Vurderingsordning

Faglig innhold

Emnet dekker teori og praktiske teknikker for etisk hacking og penetrasjonstesting, som er essensielle elementer i moderne cybersikkerhet. Etisk hacking består i å teste sikkerheten til IT-systemer ved å prøve å finne og utnytte sikkerhetssårbarheter. Emnet presenterer trinnene for penetrasjonstesting inkludert informasjonsinnhenting, nettverksrekognosering, hvordan komme i kontakt med tjenester, men dekker også spesifikke tema som nett-hacking, binær utnyttelse, "social engineering" og trådløs hacking.

Læringsutbytte

Studentene vil lære:

• det teoretiske grunnlaget for sikkerhetstesting
• de juridiske aspektene ved å utføre etisk hacking og å bedømme hva som er innenfor og utenfor tillatte aktiviteter
• hvordan utføre praktisk penetrasjonstesting ved hjelp av moderne verktøy og teknikker
• hvordan evaluere sikkerhetsstatusen til systemer og foreslå løsninger for å fjerne sikkerhetssårbarheter
• hvordan bruke offentlig tilgjengelige ressurser for å bekrefte tilstand av sårbarheter og for å anvende patches

I tillegg vil studentene få en bedre forståelse av hvordan de kan beskytte systemer mot moderne cyberangrep.

Læringsformer og aktiviteter

Forelesninger og workshops med laboratorieøvelser, Capture-the-Flag-konkurranser med aktuelle sikkerhetsutfordringer.

Mer om vurdering

Mappevurdering gir grunnlag for sluttkarakteren i emnet. I mappen inngår praktiske etisk hacking oppgaver inkludert en avsluttende praktisk oppgave gitt på slutten av semesteret. Arbeidet med alle disse oppgavene utgjør 100 % av sluttkarakteren. Resultatene for de praktiske oppgavene angis i poeng og i %-poeng. Vurdering for hele mappen (sluttkarakteren) angis med bokstavkarakter. Dersom en student har sluttkarakteren F/ikke-bestått, må studenten gjenta hele emnet neste studieår.

Anbefalte forkunnskaper

Grunnleggende kunnskap om datanettverk, grunnleggende kunnskap om programmeringsspråk.

Kursmateriell

Hovedkursmaterialet vil bli gitt i form av presentasjoner, veiledninger og videopresentasjoner. Materialet vil dekke følgende tema innen etisk hacking:

• generell informasjonsinnhenting
• innhenting av teknisk informasjon
• nettverksrekognosering
• ta kontakt og angripe tjenester som for eksempel FTP, DNS, SMTP
• grunnleggende netthacking (finne og få tilgang til skjult innhold, manipulering på klientsiden, brute-forcing, parametermanipulering)
• web hacking klientsideangrep (Cross Site Scripting, Cross Site Request Forgery)
• web-hacking serversideinjeksjoner (SQL-injeksjon, XPath-injeksjon, malinjeksjoner)
• spesifikke sårbarheter for nett hacking (f.eks. filinkluderinger, øktmanipulering, IDOR)
• grunnleggende binær utnyttelse, forståelse av det virtuelle adresserommet, feilsøking av binærfiler, utnyttelse av stackoverflyt
• avanserte binære utnyttelser, returorientert programmering, utnyttelse av heap
• intern nettverkshacking (få tilgang til det interne nettverket, Netbios, SMB-angrep)
• angrep via social engineering (phishing, phishing-praksis)
• trådløs hacking