"A hallgatók informatikai biztosnági ismereteinek elmélyítése, illetve a további tanulmányokhoz támpontok, irányok adása."
Etikus hackelés (GINFBAN-ETIKHACK-1)
Alapadatok
Szak és képzési szint
Mérnökinformatikus, alapképzés
Tanterv
2021
Óraszám
2 + 0 + 2 (E+Gy+L)
Kreditérték
5 kredit
Elmélet–Gyakorlat arány
Elmélet: 50%, Gyakorlat: 50%
Tantervi félév
6. félév
Munkarend
Nappali
Előfeltételek
100 kredit
Értékelés típusa
Gyakorlati jegy
Tárgy kategória
Szakirányon kötelezően választható
Nyelv
magyar
Oktatók
Tantárgyfelelős
Dr. habil Csiszár Péter
Felelős tanszék
Informatika Tanszék
Oktatók
Cserkó József, Kurucz Bence
Ellenőrzésért felel
Prof. Dr. Johanyák Zsolt Csaba
Tantárgy célja
Elsajátítandó ismeretanyag
Előadás
Jogi háttér. Fogalmak tisztázása (Ethical Hacking, white hat, gray hat és black hat stb.). Linux alapok (ismétlés), parancssor használata, csomagok telepítése. TCP/IP alapok (ismétlés), legfontosabb protokollok áttekintése. Felderítés (aktív, passzív információszerzés, lehallgatás, DNS, Whois, Google, social media, publikus adatbázisok, traceroute, stb., védekezés a felderítés ellen). Letapogatás (rendszer elemeinek teljeskörű feltérképezése, alkalmazott technológiák, OS, port, alkalmazás detektálás stb., védekezés a letapogatás ellen). Hozzáférés megszerzése, hibák, hiányosságok kihasználása (aktív, passzív támadások, lokális, távoli támadások, jelszavak megszerzése, feltörése, buffer overflow, SQL injection, XSS támadás stb., védekezés a támadások ellen). Hozzáférés megerősítése, további lehetőségek az áldozat gépen (backdoor, rootkit stb. és ezek felderítése, rendszerek megerősítése). Nyomok eltüntetése. (jobb, ha nem hagyunk nyomokat, ha mégis, akkor azokat hogyan lehet eltüntetni). Kriptográfia elméletben és gyakorlatban (szimmetrikus, aszimmetrikus titkosítás, hash-ek, véletlenszámok és ezek felhasználása a gyakorlatban
Laboratórium
Linux alapok (ismétlés), parancssor használata, csomagok telepítése. Hálózati protokollok vizsgálata. Kali Penetration Testing operációs rendszer megismertetése, felület és telepített programok áttekintése. Információ szerzés adott cégről, emberről, szerverről („Felderítés” gyakorlati rész); nmap, wireshark, telnet, nc, openssl („Letapogatás” gyakorlati rész); WebGoat („Hozzáférés megszerzése” gyakorlati rész); tor, proxy-k, logok kezelése, fájl/fájlrendszer/diszk törlés („Nyomok eltüntetése” gyakorlati rész); OpenSSL; WordPress sebezhetőségeinek vizsgálata
Szakmai kompetenciák
Tudás
Ismeri az információbiztonság alapelveit (bizalmasság, sértetlenség, rendelkezésre állás), a leggyakoribb támadási technikákat és sérülékenységeket, valamint a penetrációs tesztelés módszertanát és eszköztárát. Átfogó tudással rendelkezik a hálózati, rendszer- és webalkalmazás-biztonság területén, továbbá tisztában van a vonatkozó jogi és etikai előírásokkal.
Képesség
Képes informatikai rendszerek és alkalmazások sérülékenységeinek azonosítására és elemzésére ellenőrzött környezetben. Alkalmazza a megfelelő tesztelési módszereket és eszközöket, dokumentálja az eredményeket, és szakmailag megalapozott javaslatokat fogalmaz meg a biztonsági kockázatok csökkentésére.
Attitűd
Elkötelezett a jogszerű, etikus és felelős szakmai tevékenység mellett. Nyitott az új technológiák és fenyegetések megismerésére, törekszik a folyamatos szakmai fejlődésre, és együttműködő módon járul hozzá a biztonságtudatos szemlélet erősítéséhez.
Autonómia és felelősség
Önállóan képes biztonsági vizsgálatok tervezésére és végrehajtására meghatározott szakmai és jogi keretek között. Felelősséget vállal a tesztelések szakszerűségéért, az adatvédelem betartásáért, valamint az eredmények pontos és objektív értékeléséért.
További szakmai kompetenciák
Képes szakmai együttműködésre fejlesztői, üzemeltetői és információbiztonsági szereplőkkel a feltárt hiányosságok megszüntetése érdekében. Támogatja a szervezeti biztonsági folyamatok fejlesztését, és hozzájárul a megelőző intézkedések kialakításához.
Számonkérés és értékelés
Félévközi követelmények
Az előadások látogatása, az ott hallottak otthoni áttekintése és kiegészítése az ajánlott irodalom alapján. Részvétel a gyakorlati foglalkozásokon. A gyakorlatvezető által kiadott feladatok megoldása a gyakorlati foglalkozáson, számítógépen. A gyakorlatvezető által otthoni munkára kiadott feladatok megoldása a gyakorlati foglalkozásokon kívül
Generatív MI használata
2. álláspont: A GMI-eszközök használata korlátozottan engedélyezett (pl. irodalomkutatási segítségnyújtás vagy meghatározott eszközök). Ez azt jelenti, hogy a GMI-eszközök előre meghatározott módon használhatók a feladatok elkészítéséhez, megoldásához. Ebben az esetben a tantárgy gondozójának feladata és felelőssége meghatározni, hogy a GMI-eszközök használata mely esetekben megengedett vagy nem megengedett. A tantárgyleírásban részletesen meg kell határozni, hogy a GMI-eszközök milyen módon használhatóak az adott kurzus során.
Segédanyagok, laborháttér
Az ajánlott irodalom, előadásvázlat. A gyakorlatokon minden hallgatónak külön, korszerű számítógépes hozzáférés biztosított.
Irodalom
Kötelező irodalom
[1] Johanyák Zsolt Csaba, Kovács Péter, Göcs László - Linux hálózati adminisztráció a gyakorlatban (https://docplayer.hu/7664825-Linux-halozati-adminisztracio-a-gyakorlatban.html)
Ajánlott irodalom
[1] Jon Erickson - Hacking: The Art of Exploitation, [2] David Kennedy, Jim O'Gorman, Devon Kearns - Metasploit: The Penetration Tester's Guide [3] Matt Walker - CEH Certified Ethical Hacker All-in-One Exam Guide,Allen Harper, Shon Harris, Jonathan Ness, Chris Eagle, Gideon Lenkey, Terron Williams - Gray Hat Hacking The Ethical Hackers Handbook, [4] Kimberly Graves - CEH Certified Ethical Hacker Study Guide