sigurnosni video sustav za Raspberry Pi

Threat model Industry 4.0

Suvremeni napadi na WI-FI

Polimorfizam za zaštitu malicioznog koda

Primjena TensorFlow-a u sigurnosti

Funkcije i ranjivosti Intel Management Enginea

Diffie-Hellman protokol

ChaCha20 algoritam i Poly1305 autentifikator

Malicious network traffic analysis

Sigurnosne zakrpe

OAuth autorizacija

Komparativna analiza metode izolacije koda

Označavanje i praćenje PDF-a

Računalni kriminal s naglaskom na APT

Modeliranje DoS napada

Uspoređivanje sigurnosti između frontend frameworka

Kreiranje kriptovalute korištenjem Ethereum-a

Youtube as a covert channel

Guilochéove krivulje, superformula i sigurnost

Analysis of Fitness Tracker Security and Privacy

Ispitivanje ranjivosti web aplikacija pomoću alata Arachni i w3af

Sigurnost sustava za upravljanje bazom podataka - Oracle i Microsoft SQL Server

Ransomware za bazu podataka

Blockchain tehnologija - Pametni ugovori

Siguran razvoj android aplikacija

CPU miner

Rate limiting with NGINX

Hash Functions and Data Integrity

Alternativni threat modeli

Security in Laravel 5.4

Steganografija općenito i kroz primjere

2 factor authentication

Windows Containers and iOS ecosystem

R.A.T. Remote access trojan

KeyLogger Golang & C

Prijenos podataka putem fm signala

Oracle DB security features

PHP security

Spring Security framework

Ideje za teme:



Dodatni zadaci za bodove

Dodatni zadaci za bodove

Dodatni zadaci za bodove za bodove za studente koji žele dodatno sudjelovati na kolegiju ponuđeni su na ovom mjestu. Dodatni trud studenata će se dakako dodatno vrednovati. Ponuđeni zadaci su teže tematike i od studenata zahtijevaju veći trud.



Diplomski studij 2016

Izrada virtualnog (VMWare) stroja za potrebe nadogradnje sqlmap-a

Cyber Warfare

Internet of Wrongs: NodeMCU ESP8266 SoC u ofenzivnoj sigurnosti

Prikupljanje i analiza netflowa i pcap-a u pythonu

Sigurnost sustava za upravljanje bazom podataka - MySQL

Social Engineering and Neourolinguistic Programming

Deobfuscation of code written in scripting programming languages

Microsoft Active Directory

Hardening Linux Server

Integracija ESP8266 modula i mikrofona

PHP auditing

Teensy 3.2 (the Glitch/Rubberducky clone)

Mod Security

Android mobitel kao rubber ducky

Security Of Internet Payment

Ransomware

Eliptičke krivulje u kriptografiji

VPN - IPSEC

Cyber Warfare - analiza APTnotes data

VPN - IPsec tunneling

Protokol DTLS

Obijanje bluetooth brave sa bluetooth snifferom

Glitch art

Mjerenje performansi klijent/server aplikacija pomoću alata Tsung

Powershell Keylogger

Man in the middle local network attack (mitmf, bettercap)

"Sleepy Puppy" XSS Payload Management Framework

Anonimnost i privatnost na internetu

Nftables i netflow

Offensive powershell

Korištenje ESP8266 u kriptografiji

Ethereum

Primjena biometrije u sustavu sigurnosi IS-a

Forenzička analiza Windows 10 operacijskog sustava

Web application penetration testing

ISO standards for blockchain and smartcontracts

Dvo faktorska autentifikacija

Cuckoo Sandbox

Encrypted VoIP

Izrada web priručnika na github repozitoriju

Sigurnost u C Sharp-u

Internet of Things Security

Social Engineering

BigDataSecurity




Diplomski studij 2015

Analiza sigurnosti RFID/NFC kartica

Analiza web prometa korištenjem Netflow alata

Reverzni inžinjering Android aplikacija

Tshark / TCPDump i analiza mrežnog prometa

Moloch za analizu mrežnog prometa

GrayLog - Upravljanje dnevničkim zapisima

Splunk - Upravljanje dnevničkim zapisima

OWASP Zap kao automatizirani skener sigurnosti

Arachni - Skener za ranjivosti

Forenzička analiza reflected i amplified DDoS alata

Korištenje Windows PowerShella u posteksploataciji

Sigurnosne značajke Ruby on Rails web aplikacija

Sigurnosna analiza NodeJS platforme za izradu skalabilnih aplikacija

Wireless security

PHP Security

Sigurnost Django frameworka

iOS Security i aplikativni primjer koji koristi Apple Touch ID FingerPrint API

Man In The Middle Network Attack with Android

ASP.NET Security

Spring Security

Provjera sigurnosnih propusta pomoću integracijskih testova

Konfiguracija i zaštita lokalne mreže - DD-WRT

OAuth2 i Spring Boot

Sigurnost u sustavu PostgreSQL

OWASP ESAPI

Internet of Things Security


Organizacijske teme:

Izvori prijetnji u energetskom sektoru

Pristupi povećanju svijesti o informacijskoj sigurnosti kod zaposlenika u poduzećima

Katalozi prijetnji i taksonomije sigurnosti

Primjena organizacijskih metodologija za upravljanje sustavom sigurnosti

FFIEC Cybersecurity Assessment Tool

DevOps Security

Metodologije za razvoj sigurnog softvera

PCI-DSS

EMV protokol u kartičnom poslovanju

Factor analysis of information risk - Metodologija za procjenu rizika

Pranje novca

Cobit

Sigurnost kontrole pristupa karticama i evidencija radnog vremena

Pregled malware-a za PC i zaštita

Analiza sigurnosti automobila, vektori napada

Sponzorirane teme:

Dinamička sandboxing analiza malwarea u stvarnom vremenu – mehanizam rada i problematika detekcija virtualne okoline. Rad s open source alatima.

Steganografija – tehnička analiza mehanizma rada i praktična programska demonstracija.

DDoS i DoS tehnike napada – Layer 4, Layer 7 (floods, amplification, slow post, etc.)

Vektori napada na mobilne platforme i tablete

Hakiranje uporabom mobilnih uređaja – footprinting, scanning, enumeration, system hacking, sniffing, Dos attack, etc.

ECC - Elliptic Curve Cryptography


Diplomski studij 2014

Doradnja otvorene knjige "Sigurnost informacijskih sustava"

ISO 27001:2013 i ISO 27002:2013 - Implementacija u poduzeću

Procjena rizika po ISO 27005 - Implementacija FLOSS alata

Zakonski uvijeti RH iz područja sigurnosti i privatnosti za razne kategorije poduzeća

Usklađenost sa PCI-DSS u EU te zahtjevi PCI DSS

Scrapy python framework

ELK - Elasticsearch, Logstash, Kibana

AlienVault

Glasstopf

High interaction honeypotovi

HoneyNetwork

Viper binary management and analysis framework

Cuckoo sandbox

Analiza bankovnog malwarea

Paralllella board - primjena za kriptoanalizu

Usporedba alata za provjeru ranjivosti

Očvršćenje GNU/Linux baziranih poslužitelja

Očvršćenje *BSD/*nix baziranih poslužitelja

tshark i tcpdump u praksi

snort i suricata IDS/IPS

Sigurnost i privatnost Google Glass-a

Keylogger

Kriptovalute

Microsoft Intune

BadUSB

Sigurnost MongoDB baze podataka

Napadi na korisnika putem web browsera

Reverse engineering .apk datoteka

Onion router(TOR)

Sigurnosni aspekti elektronskog i mobilnog bankarstva

Phishing - Krada identiteta

e-Commerce sigurnost


Sponsored teme:


Fuzzing web servisa (REST i SOAP)

Tehnike brzog mrežnog skeniranja (zmap)

Analiza i mogućnosti Conpot Honeypota

Analiza Chamaleon Wi-Fi malwarea

Analiza modernih DDOS metoda (NTP,DNS, SNMP amplification)

Forenzika radne memorije (Volatility)

Analiza Ebury Linux malvera

Analiza PST datoteka

Proxying i analiza e-mail poruka

Sigurnost WordPress-a


Diplomski studij 2013

ISO 27001 - Upravljanje IS (4)

ISO 27002 - Norma i Sukladnost (4)

ISO 27005 - Upravljanje rizicima (4)

Sigurnosne politike (4)

Implementacija ISMS-a (3)

PCI-DSS Norma, sukladnost sa PCI-DSS normom (4)

Zakoni Republike Hrvatske vezani uz informacijsku sigurnost i zaštitu podataka (4)

Procjena rizika (4)

VPN mreže - OpenVPN i IPSEC (3)

Otvoreni routeri - OpenWRT / DD-WRT (3)

Virtualizacija poslužitelja - ESXi (3)

Onion router(TOR) (4)

zaštita programskih proizvoda (2)

Virtualizacija poslužitelja - KVM (3)

Virtualizacija poslužitelja - XEN (3)

Anonimizacijske mreže (3)

Sigurnost baza podataka - Multimaster replikacija i tajnost podataka (4)

Botneti i napredni oblici malwarea - analiza zeus / spyeye sourcea (4)

Razvoj naprednih tehnika za izradu malwarea/rootkita (4)

Monitoring - Splunk (3)

Monitoring - ZenOSS (3)

Monitoring - NagiOS / Zabbix (3)

Odgovaranje na incidente - Incident response (4)

Sigurnosno spremanje podataka - NAS storage (4)

Osobna kriptografija - GPG, TrueCrypt, SSL (4)

OSINT - Open Source Intelligence (3)

Puppet - Orkestracija servisa (3)

Mrežno filtriranje - PFSense, iptables (3)

Squid i DansGuardian - Nadzorni proxy (3)

L7 Mrežno filtriranje (3)

Detekcija i Prevencija upada - IDS/IPS (4)

Obvezna kontrola pristupa - MAC - NSA SeLinux (3)

Reverzni inžinjering na Windows platformi (4)

Metode zaštite softwarea - Packing (3)

Obvezna kontrola pristupa - MAC - AppArmor (3)

OWASP Top 10: Problemi sa umetanjem koda/znakova (5)

OWASP Top 10: Problemi autentikacije, kriptografije i referenci koda (5)

Traženje ranjivosti - OpenVAS / NeXpose (3)

Eksploatacijski frameworkovi (3)

Sigurni VoIP (4)

Fizička i tehnička sigurnost

Infrastruktura javnog ključa - PKI

Sigurnost 802.1x standarda

NASA - Information Systems Security Policy

Sigurnost u oblaku - Postini

Ransomware maliciozni softver

Napadi na sigurnosne sustave zračnog prometa

Prijenos podataka putem fm signala



PITUP

(BETA) Materijali i zabilješke za PITUP

Računalni kriminal / Maliciozni kod

Sigurnosne kopije

Tehničke mjere zaštite

Penetracijsko testiranje


Korisni linkovi i literatura

Tagovi:

Zakon o arhivskom gradivu i arhivima
Zakon o elektroničkom potpisu
Zakon o računovodstvu
Zakon o elektroničkim komunikacijama
Zakon o zaštiti osobnih podataka
Zakon o tajnosti podataka
Zakon o informacijskoj sigurnosti
Zakon o kaznenom postupku

ISO 27001
ISO 27002
ISO 27005
PCI-DSS


Djelatnici kolegija: "Sigurnost informacijskih sustava"
doc.dr.sc. Tonimir Kišasondi i prof. dr. sc. Željko Hutinski


Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima