| Seguretat del software | Codi: M1.774 : 6 |
- Es mostren els coneixements bàsics per entendre on es produeixen les vulnerabilitats dels programes informàtics.
- Es veu com modificar el comportament d'un executable a partir de la modificació del fitxer binari mitjançant les eines adequades.
- Es mostren les tècniques que s'han de tenir en compte a l'hora de dissenyar i implementar les aplicacions per no tenir vulnerabilitats.
- Es veuen eines de reversing, tant per programari de PC com de dispositius mòbils.
ECTS és la sigla d'European credit transfer system ('sistema europeu de transferència de crèdits'). L'ECTS se centra en l'activitat de l'estudiant i es basa en la càrrega de treball necessària per a assolir els objectius d'un programa. Un crèdit ECTS equival a 25 hores.
Així doncs, la dedicació prevista a l'assignatura és de 150 hores.
- Cap de projectes de seguretat TIC
- Expert en el desenvolupament d'aplicacions i serveis web segurs
- Especialista en sistemes de registre web i control d'accés
- Consultor de projectes d'administració electrònica.
- Consultor de comerç i banca electrònica.
Els coneixements relacionats per a la realització d'aquest curs són els propis dels estudis d'Enginyeria Tècnica en Informàtica, Enginyeria Informàtica, Grau d'informàtica, Grau de Multimèdia, Grau de les tecnologies de Telecomunicació i Enginyeria en Telecomunicacions.
Als estudiants que tinguin un títol universitari en altres branques d'Enginyeria i Arquitectura o en la branca de Ciències en les àrees de Matemàtiques, Física o Estadística, els coneixements en desenvolupament de programari els ajudaran a l'assoliment de l'assignatura.
L'assignatura està estructurada al voltant de continguts i activitats que permetran als estudiants assolir els objectius següents al llarg de la durada del període formatiu:
- Comprendre on i perquè existeixen vulnerabilitats en el programari.Saber modificar el comportament d'un fitxer executable
- Utilitzar les eines d'anàlisi de codi executable.
- Saber com protegir-se d'aquestes vulnerabilitats.
- Dissenyar aplicacions segures.
Competències
L'assignatura està estructurada al voltant de continguts i activitats que permetran als estudiants adquirir les següents competències específiques de l'assignatura i les transversals de la universitat.
Competències específiques
- Conèixer els tipus i consequències de les vulnerabilitats i dels exploits
- Ús de les bases de dades d'exploits
- Utilitzar les eines de sistemes d'explotació
- Conèixer les metodologies en el disseny d'aplicacions segures
- Aplicació dels tests de seguretat
- Aplicació de les bones pràctiques en el desenvolupament de programari segur
- Diferenciar les parts de codi segur i el de no segur
- Conèixer per què, com, quan un codi pot ser o no segur
- Conèixer les conseqüències del codi no segur
- Conèixer les tècniques i tàctiques dels hackers
Les competències transversals s'inclouen en totes les titulacions de la Universitat Oberta de Catalunya, les quals constitueixen un element distintiu de tot graduat UOC.
- Comunicar, intercanviar i construir coneixement en un entorn virtual en el marc d'una comunitat d'aprenentatge
- Col·laborar, compartir i publicar informació relativa a la seguretat dels sistemes informàtics
- Debatre i compartir les experiències pròpies en l'àmbit de la seguretat
- Capacitat de comunicar informació tècnica i especialitzada de forma clara.
- Ús de l'anglès en l'àmbit de les TIC.
- Capacitat per a actualitzar les competències professionals, aconseguint una adaptació contínua en l'àmbit de la seguretat en de les tecnologies de la informació tant en el present com en el futur.
- Capacitat per a detectar i resoldre problemes de seguretat en la programació
- Capacitat d'anàlisi en l'àmbit de la seguretat
- Iniciativa emprenedora
Mòdul 1 Exploits
Bugs
Vulnerabilitats
Bases de dades de vulnerabilitats
Exploits
Tipus d'exploits
Sistemes d'explotació
El mercat dels exploits
Mòdul 2 Eines
Depuradors
Compiladors
Mòdul 3 Disseny d'aplicacions segures
Cicle de vida del desenvolupament de programari segur
Avaluació de riscos
Modelatge d'amenaces
Tècniques de seguretat
Mòdul 4 Testing i bones pràctiques
Test de seguretat
Revisió de codi segur
Bones pràctiques
Mòdul 5 Codi segur
Integer overflow
Desbordament de pila (stack overflow)
Desbordament de heap
Funcions vulnerables
Mòdul 6 Shellcodes
Escriptura de shellcodes
Shellcodes per entrada estàndard
Shellcodes alfanumèrics
Un exemple de shellcode
Adreça de la funció per cridar
El shellcode en assemblador
El shellcode en binari
L'exploit amb el shellcode
A la UOC, l'avaluació generalment és virtual. S'estructura entorn de l'avaluació contínua, que inclou diferents activitats o reptes; l'avaluació final, que es porta a terme mitjançant proves o exàmens, i el treball final de la titulació.
Les activitats o proves d'avaluació poden ser escrites i/o audiovisuals, amb preguntes aleatòries, proves orals síncrones o asíncrones, etc., d'acord amb el que decideixi cada equip docent. Els treballs finals representen el tancament d'un procés formatiu que implica la realització d'un treball original i tutoritzat que té com a objectiu demostrar l'adquisició competencial feta al llarg del programa.
Per verificar la identitat de l'estudiant i l'autoria de les proves d'avaluació, la UOC es reserva la potestat d'aplicar diferents sistemes de reconeixement de la identitat i de detecció del plagi. Amb aquest objectiu, la UOC pot dur a terme enregistrament audiovisual o fer servir mètodes o tècniques de supervisió durant l'execució de qualsevol activitat acadèmica.
Així mateix, la UOC pot exigir a l'estudiant l'ús de dispositius electrònics (micròfons, càmeres o altres eines) o programari específic durant l'avaluació. És responsabilitat de l'estudiant assegurar que aquests dispositius funcionen correctament.
El procés d'avaluació es fonamenta en el treball personal de l'estudiant i pressuposa l'autenticitat de l'autoria i l'originalitat de les activitats acadèmiques. Al web sobre integritat acadèmica i plagi de la UOC hi ha més informació respecte d'aquesta qüestió.
La manca d'autenticitat en l'autoria o d'originalitat de les proves d'avaluació; la còpia o el plagi; la suplantació d'identitat; l'acceptació o l'obtenció de qualsevol activitat acadèmica a canvi d'una contraprestació o no; la col·laboració, l'encobriment o l'afavoriment de la còpia, o l'ús de material, programari o dispositius no autoritzats en el pla docent o l'enunciat de l'activitat acadèmica, inclosa la intel·ligència artificial i la traducció automàtica, entre altres, són conductes irregulars en l'avaluació que poden tenir conseqüències acadèmiques i disciplinàries greus.
Aquestes conductes irregulars poden comportar el suspens (D/0) en les activitats avaluables que es defineixin en el pla docent -incloses les proves finals- o en la qualificació final de l'assignatura, sigui perquè s'han utilitzat materials, programari o dispositius no autoritzats durant les proves (com l'ús d'intel·ligència artificial no permesa, xarxes socials o cercadors d'informació a internet), perquè s'han copiat fragments de text d'una font externa (internet, apunts, llibres, articles, treballs o proves d'altres estudiants, etc.) sense la citació corresponent, per la compravenda d'activitats acadèmiques, o perquè s'ha dut a terme qualsevol altra conducta irregular.
Així mateix, i d'acord amb la normativa acadèmica, les conductes irregulars en l'avaluació també poden donar lloc a la incoació d'un procediment disciplinari i a l'aplicació, si escau, de la sanció que correspongui, de conformitat amb el que estableix la normativa de convivència de la UOC.
En el marc del procés d'avaluació, la UOC es reserva la potestat de:
- Sol·licitar a l'estudiant que acrediti la seva identitat segons el que estableix la normativa acadèmica.
- Sol·licitar a l'estudiant que acrediti l'autoria del seu treball al llarg de tot el procés d'avaluació, tant en l'avaluació contínua com en l'avaluació final, per mitjà d'una entrevista oral síncrona, que pot ser objecte d'enregistrament audiovisual, o pels mitjans que estableixi la Universitat. Aquests mitjans tenen l'objectiu de verificar els coneixements i les competències que garanteixin la identitat de l'estudiant. Si no és possible garantir que l'estudiant és l'autor de la prova, aquesta pot ser qualificada amb una D, en el cas de l'avaluació contínua, o amb un suspens, en el cas de l'avaluació final.
Intel·ligència artificial en el marc de l'avaluació
La UOC reconeix el valor i el potencial de la intel·ligència artificial (IA) en l'àmbit educatiu, alhora que posa de manifest els riscos que comporta si no s'utilitza de manera ètica, crítica i responsable. En aquest sentit, en cada activitat d'avaluació s'informarà l'estudiantat sobre les eines i els recursos d'IA que es poden utilitzar i en quines condicions. Per la seva banda, l'estudiantat es compromet a seguir les indicacions de la UOC a l'hora de dur a terme les activitats d'avaluació i de citar les eines utilitzades i, concretament, a identificar els textos o les imatges generats per sistemes d'IA, els quals no podrà presentar com si fossin propis.
Amb relació a fer servir o no la IA per resoldre una activitat, l'enunciat de les activitats d'avaluació indica les limitacions en l'ús d'aquestes eines. Cal tenir en compte que fer-les servir de manera inadequada, com ara en activitats en què no estan permeses o no citar-les en les activitats en què sí que ho estan, es pot considerar una conducta irregular en l'avaluació. En cas de dubte, es recomana que, abans de lliurar l'activitat, es faci arribar una consulta al professorat col·laborador de l'aula.
|
L'assignatura només es pot aprovar amb el seguiment i la superació de l'avaluació contínua (AC). La qualificació final de l'assignatura és la nota obtinguda a l'AC. |