Etisk hackning och penetrationstestning

Kursen kan ingå i följande program:

1. Computer Science, masterprogram (N2COS)
2. Software Engineering and Management, masterprogram (N2SOF)
3. Game Design and Technology, masterprogram (N2GDT)

Kursen ges även som fristående kurs vid Göteborgs Universitet.

• Avklarat minst 7,5 hp i programmering.
• Avklarat en av kurserna Datasäkerhet (7,5 hp) eller Cybersäkerhet (7,5 hp), eller motsvarande.
• Avklarat minst 7,5 hp i datornätverk.
• Avklarat, utöver ovanstående, 7,5 hp på avancerad nivå inom cybersäkerhet eller motsvarande, till exempel Nätverkssäkerhet eller Kryptografi.

Följande kunskapsnivå i Engelska krävs: Engelska 6/Engelska nivå 2 eller motsvarande från ett erkänt internationellt test, t.ex. TOEFL, IELTS.

Samtidigt som datasystem blir alltmer kritiska för samhället är det avgörande att förstå hur angripare tänker och arbetar när de attackerar dem för att kunna skydda en sådan kritisk tillgång.

Därför syftar denna kurs till att ge de nödvändiga grunderna för att studenterna ska kunna utföra offensiva säkerhetsanalyser på ett etiskt och juridiskt sätt och framgångsrikt rapportera sina resultat så att de kan åtgärdas.

För att göra detta kommer kursen att lära studenterna hur man utför de olika stegen i en vanlig sårbarhetsanalysuppgift, inklusive en slutrapport.

För att säkerställa att studenterna använder den förvärvade kunskapen på lämpligt sätt fokuserar kursen också på att göra studenterna förstå de juridiska, samhälleliga och etiska konsekvenserna av sin cybersäkerhetsverksamhet.

Slutligen, för att säkerställa att den kunskap som studenterna förvärvar förblir relevant, syftar kursen till att lära studenterna hur de kan utöka sina kunskaper för att närma sig offensiva cybersäkerhetsuppgifter inom områden där de saknar erfarenhet och expertis.

Efter godkänd kurs ska studenten kunna:

Kunskap och förståelse

• Lokalisera självständigt adekvata resurser för att vidareutveckla sina egna kunskaper inom etisk hackning, penetrationstestning och offensiv säkerhet.
• Förklara, baserat på aktuell praxis, vikten av risk, påverkan och sannolikhet vid kommunikation och modellering av cybersäkerhetsfrågor.
• Beskriva i detalj de olika stegen i ett penetrationstest och vilka verktyg och procedurer som kan vara användbara för var och en av dem.
• Presentera övergripande lagar, regler, policyer och etiska implikationer relaterade till etisk hackning och cybersäkerhet.
• Utskilja och beskriva i översikt de olika principer och tekniker som används av cyberbrottslingar för att få tillgång till IT-system.

Färdigheter och förmåga

• Utföra professionella säkerhetsbedömningar på ett etiskt och juridiskt sätt.
• Identifiera, hitta och använd lämpliga verktyg för offensiva säkerhetsuppgifter.
• Rapportera resultaten av ett säkerhetsuppdrag utförligt, både skriftligt och muntligt, på ett begripligt sätt med hjälp av en riskbaserad metod.

Värderingsförmåga och förhållningssätt

• Kritiskt bedöma de etiska och samhälleliga konsekvenserna av cybersäkerhetsverksamhet, inklusive konsekvenserna ur perspektivet av FN:s globala mål för hållbar utveckling.
• Metodiskt prioritera sårbarhetsbedömningsuppgifter i tidsbegränsade miljöer med hjälp av risk, påverkan och sannolikhet.
• Systematiskt utvärdera sårbarhetens påverkan med hjälp av branschstandarder.
• Med tydligt stöd för nuvarande bästa praxis rekommendera den lämpligaste åtgärden för att stärka IT-säkerheten i IT-system.

Kursen består av en serie förinspelade föreläsningar, gästföreläsningar, seminarier, laborationer och en slutrapport.

• De förinspelade föreläsningarna fungerar som ett hjälpmedel för studenter som saknar vissa kunskaper för att utföra sina uppgifter.
• Gästföreläsningarna syftar till att ge ett externt perspektiv på procedurerna och verkligheten kring etisk hackning. Efter föreläsningen kan frivilliga inlämningsuppgifter ges.
• Seminarierna är obligatoriska och fördjupar sig i etik, juridisk kontext och andra områden där projektet kanske inte är lämpliga. Vissa kan också inkludera obligatoriska inlämningsuppgifter.
• Projektet får studenterna att utföra de olika stegen av ett vanligt säkerhetsuppdrag.
• En obligatorisk slutrapport kan krävas i slutet av kursen.

Kursen ges på engelska; svenska förekommer sparsamt med överenskommelse från alla studenter som deltar i aktiviteten.

Kursen kommer att bedömas genom följande komponenter:

• Slutförande av uppgifter efter de gästföreläsningarna och seminarierna relaterade till deras innehåll.
• Deltagande i de obligatoriska seminarierna. Detta kan ersättas med en alternativ uppgift om examinatorn bedömer det lampligt.
• Slutförande av projektfaserna inom de förutbestämda deadlines och presentation av resultat vid de obligatoriska seminarier som fastställts för detta ändamål.
• Innehåll och insikter från slutrapporten och den tidigare granskningsprocessen.
• Extra poäng kan erhållas från ytterligare kursrelaterade uppgifter som examinatorn bedömer lämpliga.

Om en student som har underkänts två gånger på samma examinerande moment önskar byta examinator inför nästa examinationstillfälle ska en sådan begäran bifallas om det inte finns särskilda skäl däremot (6 kap. 22 § HF).

Om en student har fått besked om pedagogiskt stöd från Göteborgs universitet med rekommendation om anpassad examination och/eller anpassad examinationsform kan examinator, i det fall det är förenligt med kursens lärandemål och förutsatt att inte orimliga resurser krävs, besluta att bevilja studenten anpassad examination och/eller anpassad examinationsform.

Om en kurs har avvecklats eller genomgått en större förändring ska studenten erbjudas minst två examinationstillfällen, utöver ordinarie examinationstillfälle. Dessa tillfällen fördelas under en tid av minst ett år, dock som längst två år efter det att kursen avvecklats/förändrats. Vad gäller praktik och verksamhetsförlagd utbildning (VFU) gäller motsvarande, men med begränsning till endast ett ytterligare examinationstillfälle.

Om en student har fått besked om att denne uppfyller kraven för att vara student vid Riksidrottsuniversitetet (RIU-student) har examinator rätt att besluta om anpassning vid examination, om detta görs i enlighet med Lokala regler gällande RIU-studenter vid Göteborgs universitet.

Delkurser

1. Projekt, 7,5hp
   Betygsskala: Mycket väl godkänd (5), Väl godkänd (4), Godkänd (3) och Underkänd (U)

Betyget för hela kursen avgörs av projektet.

Kursen utvärderas genom möten, både under och efter kursen, mellan lärare och studentrepresentanter. Ett anonymt skriftligt frågeformulär skickas även ut till studenterna efter kursens slut. Resultaten av utvärderingarna används för att förbättra kursinnehållet och som indikation till vilka delar som skulle kunna läggas till, tas bort, förbättras eller ändras.

Kursen är samläst med Chalmers.

Studenter behöver tillgång till en dator med internetåtkomst för att utföra några av de obligatoriska uppgifterna.

Studenter kan bli ombedda att underteckna ett sekretessavtal och ett samförståndsavtal som fastställer regler för engagemang innan de får utföra projektet.

För att lyckas med kursen bör studenterna ha förkunskaper om hur protokollen TCP, UDP, IP och HTTP fungerar. De bör också ha viss kunskap om etik applicerade till datavetenskap eller cybersäkerhet, datasäkerhet, nätverkssäkerhet och kryptografi, säkerhetsmetriker, riskanalys, operativsystemsäkerhet och vanliga attacker.

Etiska hackare behöver en god kunskapsbas för att kunna lyckas med sina uppgifter. Följaktligen, och även om det inte är obligatoriskt för antagning, ökar förkunskaper inom olika områden avsevärt chanserna att lyckas med kursen. Dessa områden är: datorarkitekturer (assembleringsspråk och programmerarens modell av en processor), nätverk (olika protokoll och kunskap om navigering i RFC:er), operativsystem (hur man använder operativsystemskal, hur processer exekveras och körs och hur operativsystemets systemanropsgränssnitt fungerar), nätverkssäkerhet (TLS, IDS, portskanning och brandväggar), kryptografi (olika primitiver och deras användning för att garantera säkerhetsegenskaper) och språkbaserad säkerhet (hur kompilatorhärdningstekniker fungerar).