sito dell'anno precedente

Docente: Maurizio Pizzonia - DIA stanza 225
Orario di ricevimento studenti: vedi pagina del collegio didattico

Prerequisiti

• È importante conoscere gli argomenti relativi ai corsi di Reti I e Sistemi Operativi.
• È consigliato conoscere gli argomenti relativi ai corsi di Reti II ed Elementi di crittografia.

Periodo: dal 1 ottobre 2012 al 25 gennaio 2013. Le lezioni saranno sospese dal 19 dicembre 2012 al 6 gennaio 2012, con conseguente ripresa della didattica martedì 8 gennaio 2013.

Giorni delle lezioni, orari e aule: vedi orario pubblicato dal collegio didattico di ingegneria informatica

Sintesi degli obiettivi del corso

Il corso intende fornire allo studente le competenze necessarie per

• comprendere e valutare problematiche di sicurezza informatica nell'ambito di realta' produttive,
• progettare sistemi informatici e reti con un certo livello di sicurezzza,
• gestire le attività legate alla sicurezza informatica anche in riferimento gli obblighi normativi italiani.

Mailing list degli avvisi relativi al corso.

Tutti gli studenti si devono iscrivere alla mailing list di avvisi tramite la quale potranno essere avvertiti tempestivamente di eventi relativi al corso e alle attività correlate (esami, ricevimento studenti, ecc).

http://list.dia.uniroma3.it/mailman/listinfo/ssir

L'archivio degli avvisi inviati alla mailing list e' disponibile on-line.

Solo il docente può inviare messaggi, gli studenti non possono postare messaggi alla mailing list.

Materiale didattico

Materiale di studio.

• Slides proiettate a lezione e scaricabili da questo sito.
• David A. Wheeler,"Secure Programming for Linux and Unix HOWTO". On-line, part of the Linux Documentation Project.
• Oskar Andreasson,"Iptables Tutorial". On-line.
• C. Ellison, B. Schneier, "Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure", Computer Security Journal, v 16, n 1, 2000, pp. 1-7.
• Decreto Legislativo 30 giugno 2003, n. 196, "Codice in materia di protezione dei dati personali"

Testi di riferimento il cui acquisto non e' strettamente necessario.

• M. Bishop, "Computer Security: Art and Science", Addison-Weslesy.
• C. Kaufman, R. Perlman, M. Speciner, "Network Security: Private Comunication in a Public World (second edition)", Prentice Hall.
• C. Pfleeger, S. Pfleeger, "Sicurezza in informatica", Pearson - Prentice Hall.
• M. E. Russinovich, D. A. Solomon, "Microsoft Windows Internals, Fourth Edition", Microsoft Press.

Programma delle Lezioni. Il programma viene aggiornato con le slide e con eventuali variazioni degli argomenti.

Gli argomenti non linkati devono essere considerati provvisori.

• Introduzione al corso
• Introduzione alla sicurezza informatica e terminologia
• Vulnerabilità e minacce
  • Vulnerabilità del software input fidato e non fidato, validazione dell'input. Vulnerabilità di applicazioni scritte in linguaggi interpretati, code injection. Injection in pagine web: XSS. Cross site request forgery. OWASP.
    • esempio di sito vulnerabile a sql injection
  • Attacchi di tipo buffer overflow . Exploitation: privilege excalation, intrusioni via rete tramite servizi aperti, intrusione via documenti non fidati (via email, via web o altro).
    • esempio di codice vulnerabile a buffer overflow e relativo exploit
  • Secure programming.
  • Malaware e scocial engineering : virus, worm, trojan, rootkit, spyware, adware, botnet, market, cyberwar, phishing.
  • Vulnerabilità delle reti : sniffing, mac flood, ARP poisoning, vulnerabilità del DNS, attacco di Kaminsky. TCP session hijecking, attacchi MitM, DOS e Distributed DoS, Route hijecking.
  • esercizi su vulnerabilità
• Contromisure
  • Principi di progettazione di politiche e meccanismi
  • Modelli: AAA, confinamento, DAC, MAC, access control matrix ,
  • Sicurezza dei sistemi:
    • principi generali (passwords e vulnerabilità, metodoliga di hardening, assessment e auditing)
    • unix (controllo di accesso discrezionario, sicurezza nel filesystem, autenticazione, PAM, hardening, syslog)
    • confinamento in sistemi dac (jailing e virtualizzazione), selinux, apparmor
    • Esercizi su access control e sicurezza di sistema .
  • Sicurezza delle reti:
    • sicurezza a livello 1 e 2, firewall stateless e statefull, linux netfilter ed esempi di configurazioni, proxy e loro vulnerabilità. Suddivisioni di carico e full high-availability. Intrusion detection systems di rete.
    • Esercizi sulla sicurezza delle reti .
  • Tecniche crittografiche:
    • richiami di crittografia (hash, simmetrica, asimmetrica, MAC, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali .
    • Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces .
    • Esercizi su protocolli di autenticazione e scambio di chiavi.
    • Certificati, certification authority, public key infrastructure e loro vulnerabilità. Applicazioni: Porotocolli ssl, tls, ssh, virtual private network, ipsec, pptp. Protocolli di autenticazione punto-punto PAP, CHAP, MS-CHAP, EAP. Autenticazione degli utenti in rete locale 802.1X, radius e vulnerabilità .
• Aspetti gestionali: pianificazione, progettazione e normativa.
  • Pianificazione della sicurezza: obblighi normativi relativi al Dlgs 196/2003 e il DPS, il piano di sicurezza aziendale (contenuti, vantaggi organizzativi, policy, stato attuale, analisi dei rischi, requisiti, contromisure, risposta agli incidenti, bussines continuity, disaster recovery).
  • Esercizi su pianificazione, progetto e normativa (soluzioni).

• Argomenti solo per gli studenti dell'ordinamento DM270 (6 cfu).
  • Sicurezza di sistema - Windows
  • Problematiche di sicurezza del cloud computing
  • Strutture dati autenticate

Esami e valutazione

L'esame prevede una prova scritta.

Per la prova scritta e' obbligatorio prenotarsi alla prova scritta mediante il portale dello studente.

• Appello del 27.09.2013: compito

• Appello del 20.06.2013: compito

• Appello del 19.02.2013: compito soluzione

• Appello del 18.07.2012: compito soluzione

• Appello del 07.02.2012: compito soluzione

• Appello del 07.02.2011: compito soluzione

• Appello del 15.07.2010: compito

• Appello del 08.02.2010: compito soluzione

• Appello del 05.02.2009: compito soluzione

• Appello del 02.07.2008: compito

• Appello del 31.01.2008: compito soluzione

• Appello del 20.09.2007: compito

• Appello del 19.07.2007: compito soluzione

• Appello del 20.02.2007: compito soluzione

Collegio didattico di Ingegneria Informatica

Questa pagina è mantenuta da Maurizio Pizzonia.