Všechny články

Poločas

Mám za sebou 8. týden školy a to znamená, že se zimní semester přehoupl přes půlku. S tím se pojí i midterm zkoušky a podzimní miniprázdniny. Mám tak už slušnou představu o tom, jak to na Georgia Techu chodí i z akademického hlediska. Během registrace jsem udělal velmi dobré rozhodnutí a zapsal si pouze minimální počet kreditů, což se rovná čtyřem předmětům. Ostatně pro naplnění svého tří semestrového programu si ani víc zapisovat nemusím. Tak si to pojďme projít předmět po předmětu.

Intro to Information Security

Úvod do informační bezpečnosti. Povinný a relativně i nejlehčí předmět. Jako jediný se vyučuje i v rámci Udacity a také je součástí bakalářského programu. Verze pro magistry (pro nás) se liší “jen” v tom, že v úkolech občas musíme udělat něco navíc ve stylu: “Přečtěte si těhlech 6 paperů a udělejte nějaké inovativní shrnutí.Předmět velmi ze široka pokrývá celou oblast InfoSecu - prvních 8 týdnů jsme prolétli témata: mindset, bezpečnost aplikací, operační systémy, autentikace, autorizace, databáze, malware a firewally. Po každé hodině musíme vyplnit krátký kvíz (zabere tak hodinu). Dále je potřeba odevzdat 3 domácí úkoly. V prvním jsme dostali aplikaci napsanou v C a měli jsme pomocí stack overflow útoku získat přístup k shellu. V druhém jsme dostali několik skutečných vzorků malwaru a dělali jsme jejich analýzu. Každý zabral tak 2 až 3 dny. Je to asi moje nejoblíbenější hodina. Učitel je totiž brilantní. Má zkušenosti s bezpečností a hackovaním prakticky ve všech oblastech od wifin, analýzu malwaru až po botnety. Zároveň má takový svérázný suchý humor a v zásobě hromadu historek. Je také extrémně paranoidní - například do zahraničí si vždy bere pouze cizí/nový laptop, protože nechce riskovat to, že by jeho osobní mohl někdo napadnout/zmanipulovat hardwarově ve chvíli kdyby ho neměl na očích. :) Tak trochu se nás všechny snaží tímhle mindsetem nakazit, což je v pořádku.

Computer Networks

Počítačové sítě. Jediný povinně volitelný předmět. Pokrývá hromadu pokročilé síťařiny a tou základní se už vůbec nezabývá. V první půlce jsme se věnovali hlavně BGP aneb protokolu, díky kterému funguje internet a pak TCP. I když jsem byl k tématu poměrně skeptický, docela mě to nakonec baví. Zbytečně se nepatláme v úplných detailech a specifikacích, ale jde spíš o pochopení principů a motivací, které k nim vedly. Internet se totiž vyvíjel dost divoce a nepředvídatelně. Specifikace se psaly až zpětně. Je potřeba vypracovat dva náročnější domácí úkoly, dva testy v hodině a velký týmový projekt. Týmy jsou pětičlenné. Museli jsme si je sami sestavit a vymyslet si i téma. Nic snadného. Naším cílem jsou oportunistické sítě (síť tvořená například chytrými telefony a ad-hoc spojeními), simulace různých algoritmů pomocí The One modelu. Podobné sítě mají smysl například pro nouzové vysílaní či v chudších částech světa, kde je velká internetová infrastruktura příliš drahá.

Secure Computer Systems

Bezpečné počítačové systémy. Další povinný předmět. Částečně se překrývá s prvním předmětem, nicméně vyzobává si z něho jen několik témat a v nich jde až na dřeň. A dření myslím mj. stovky stránek dokumentace od Intelu, která popisuje celou slavnou x86 architekturu. Zatím jsme se hodně zaměřovali na** operační systémy, kernel vs aplikační vrstvu, podporu HW pro izolaci kernelu, přepínání kontextů (CPU rings), ochranu paměti, virtualizaci, autentikaci a autorizaci.** V průběhu je potřeba odevzdat celkem 3 úkoly. Jeden čistě teoretický - pekelných 25 otázek. Další dva programovací. Ten první je implementace password hardening (tedy vylepšení síly hesla pomocí biometrických dat - dynamika/rychlost zadávání jednotlivých znaků).

Applied Cryptography

Aplikovaná kryptografie. Poslední povinný a nejpřísnější předmět. Čekal jsem, že se bude podobat BI-BEZ z FITu, tedy že budeme probírat jednotlivé šifrovací algoritmy, což bych čekal od slova “aplikovaná”. Nicméně tady jsme se posunuli o úroveň výš. Jednotlivé algoritmy vůbec neřešíme (pokládáme je za bezpečné) a místo toho se zabýváme jejich nasazením (kombinace, vstupní parametry…). Dokazujeme zda jednotlivá schémata nasazení jsou bezpečná či ne. K tomu se používá sada různých teoretických her typu: Máte k dispozici orákulum, kterému zadáváte sety dvou libovolných zpráv a ono se náhodně rozhodne zda vám bude vždy posílat šifru té první nebo druhé zprávy. Pokud dokážete určit s úspěšností větší než 50% o kterou zprávu se jedná, tak není schéma bezpečné. Podobné hry používáme i pro hashovací funkce, MAC a jednotlivé módy blokových šifer. Řešíme jak se vzájemně může ovlivnit utajení a integrita zpráv. Testujeme i reálná schémata, které se používají třeba v SSL či WIFI. Celkem je v předmětu 6 úkolů a týmový projekt (o 3 lidech), kde je zas největší problém najít si vhodné téma - tedy nějaké reálné schéma a zanalyzovat ho. Co mají všechny hodiny společného? Téměř nikdo nepoužívá slajdy - všechno se píše na tabuli. Nejsou k dispozici knížky. Na internetu toho taky moc nepohledáte. Jedinými zdroji jsou tak poznámky z hodin a kvanta různých paperů, které musíme číst. Jejich čtení je vůbec asi nejdůležitější dovednost při studiu. Většinou totiž mají minimálně 10 velmi hutných stránek a leckdy třeba i 30. Nelze tak samozřejmě číst slovo od slova, ale je potřeba se zaměřit jen na to podstatné a ostatní pasáže rychle proletět. Tři ze čtyř předmětů mají open book policy během midtermů a zkoušek. Dokonce si můžeme vzít i vlastní počítač (bez internetu). Nehraje se tedy na memorování definic, ale jejich skutečné pochopení. Nejde to udělat tak, že si večer před zkouškou postahuju 20 paperů, které se k ní vztahují a pak to z nich budu během testu lovit fulltext vyhledáváním. Na to samozřejmě není vůbec čas. Předměty na Georgia Techu jsou zatím to nejnáročnější, co jsem na VŠ zažil. Není úplné fér to srovnávat s FITem, jelikož nějaký skok mezi bakalářským a magisterským stupněm je pochopitelný. Náročnost ovšem nespočívá ani tolik v objemu a složitosti látky (to bude podobné s ČVUTem). Spíš jde o styl výuky - ještě daleko větší důraz na práci mimo třídu. Spousta úkolů a velkých projektů. Čtení paperů a odborných článků. Co je ovšem rozhodně jiné je tlak na výsledky a soutěživost. Na ČVUTu většina lidí moc neřeší to, jakou známku dostane, ale jsou spokojeni s faktem že to prostě udělají. Tady všichni cílí pouze na známku A, v nejhorším případě na B. O ostatních známkách se raději taktně mlčí. Spolužáci jsou lidé typu TOP1% z TOP3 indických či čínských univerzit,mají za sebou internshipy ve firmách jako Facebook, Google či Bloomberg a vyhráli minimálně 3 hackathony. To z druhé strany doplňují i profesoři, kteří skutečně ví o čem mluví a jde z nich přirozený respekt. Všechny hodiny vyučují pouze profesoři a hodiny mají většinou maximální velikost kolem 30 lidí. Tlak dále vzrůstá se všemi těmi super technologickými firmami, pro které je GT jeden z velkých amerických inkubátorů. Pořádají career fairy, semináře, pohovory přímo na kampusu, třídí si studenty podle GPA a zadávájí algoritmické úkoly. Už teď samozřejmě všichni řešíme, kde se v létě a i po škole upíchneme.

Zveřejněno 9. Října, 2015