Obiettivi del corso

• motivare verso lo studio e l’applicazione della cybersecurity,
• comprendere, anche in pratica, alcune delle principali vulnerabilità del software,
• fornire strumenti per la progettazione e la gestione di sistemi informatici e reti con certe garanzie di sicurezza, con particolare riferimento ad ambiti produttivi,
• mettere in grado di comprendere le emergenti tecnologie legate alle blockchain e le loro caratteristiche,
• fornire le basi per poter affrontare l’approfondimento di tematiche specifiche in autonomia.

Modalità di erogazione

Il corso è erogato in presenza. Ulteriori servizi on-line per la didattica con accesso riservato agli studenti iscritti all'Università Roma Tre:

• Moodle
• MS-Teams
• MS-Teams DaD, solo oper chi ne ha diritto (art. 39 regolamento carriera previo esplicita richiesta all'ateneo )

Gli studenti si devono iscrivere al corso in moodle, automaticamente lo studente verrà anche iscritto al team del corso in MS-Teams.

Materiale didattico

Materiale di studio.

• Slides proiettate a lezione e scaricabili da questo sito.
• David A. Wheeler,"Secure Programming for Linux and Unix HOWTO". On-line, part of the Linux Documentation Project.
• Oskar Andreasson,"Iptables Tutorial". On-line.
• C. Ellison, B. Schneier, "Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure", Computer Security Journal, v 16, n 1, 2000, pp. 1-7.
• A. Antonopoulos, G, Wood, Mastering ethereum: building smart contracts and dapps. O'Reilly Media, 2018

Testi di riferimento il cui acquisto non è strettamente necessario.

• M. Bishop, "Computer Security: Art and Science", Addison-Weslesy.
• C. Kaufman, R. Perlman, M. Speciner, "Network Security: Private Comunication in a Public World (second edition)", Prentice Hall.
• C. Pfleeger, S. Pfleeger, "Sicurezza in informatica", Pearson - Prentice Hall.
• A. Antonopoulos, Mastering Bitcoin, 2nd Edition, O'Reilly, ,2017

Programma delle Lezioni

Il programma viene aggiornato con le slide e con eventuali variazioni degli argomenti.

Gli argomenti con link non attivi devono essere considerati provvisori.

Il programma è diviso un due parti. La prima parte è per tutti gli studenti, la seconda parte solo per coloro che sostengono l'esame da 9 cfu.

Per tutti gli studenti

• Introduzione al corso : informazioni generali, 6 vs 9 cfu, piani di studi, art. 39 regolamento carriera
• Introduzione alla sicurezza informatica e terminologia
• Vulnerabilità e minacce
• Vulnerabilità del software:
  • correttezza dei programmi, vlunerabilità, programmazione difensiva e by contract, definizione di input fidato e non fidato, cybercrime, cert, statistiche sulle vulnerabilità
  • Web security in pratica:
    Prerequisiti
    HTTP, PHP, sessioni, HTTP requests in python
    Command and code injection
    SQL injection
    File disclosure, server side request forgery
    Cross site scripting (XSS), Cross Site Request Forgery (CSRF)
    
  • Attacchi di tipo buffer overflow . Rilevanza e impatto, principi di funzionamento (memory layout del processo e dello stack), simulazione dell'exploit, rassegna delle difficoltà nella creazione di un exploit per buffer overflow, NOP, input troncato, metodi per scrivere l'exploit, test, contromisure, canaries, ASLR, NX. Varianti: string size, heap based, length overflow. Return Oriented Programming. Rassegna di tools.
• Vulnerabilità delle reti : sniffing, mac flood, ARP poisoning, vulnerabilità del DNS, attacco di Kaminsky. TCP session hijecking, attacchi MitM, DOS e Distributed DoS, Amplification, Route hijacking, BGP biggest security hole.
• Pianificazione della sicurezza: contenuti del piano di sicurezza, analisi dei rischi, mitigazione.
• Contromisure
  • Principi di progettazione di politiche e meccanismi
  • Modelli: Modelli architetturali:AAA, reference monitor, delega. Modelli per l'espressione di policy: DAC, MAC, access control matrix
  • Sicurezza dei sistemi:
    • principi generali, access control, autenticazione: classificazione, attacchi on-line off-line, passwords e loro vulnerabilità.
    • UNIX: UID vs. EUID e affini, diritti dei processi privilegiati e non, sicurezza nel filesystem unix, algoritmo di access control di unix, suid, sgid.
    • Pratica: Linux security
  • Sicurezza delle reti:
    • Firewalling:
      • firewall stateless e statefull, connessioni, syn-proxy e syn-cookies, load balancing e high availability.
      • Pratica: linux netfilter ed esempi di configurazioni.
    • Proxy applicativi, Intrusion detection systems di rete. Sicurezza di rete a livello 1 e 2.
  • Hardening.
  • Considerazioni sui sistemi per la rilevazione automatica di problemi/anomalie
  • Tecniche crittografiche:
    • richiami di crittografia (hash, message authentication codes, crittografia simmetrica, stream/block ciphers, operation modes, crittografia asimmetrica, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali.
    • Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces. Perfect Forward Secrecy. Diffie-Helman.
    • Certificati, certification authority, public key infrastructure e loro vulnerabilità.

Solo per gli studenti che sostengono l'esame da 9 cfu

• Applicazioni della crittografia:
  • Protocolli ssl, tls, ssh.
  • Livello 2: protocolli di autenticazione punto-punto e in rete locale, autenticazione centralizzata con radius. Virtual private networks: ipsec, ecc. Altre applicazioni: email, filesystem, one-time passwords.
  • Distributed Ledger Technologies (blockchains): classificazione, elementi architetturali, strutture dati autenticate, algoritmi di consenso, attacchi al consenso, Proof of Work, Bizantine-Fault Tolerant, Proof of Stake, il trilemma della scalabilità
  • Smart contracts, garanzie di sicurezza, il modello di Ethereum, Solidity, aspetti sullo sviluppo.
• Windows: architettura, oggetti, controllo di accesso DAC e MAC, virtualization based security, VTL e Credential Guard, autenticazione, elevation
• Governance, professional profiles and their work. Frameworks: their structure and features, benefits, examples. NIST CSF: structure, examples, profiles, SP800-53, examples. ISO27000 series. CIS benchmarks. Regulatory compliance: main regulations in Italy, common themes. GDPR, NIS2, PSNC, specific obligations. Support tools.
• SecOps tools: SOC and tools, endpoint/organization centric. Antivirus, EDR, XDR, SIEM, SOAR: features and architectures. Open source tools.
• Cyber Threat Intelligence: kind of data, sources and their features, Sigma, Yara, STIX and examples, TAXII, TIP tools. MITRE: ATT&CK (TTP), CAPEC, CWE, Attack trees.

• Materiale utile ma fuori programma. Per sostenere l'esame non necessario la consultazione di questo materiale, che non è stato mostrato a lezione.
  

• Domande e spunti per la preparazione all'esame teorico da 4 cfu
• Malaware e scocial engineering : virus, worm, trojan, rootkit, spyware, adware, botnet, market, cyberwar, phishing.
• confinamento in sistemi dac (jailing e virtualizzazione), selinux, apparmor
• Esercizi su access control e sicurezza di sistema
• Esercizi sulla sicurezza delle reti
• Esercizi su protocolli di autenticazione e scambio di chiavi
• Sicurezza nei sistemi di controllo industriali, panoramica su malware e adavanced persistent threates, strutture dati autenticate e Merkle hash trees, integrità per USB memory sticks nell'ambito dei sistemi critici (Host Integrity System), protezione da attacchi al firmware tipo BadUSB (USBCheckIn)
• Authenticated data structures
• DLT e Bitcoin
• Cybersecurity nella grandi organizzazioni
• Hardware security: attacchi Rowhammer e Meltdown, impatto e contromisure.

Esami, esoneri e vecchi appelli

La prova di esame sarà sia pratica (in laboratorio) che scritta. Quest'anno sono previste degli esoneri (o valutazioni in itinere). Per l'esame e' obbligatorio prenotarsi mediante il sito GOMP. Le procedure per le prenotazioni per gli esoneri verranno comunicate in prossimità degli esoneri.

Regolamento esami ed esoneri

1. Solo per quest'anno è possibile sostenere l'esame sia da 6cfu che da 9cfu.
2. L’esame da 6 cfu consiste di una prova pratica di laboratorio che pesa 2 cfu e una prova teorica (scritta o su moodle) che pesa 4 cfu.
3. L’esame da 9 cfu consiste di una prova pratica di laboratorio che pesa 2 cfu e una prova teorica (scritta o su moodle) che pesa 7 cfu.
4. L’accesso a ciascun appello d'esame è subordinato ad aver svolto degli homework all'interno del sistema SecureFlag: 3 laboratori nella categoria Exploitation e 3 laboratori nella categoria Server Hardening (come è stato per l'esonero). Tali laboratori devono essere risolti con successo ma non saranno oggetto di valutazione. Per accedere al sistema SecureFlag segure le istruzioni date in questo post su ms-teams. I docenti provvederanno a verificare per i prenotati all'esame l'effettivo svolgimento di tali homework.
5. Per chi ha sostenuto l'esonero. Il risultato dell'esonero (o valutazione in itinere) potrà essere accettato entro il 20 gennaio 2026 con le modalità che verranno comunicate. Chi non accetta entro tale data rinuncia al voto dell'esonero, non potrà accettarlo nei successivi appelli e dovrà sostenere l’esame regolare.
   • Per chi deve sostenere l'esame da 6 cfu, l'esonero copre l'intero esame (cioè conta come un preappello) per cui gli studenti che accettano il voto dell'esonero dovranno prenotarsi al primo appello ma non presentarsi all'esame.
   • Per chi deve sostenere l'esame da 9 cfu, l'esonero copre solo i primi 6cfu. Gli studenti dovranno sostenere una prova teorica da 3cfu in uno degli appelli d'esame della sessione d'esame di gennaio/febbraio.
     Lo studente che accettando il voto dell'esonero si presenta al primo appello della sessione di gennaio/febbraio, e dovesse non superare l'esame o dovesse ritirarsi, potrà in ogni caso sostenere l'esame completo al secondo appello.
6. Durante le prove di laboratorio, per la parte pratica, gli studenti potranno accedere a Internet, ma sarà vietata ogni forma di comunicazione con chiunque e con qualsiasi forma di intelligenza artificiale e chatbot.

Vecchi compiti di esame

Notare che l'esame ha subito nel tempo dei cambiamenti. In alcuni anni (fino al 2023) e stata persente una tesina da (2cfu). Nel 2024 è prevista una prova pratica (2cfu) ma non sono previste le tesine.

• Appello del 07.09.2022: compito

• Appello del 08.07.2022: compito

• Appello del 17.02.2022: compito

• Appello del 21.09.2021: compito

• Appello del 17.07.2021: compito

• Appello del 28.01.2021: compito

• Appello del 22.09.2020: compito soluzione di alcuni esercizi

• Appello del 27.01.2020: compito soluzione dell'esercizio 6

• Appello del 20.09.2019: compito

• Appello del 17.07.2019: compito

• Appello del 29.01.2019: compito

• Appello del 20.09.2018: compito

• Appello del 23.07.2018: compito

• Appello del 09.02.2018: compito

• Appello del 23.06.2017: compito soluzione

• Appello del 15.02.2017: compito soluzione

• Appello del 18.07.2014: compito soluzione

• Appello del 18.02.2014: compito soluzione

• Appello del 27.09.2013: compito

• Appello del 20.06.2013: compito

• Appello del 19.02.2013: compito soluzione

• Appello del 18.07.2012: compito soluzione

• Appello del 07.02.2012: compito soluzione

• Appello del 07.02.2011: compito soluzione

• Appello del 15.07.2010: compito

• Appello del 08.02.2010: compito soluzione

• Appello del 05.02.2009: compito soluzione

• Appello del 02.07.2008: compito

• Appello del 31.01.2008: compito soluzione

• Appello del 20.09.2007: compito

• Appello del 19.07.2007: compito soluzione

• Appello del 20.02.2007: compito soluzione

Collegio didattico di Ingegneria Informatica

---

Questa pagina è mantenuta da Maurizio Pizzonia.