Glavna stranica
Dobrodošli na glavnu stranicu wiki stranica kolegija Sigurnost informacijskih sustava Fakulteta organizacije i informatike u Varaždinu. SIS wiki Stranice i sav njihov sadržaj rezultat je suradnje djelatnika kolegija i studenata fakulteta. SIS wiki nakupina je korisnih informacijama o sigurnost informacijskih sustava. Ako želite svoj sustav napraviti sigurnim, saznati novosti u svijetu sigurnosti, uključujući sve zakonske regulative koje se odnose na sigurnost informacijskih sustava u Republici Hrvatskoj te aktualne ISO standarde došli ste na pravo mjesto
Ovaj wiki se više ne održava. Na kraju dokumenta je nepromijenjena kopija zadnjih par godina SIS DS seminara, s ciljem očuvanja vrijednih radova studenata.
Sadržaj |
SIS Baza znanja
SIS Baza znanja prati nastavni sadržaj kolegija Sigurnost informacijskih sustava te se kao takva uzima kao relevantan izvor informacija za sva ispitivanja znanja na kolegiju. Baza znanja je u konstantnom procesu nadopune od strane djelatnika kolegija i studenata fakulteta. Trenutačno obrađena poglavlja sigurnosti:
- Osnove sigurnosti
- Zakonska osnovica
- ISMS (Information security management system)
- Sigurnosni rizici
- Norma ISO 27000
- Sigurnosno kopiranje
- Maliciozni kod
- Kriptografija
Popis projekata
Popis projekata je skup svih ponuđenih o obrađenih projekata na kolegiju Sigurnost informacijskih sustava. Jedno od obaveza studenata je obrađivanje projektnog problema. Problematika obuhvaća aktualne zanimljivosti u svijetu sigurnosti informacijskih sustava, a model praćenja na kolegiju studente obvezuje da u timovima odabranu problemsku tematiku obrade s teoretske i praktične strane.
Studentske projekte možete vidjeli ovdje
Zakoni i norme
Izgradnja ISMS-a i certificiranje po normi ISO 27001
ISO 27002 - Norma i Sukladnost
ISO 27005 - Upravljanje rizicima
PCI-DSS_norma
PCI-DSS Norma, sukladnost sa PCI-DSS normom
Zakoni Republike Hrvatske vezani uz informacijsku sigurnost i zaštitu podataka
NASA - Information Systems Security Policy
ISMS (Information security management system)
Sigurnosne politike
Implementacija ISMS-a
Procjena rizika
Odgovaranje na incidente - Incident response
Fizička i tehnička sigurnost
Sigurnost i nadzor servisa i poslužitelja
Virtualizacija poslužitelja - ESXi
Virtualizacija poslužitelja - KVM
Virtualizacija poslužitelja - XEN
Monitoring - Splunk
Monitoring - ZenOSS
Monitoring - NagiOS / Zabbix
Sigurnosno spremanje podataka - NAS storage
Puppet - Orkestracija servisa
Obvezna kontrola pristupa - MAC - AppArmor
Zaštita web poslužitelja - Moduli za apache i ostali mehanizmi zaštite
Zaštita od DDoS napada
Zaštita od DoS-a u Apacheu s mod cband - prednosti i mane
Mrežna sigurnost
Mrežno filtriranje - PFSense, iptables
L7 Mrežno filtriranje
Otvoreni routeri - OpenWRT / DD-WRT
Detekcija i Prevencija upada - IDS/IPS
Sustavi za detekciju napada (Snorby/Snort)
Sustavi za detekciju napada (Suricata)
Sustavi za detekciju napada (OSSEC)
Sigurnost 802.1x standarda
Nmap. Nmap scripting engine
Filtiriranje sadržaja u tvrtkama: (primjena squid-a i ostalih proxya)
Napredne funkcije iptables-a kao vatrozida (sa L7 filtiranjem i custom zakrpama)
VPN mreže - OpenVPN i IPSEC
VPN pomoću: OpenVPN-a
VPN pomoću: N2N-a
VPN pomoću: L2TP/IPSEC-a
TOR i anonimizacijske mreže
Samba kao domenski kontroler
Kriptografija
Ispravno korištenje stream ciphera nalik RC4
Osobna kriptografija - GPG, TrueCrypt, SSL
Anonimizacijske mreže
Sigurni VoIP
Infrastruktura javnog ključa - PKI
[1]
Linearna kriptoanaliza
XSL i Boomerang kriptoanaliza
Kriptiranje PE-ova
ECC kriptografija (Eliptične krivulje)
Kriptovirologija
Enkripcija baza podataka
OTP (One time password rješenja) - primjena Google Authenticatora
Aplikacijska sigurnost
zaštita programskih proizvoda
Packeri i mehanizmi zaštite izvršnog koda
Reverzni inžinjering na Windows platformi
Metode zaštite softwarea - Packing
OWASP Top 10: Problemi sa umetanjem koda/znakova
OWASP Top 10: Problemi autentikacije, kriptografije i referenci koda
Sigurnost baza podataka - Multimaster replikacija i tajnost podataka
Botneti i napredni oblici malwarea - analiza zeus / spyeye sourcea
Primjena Yubikey-a
Zaštita PHP aplikacija s mod security
W3AF framework
ModSecurity
Pregled_sigurnosti_Google_Android_sustava
Pregled Java EE Sigurnosti
Podatkovna sigurnost
Rješenje za backup: Bacula
Rješenje za backup: BackupPC
Testiranje sustava sigurnosti
Elementi razvoja malicioznog koda
Eksploatacijski frameworkovi
Metasploit framework i izrada modula za MSF
Razvoj naprednih tehnika za izradu malwarea/rootkita
Traženje ranjivosti - OpenVAS / NeXpose
OSINT - Open Source Intelligence
Honeypotovi
Webapp honeypotovi
Social Engineering i SET
Pretexting - Praktična primjena social engineeringa
Korištenje Javascripta u maliciozne svrhe
Web bazirani malware
Heap Spraying
Razvoj malicioznog softwarea
Izrada naprednog malwarea: trojana/rootkita
Računalni kriminal
Računalni kriminal/cyber kriminal
Računalne i online prijevare
Underground forumi/Underground scena
Web serveri
Nginx
Usporedba nginx-a, lighttpd-a i apache-a, sa posebnim naglascima na raspoloživost i mogućnosti sigurnosnih nadogradnja i sigurnosti
Ostalo
Raspberry Pi i njegova primjena u sigurnosti informacijskih sustava
Varnish
SPDY - dizajn, prednosti i mane
OpenWRT
Izrada mrežnih spremišta sa softwareskim raidom / Sambom
Popis projekata
Računalni kriminal
Ransomware maliciozni softver
Phishing
Cyberbullying
Krađa identiteta
MitM napadi
Spoofing napadi
Izvori i mehanizmi financiranja cyber kriminala
Kriptografija
Kvantna kriptografija
PKI infrastruktura
Akustična kriptoanaliza
Mrežna sigurnost
Sigurnost WLAN mreža
Pfsense live firewall
Dizajn sigurnih mreža
Sigurnost i propusti u DNS infrastrukturi
SSH, SFTP, SCP
Sigurnost podataka
Operacijska sigurnost
Steganografija
Autentifikacija, autorizacija i bilježenje
Fizička sigurnost
Pametne kartice
Zaštita novca i isprava
Komercijalno spašavanje podataka
RFID tehnologija
Sefovi
Testiranje sustava sigurnosti
Testiranje antivirusnog softvera
Social Engineering and SET
Prevencija napada
Prevencija XSS-a i SQL injectiona u PHP-u
Upravljanje incidentima
Odgovor i baratanje incidentima
Odgovaranje na incidente - Incident response PITUP
Ostalo
Anonymous
E-voting
Zaštita i forenzika digitalnih fotografija
Sigurnost androida
Bitcoin
Mobilno bankarstvo
OSTN
WikiLeaks
Sigurnosna svojstva i forenzika fotografija
Diplomski studij 2017
Web integrated lightweight (SPV) Bitcoin wallet
Authentication and Authorization in Java Systems
Identificirajuća veza prema web servisu
Upravljanje rizicima pomoću alata AlienVault
Postavljanje jednostavnih VPN-ova
Sigurno spremanje lozinki na složenim infrastrukturama
Methods of monetization for cyber crimes
Authentication on mobile devices using machine learning
Otpornost Tehničkih Mjera Za Neovlašteni Pristup
Spring security u spring bootu
Android dozvole (engl. permissions)
Osiguravanje java koda na moblinim aplikacijama
Sigurnosni video sustav za Raspberry Pi
Polimorfizam za zaštitu malicioznog koda
Primjena TensorFlow-a u sigurnosti
Funkcije i ranjivosti Intel Management Enginea
ChaCha20 algoritam i Poly1305 autentifikator
Malicious network traffic analysis
Komparativna analiza metode izolacije koda
Računalni kriminal s naglaskom na APT
Uspoređivanje sigurnosti između frontend frameworka
Kreiranje kriptovalute korištenjem Ethereum-a
Guilochéove krivulje, superformula i sigurnost
Analysis of Fitness Tracker Security and Privacy
Ispitivanje ranjivosti web aplikacija pomoću alata Arachni i w3af
Sigurnost sustava za upravljanje bazom podataka - Oracle i Microsoft SQL Server
Blockchain tehnologija - Pametni ugovori
Siguran razvoj android aplikacija
Hash Functions and Data Integrity
Steganografija općenito i kroz primjere
Windows Containers and iOS ecosystem
Prijenos podataka putem fm signala
Ideje za teme:
Dodatni zadaci za bodove
Dodatni zadaci za bodove za bodove za studente koji žele dodatno sudjelovati na kolegiju ponuđeni su na ovom mjestu. Dodatni trud studenata će se dakako dodatno vrednovati. Ponuđeni zadaci su teže tematike i od studenata zahtijevaju veći trud.
Diplomski studij 2016
Izrada virtualnog (VMWare) stroja za potrebe nadogradnje sqlmap-a
Internet of Wrongs: NodeMCU ESP8266 SoC u ofenzivnoj sigurnosti
Prikupljanje i analiza netflowa i pcap-a u pythonu
Sigurnost sustava za upravljanje bazom podataka - MySQL
Social Engineering and Neourolinguistic Programming
Deobfuscation of code written in scripting programming languages
Integracija ESP8266 modula i mikrofona
Teensy 3.2 (the Glitch/Rubberducky clone)
Android mobitel kao rubber ducky
Eliptičke krivulje u kriptografiji
Cyber Warfare - analiza APTnotes data
Obijanje bluetooth brave sa bluetooth snifferom
Mjerenje performansi klijent/server aplikacija pomoću alata Tsung
Man in the middle local network attack (mitmf, bettercap)
"Sleepy Puppy" XSS Payload Management Framework
Anonimnost i privatnost na internetu
Korištenje ESP8266 u kriptografiji
Primjena biometrije u sustavu sigurnosi IS-a
Forenzička analiza Windows 10 operacijskog sustava
Web application penetration testing
ISO standards for blockchain and smartcontracts
Izrada web priručnika na github repozitoriju
Diplomski studij 2015
Analiza sigurnosti RFID/NFC kartica
Analiza web prometa korištenjem Netflow alata
Reverzni inžinjering Android aplikacija
Tshark / TCPDump i analiza mrežnog prometa
Moloch za analizu mrežnog prometa
GrayLog - Upravljanje dnevničkim zapisima
Splunk - Upravljanje dnevničkim zapisima
OWASP Zap kao automatizirani skener sigurnosti
Arachni - Skener za ranjivosti
Forenzička analiza reflected i amplified DDoS alata
Korištenje Windows PowerShella u posteksploataciji
Sigurnosne značajke Ruby on Rails web aplikacija
Sigurnosna analiza NodeJS platforme za izradu skalabilnih aplikacija
iOS Security i aplikativni primjer koji koristi Apple Touch ID FingerPrint API
Man In The Middle Network Attack with Android
Provjera sigurnosnih propusta pomoću integracijskih testova
Konfiguracija i zaštita lokalne mreže - DD-WRT
Sigurnost u sustavu PostgreSQL
Organizacijske teme:
Izvori prijetnji u energetskom sektoru
Pristupi povećanju svijesti o informacijskoj sigurnosti kod zaposlenika u poduzećima
Katalozi prijetnji i taksonomije sigurnosti
Primjena organizacijskih metodologija za upravljanje sustavom sigurnosti
FFIEC Cybersecurity Assessment Tool
Metodologije za razvoj sigurnog softvera
EMV protokol u kartičnom poslovanju
Factor analysis of information risk - Metodologija za procjenu rizika
Sigurnost kontrole pristupa karticama i evidencija radnog vremena
Pregled malware-a za PC i zaštita
Analiza sigurnosti automobila, vektori napada
Sponzorirane teme:
Steganografija – tehnička analiza mehanizma rada i praktična programska demonstracija.
DDoS i DoS tehnike napada – Layer 4, Layer 7 (floods, amplification, slow post, etc.)
Vektori napada na mobilne platforme i tablete
ECC - Elliptic Curve Cryptography
Diplomski studij 2014
Doradnja otvorene knjige "Sigurnost informacijskih sustava"
ISO 27001:2013 i ISO 27002:2013 - Implementacija u poduzeću
Procjena rizika po ISO 27005 - Implementacija FLOSS alata
Zakonski uvijeti RH iz područja sigurnosti i privatnosti za razne kategorije poduzeća
Usklađenost sa PCI-DSS u EU te zahtjevi PCI DSS
ELK - Elasticsearch, Logstash, Kibana
Viper binary management and analysis framework
Paralllella board - primjena za kriptoanalizu
Usporedba alata za provjeru ranjivosti
Očvršćenje GNU/Linux baziranih poslužitelja
Očvršćenje *BSD/*nix baziranih poslužitelja
Sigurnost i privatnost Google Glass-a
Sigurnost MongoDB baze podataka
Napadi na korisnika putem web browsera
Reverse engineering .apk datoteka
Sigurnosni aspekti elektronskog i mobilnog bankarstva
Sponsored teme:
Fuzzing web servisa (REST i SOAP)
Tehnike brzog mrežnog skeniranja (zmap)
Analiza i mogućnosti Conpot Honeypota
Analiza Chamaleon Wi-Fi malwarea
Analiza modernih DDOS metoda (NTP,DNS, SNMP amplification)
Forenzika radne memorije (Volatility)
Proxying i analiza e-mail poruka
Diplomski studij 2013
ISO 27001 - Upravljanje IS (4)
ISO 27002 - Norma i Sukladnost (4)
ISO 27005 - Upravljanje rizicima (4)
PCI-DSS Norma, sukladnost sa PCI-DSS normom (4)
Zakoni Republike Hrvatske vezani uz informacijsku sigurnost i zaštitu podataka (4)
Procjena rizika (4)
VPN mreže - OpenVPN i IPSEC (3)
Otvoreni routeri - OpenWRT / DD-WRT (3)
Virtualizacija poslužitelja - ESXi (3)
zaštita programskih proizvoda (2)
Virtualizacija poslužitelja - KVM (3)
Virtualizacija poslužitelja - XEN (3)
Sigurnost baza podataka - Multimaster replikacija i tajnost podataka (4)
Botneti i napredni oblici malwarea - analiza zeus / spyeye sourcea (4)
Razvoj naprednih tehnika za izradu malwarea/rootkita (4)
Monitoring - NagiOS / Zabbix (3)
Odgovaranje na incidente - Incident response (4)
Sigurnosno spremanje podataka - NAS storage (4)
Osobna kriptografija - GPG, TrueCrypt, SSL (4)
OSINT - Open Source Intelligence (3)
Puppet - Orkestracija servisa (3)
Mrežno filtriranje - PFSense, iptables (3)
Squid i DansGuardian - Nadzorni proxy (3)
Detekcija i Prevencija upada - IDS/IPS (4)
Obvezna kontrola pristupa - MAC - NSA SeLinux (3)
Reverzni inžinjering na Windows platformi (4)
Metode zaštite softwarea - Packing (3)
Obvezna kontrola pristupa - MAC - AppArmor (3)
OWASP Top 10: Problemi sa umetanjem koda/znakova (5)
OWASP Top 10: Problemi autentikacije, kriptografije i referenci koda (5)
Traženje ranjivosti - OpenVAS / NeXpose (3)
Eksploatacijski frameworkovi (3)
Sigurni VoIP (4)
Infrastruktura javnog ključa - PKI
NASA - Information Systems Security Policy
Napadi na sigurnosne sustave zračnog prometa
Prijenos podataka putem fm signala
PITUP
(BETA) Materijali i zabilješke za PITUP
Računalni kriminal / Maliciozni kod
Tagovi:
Zakon o arhivskom gradivu i arhivima
Zakon o elektroničkom potpisu
Zakon o računovodstvu
Zakon o elektroničkim komunikacijama
Zakon o zaštiti osobnih podataka
Zakon o tajnosti podataka
Zakon o informacijskoj sigurnosti
Zakon o kaznenom postupku
ISO 27001
ISO 27002
ISO 27005
PCI-DSS