Tematica. Ciascuno gruppo si occupa di un serivizio di storage/backup on-line di cui fa l'analisi di sicurezza rispetto a un contesto di riferimento a scelta, ad esempio un utilizzo aziendale.Consultare l'elenco dei servizi suggeriti. Gli studenti possono suggerirne altri a cui possono essere interessati.
Deliverable. La tesina prevede la redazione di un rapporto sulla sicurezza del servizio/prodotto/software in esame. Il rapporto deve essere lungo al più 6 pagine (12000 caratteri totali) moltiplicato il numero dei componenti del gruppo (escluse copertina, bibliografie, appendici, figure, ecc.). Il rapporto può essere pubblicato in inglese sul wiki privato del corso (vedi wiki-ssir) o consegnato al docente in formato pdf (anche in italiano). Eventuali appendici possono essere presenti ma verranno valutati a discrezione del docente, cioè il docente valuta se vale la pena leggere l'allegato in base alle pagine regolamentari. Questo significa che se volete che una parte sia valutata sicuramente va inserita nelle "pagine regolamentari".
Supporto. Il docente fornisce solo suggerimenti sul metodo da seguire per ottenere un buon risultato ma non su aspetti tecnici o specifici inerenti a una particolare tesina.
Aspettative. Ci si aspetta dagli studenti che si documentino sulle problematiche di sicurezza tipiche degli strumenti di storage e backup, scelgano le indagini da compiere in totale autonomia, e indirizzino la ricerca anche in base ai vincoli tecnologici individuati documentando nel rapporto le scelte fatte e le loro motivazioni. Scelgano gli strumenti tecnologici per l'indagine e li usino con competenza. Svolgano le indagini selezionate e traggano delle conlclusioni per ciascuna indagine. Gli studenti si possono documentare da qualsiasi fonte (possibilmente autorevole) e sono incoraggiati a citarle nel rapporto. L'interazione tra gruppi è incoraggiata sia per quanto riguarda gli aspetti tecnologici sia per quanto riguarda la metodica per la redazione del rapporto. Ci si aspetta che il quantitativo di lavoro sia approssimativamente pari ad una settimana di lavoro
Assegnazione. L'assegnazione della tesina ad un gruppo (2 o 3 persone) viene fatta dal docente alla fine di ciascuna lezione con un approccio primo venuto primo servito. Per l'assegnazione non c'è scadenza (ma prima è meglio è per il gruppo, ovviamente). Per ottenere la tesina il gruppo deve consegnare un abstract di circa 10 righe (via email o su memory-stick) che indichi il software che vuole analizzare e il programma di lavoro che prevede di seguire. Il programma potrà essere cambiato in corso d'opera ma le motivazioni dovranno essere documentate nel rapporto. Verifica le tesine già assegnate.
Valutazione. La valutazione della tesina viene fatta dal docente senza l'interazione con il gruppo. La valutazione viene effettuata rispetto ai seguenti criteri.
Completezza delle coordinate di analisi considerate e scelta delle coordinate da approfondire.
Competenze nelle scelte di strumenti e tecniche di indagine.
Correttezza e profondità delle conclusioni in base a quanto documentato nel report. Confutazione o conferma di informazioni reperite su Internet (es. Wiki).
Quantità di lavoro svolto.
Chiarezza e organizzazione del report.
La tesina vale 1 CFU. Per cui, per gli studenti che sostengono l'esame da 6 CFU la tesina vale 5 punti su 30, per gli studenti che sostengono l'esame da 5 CFU la tesina vale 6 punti su 30.
Scadenze e regole per l'esame. L'unica scadenza è la consegna della tesina entro il 16 gennaio, per chi vuole sostenere l'esame al primo appello. In ogni caso, e per qualsiasi appello, la tesina va consegnata prima di sostenere la prova d'esame. E' altamente consigliabile svolgere la tesina durante il corso, per massimizzare l'interazione con gli altri gruppi.
I servizi suggeriti sono stati selezionati perché hanno una trial gratuita. Chi avesse altri servizi di storage/backup di suo interesse si senta libero di proporli. La lista è stata creata ispirandosi a questa pagina di wikipedia: http://en.wikipedia.org/wiki/Comparison_of_online_backup_services.
Nella lista non compare Dropbox che è invece suggerito come termine di paragone per tutti.
Wuala
Syncplicity
SpiderOak
ElephantDrive
FilesAnywhere
ASUS WebStorage
Mozy
ZumoDrive
WindowsLive
Memopal
iDrive
ADrive
MiMedia
I seguenti servizi non sono propriamente on-line backup ma potrebbero essere comunque interessanti da analizzare
Microsoft Azure (ristretto ai servizi di storage) e comparazione con Amazon S3 se possibile
Apple iCloud
Amazon Cloud Drive
Nell'ambito del corso di sicurezza è attivo un wiki per la pubblicazione dei rapporti. Vi ricordo che la partecipazione al wiki non è obbligatoria, ma nel caso decidiate di utilizzarlo dovrete scrivere i testi in inglese. La qualità dell'inglese non sarà oggetto di valutazione purché il testo sia comprensibile. Chi lavora sul Wiki non dovrà consegnare anche un pdf ma dovra' comunque rispettare i vincoli di lunghezza e le eventuali appendici dovranno essere bene distinte dal corpo centrale della tesina.
L'indirizzo a cui è raggiungibile il Wiki è il seguente: http://tocai.dia.uniroma3.it/ssir-wiki/index.php/Main_Page
Ecco le istruzioni per aprire il vostro account presso il wiki del corso
Ricordatevi che il wiki mantiente log di qualunque modifica effettuata quindi ci si aspetta un utilizzo responsabile da parte di tutti gli studenti. Utilizzi scorretti (ad es. defacement, spoofing, ecc.) verranno sanzionati.
Uno stesso tool può essere assegnato a più gruppi con programmi di lavoro complementari.
Information Gathering Analisi documenti pubblici (SLA, forum, whitepapers, FAQ) Verifica della validità dei certificati utilizzati Verifica della cifratura dei dati di autenticazione in locale Verifica “two-factor authentication” Verifica della cifratura del protocollo di autenticazione Verifica della cifratura del protocollo di trasferimento dei dati Verifica della cifratura dei dati in locale Analisi delle features presentate nel sito (es. versioning, de-duplicazione)
L'obiettivo è effettuare un'analisi del servizio Wuala all'interno di un contesto di uso personale. Dopo aver raccolto i dati necessari tramite FAQ, blog e forum ci si focalizzerà sull'analisi della gestione di grandi quantità di dati con particolare riferimento alle tecniche di deduplicazione utilizzate. Verranno prese in esame anche le tecniche di cifratura del protocollo di autenticazione e le tecniche di cifratura dei dati.
Lo scopo è quello di analizzare e testare le varie interfacce (web, clients, ftp, webdav…) offerte dal servizio Single User Advanced (la modalità più sicura ed avanzata offerta a pagamento da FilesAnywhere) per verificarne la sicurezza e la stabilità. Studiando inizialmente l’infrastruttura dell’azienda per poi affrontare in modo specifico le seguenti tematiche: cifratura, certificati, disponibilità, controllabilità del ciclo di vita dei file, stabilità dei client e del versioning, gestione locale delle credenziali d’accesso.
Il software di backup online che si vuole analizzare è Mozy, nella versione free Home che permette uno storage massimo di 2 GB. Il client di Mozy è disponibile per le piattaforme Windows e Mac OS X e tramite apps per iPhone e Android; la nostra analisi sarà svolta principalmente sul client Windows con la possibilità di espandere il nostro studio sulle altre piattaforme e apps. L’analisi sarà preceduta da una raccolta di dati, attraverso forum, FAQ, term of service e articoli vari, riguardanti la struttura implementativa, le funzionalità e le problematiche di Mozy. Lo scopo dell’analisi sarà quello di: 1) Verificare l’effettivo utilizzo delle tecniche per la gestione dei dati e dei backup che vengono da Mozy (versioning, data de-duplication e block-level incremental backup). 2) Analizzare l’interazione tra il client ed i server al fine di verificare la validità dei certificati utilizzati, la cifratura del protocollo di autenticazione e quella del protocollo di trasferimento dei dati, e verificare dove e come avviene l’effettivo storage dei dati. 3) Analizzare le modalità di gestione e cifratura dei dati in locale, e le modalità di gestione e segnalazione dei cambiamenti degli stessi. 4) Verificare la veridicità dei termini di contratto espressi nel term of service e nel contratto di privacy con l’utente. 5) Effettuare un analisi superficiale della sicurezza offerta dal sito mozy.com ed analizzare eventuali problemi noti del servizio di backup.
Obiettivo del lavoro sarà l’analisi del sistema di online backup Sugar Sync, in un contesto di utilizzo personale, con particolare attenzione agli aspetti relativi alla sicurezza. Partendo dalla consultazione della documentazione (ufficiale e non) già presente in Rete, si focalizzerà lo studio sulla verifica delle informazioni disponibili, prendendo in considerazione gli aspetti relativi alla: 1. protezione dei dati memorizzati mediante crittografia, 2. la trasmissione attraverso connessioni sicure, 3. il rispetto della privacy dell’utente da parte del servizio (verificando la presenza di eventuali sistemi di caching e di versioning dei documenti), 4. deduplicazione dei dati, 5. sicurezza dell’interfaccia Web del servizio, comparandola con quella dell’applicativo desktop.
Si vuole analizzare il funzionamento di Memopal e studiarne le caratteristiche che lo differenziano dai suoi simili. Reperimento materiale da fonti pubbliche come forum, blog informatici, FAQ ecc. Punti di maggiore interesse: - Analisi del Memopal Global File System (file system proprietario). - Analisi sull'integrità e permanenza dei file trasferiti e studio sulla tecnica di versioning adottata. - Analisi dei certificati, del protocollo SSL (128-bit) e memorizzazione dei dati crittografati con Blow-Fish 448bit. - Analisi sulla deduplicazione cross-user in modo che i file o le sequenze di byte comuni a più utenti vengano sincronizzate senza necessità di trasferimento di dati. - Analisi sul tipo di indicizzazione files utilizzata. - Test occupazione banda. - Studio delle funzionalità sia da client che da browser. - Approfondimento sulla privacy e contratto utente (termini, condizioni, ecc).
ClashPlan è un sistema di backup e storage pensato per essere fruito indipendentemente dal sistema operativo e dal dispositivo usato, e che può essere usato fruttando sia servizi cloud in internet, che dispositivi locali nella propria rete o personali (hard disk, pen driver). Si prenderà in esame il software in versione free, ad uso personale, installato su dispositivi diversi come PC e SmartPhome e su sistemi operativi eterogenei in modo da simulare un ambiente reale di utilizzo di un utente normale. Punti chiave saranno, l'analisi delle scelte architetturali adottate per risolvere le problematiche di sicurezza, privacy, e condivisione che tutti i software e servizi di questo tipo devono affrontare, pregi e difetti legati alla scelte adottate e modalità di implementazione.Inoltre, per capire meglio le peculiarità del prodotto con i suoi punti di forza e debolezza, tali scelte verranno comparate con altri software in versione free presenti sul mercato.
La tesina che vorremmo svolgere riguarda lo studio del servizio di memorizzazione ZumoDrive. Lo studio vorremmo orientarlo ad un contesto d'uso personale. Verranno analizzate le versioni per le piattaforme Windows e Linux e il servizio utilizzato sarà la versione free (2 Gb massimo). Le principali linee di lavoro ipozziamo essere: * Ricerca di materiale informativo, da siti ufficiali e non, sul servizio (funzionamento, bug noti...). * analisi degli aspetti relativi alla crittografia dei file e della connessione di rete. * analisi delle politiche di gestione dei file (recupero files cancellati, deduplicazione dei dati...). * analisi e verifica del rispetto dei Termini di Servizio.
* Ricerca di materiale informativo, da siti ufficiali e non, sul servizio (funzionamento, bug noti...). * analisi degli aspetti relativi alla crittografia dei file e della connessione di rete. * analisi delle politiche di gestione dei file (recupero files cancellati, deduplicazione dei dati...). * analisi e verifica del rispetto dei Termini di Servizio. * comparazione con il servizio Amazon S3
Analisi delle caratteristiche del servizio Ubuntu One, in riferimento alla versione base gratuita e ad un contesto di uso privato. Si effettuerà un'indagine preliminare del servizio attraverso l'utilizzo del client e dell'interfaccia web , la documentazione ufficiale e il materiale online - discussioni, wiki, FAQ, forum, etc. In seguito l'attenzione verrà focalizzata sugli aspetti più interessanti e peculiari rispetto agli altri servizi di storage online e in particolare rispetto a Dropbox, prendendo in considerazione aspetti come il protocollo di trasmissione del client e la sua sicurezza, l'implementazione dell'interfaccia web, i certificati utilizzati, la gestione dei file in locale, la deduplicazione, la cifratura, l'analisi delle API disponibili e la conformità tra le caratteristiche dichiarate e il comportamento reale del sistema.
L'obiettivo del lavoro sarà l’analisi del sistema di online backup "central-backup" (compagnia spagnola dedicata esclusivamente alla esecuzione di backup online) all'interno di un contesto di uso personale. Prima effettuare un'analisi di tutti i dettagli della compagnia, prodotti e servizi che offre, sicurezza dei servizi, crittografia dei dati, prezzi, stoccaggio dimensioni, supporto...Tutte queste informazioni estrae della pagina della compagnia, così come di blog, forum, FAQs...in definitiva, tutti i documenti pubblici che sono a mia disposizione.
Si analizzerà il sistema di storage online Wuala, con particolare attenzione al meccanismo di cifratura, soprattutto per dispositivi mobili. L’approccio scelto è quello di effettuare il reverse engineering del client per comprendere meglio, con l'aiuto anche delle informazioni reperibili in rete (blog, faq, forum, documentazione, etc.), l’implementazione della tecnologia e determinare punti di forza e vulnerabilità. Inoltre si effettueranno test su dispositivi mobili per verificare le risorse richieste dall’applicazione per far fronte alla sicurezza richiesta da questi servizi.
Analisi del servizio TeamDrive in versione gratuita per utilizzo personale (2GB di spazio, 10GB traffico/mese). Analizzeremo il client lato utente (funzionalita ecc) con attenzione alla gestione dei diritti degli utenti partecipanti alla condivisione, la gestione della deduplicazione e versioning dei dati su server, la gestione delle password e della cifratura dei dati. Cercheremo indizi sul fatto che il servizio operi in modo conforme alle caratteristiche dichiarate.
Obiettivo del lavoro sarà l’analisi del sistema online di backup ElephantDrive, in un contesto di utilizzo personale, con particolare attenzione agli aspetti relativi alla sicurezza. Partendo dalla consultazione di guide, pubblicati stampa e documentazione (ufficiale e non) presente on line, si focalizzerà lo studio sulla verifica delle informazioni disponibili, prendendo in considerazione gli aspetti relativi alla: 1.Protezione dei dati con crittografia di livello militare AES a 256 bit e versionamento dei dati, 2. la trasmissione attraverso connessioni sicure, 3. il rispetto della privacy dell’utente da parte del servizio, 4. deduplicazione dei dati, 5. sicurezza dell’interfaccia Web del servizio
Il servizio di storage e backup scelto è Asus Web Storage.L'obiettivo è quello di analizzare la sicurezza e la stabilità del servizio rispetto ad un uso personale della versione free. In particolare l'analisi verterà sui seguenti argomenti:1) Studio dell'infrastruttura fisica dei server.2) Crittografia dei dati relativi all'autenticazione, al trasferimento e al salvataggio dei dati.3) Comportamento alla rilevazione degli attacchi e delle intrusioni di rete.4) Rilevazione e blocco real-time di file infetti\malevoli.5) Deduplicazione e versioning dei files.6) Studio della privacy dell'utente e dei vincoli contrattuali.7) Sicurezza del servizio Web e dei client messi a disposizione analizzando l'interazione client\server e i certificati utilizzati.