Obiettivi del corso

• motivare verso lo studio e l’applicazione della cybersecurity,
• fornire strumenti per la progettazione e la gestione di sistemi informatici e reti con certe garanzie di sicurezza, con particolare riferimento ad ambiti produttivi,
• mettere in grado di comprendere le emergenti tecnologie legate alle blockchain e le loro caratteristiche,
• fornire le basi per poter affrontare l’approfondimento di tematiche specifiche in autonomia.

Modalità di erogazione

Il corso è erogato in modalità telematica tramite la piattaforma MS-Teams dell'Universtà Roma Tre ed è presente nel sistema Moodle del Dipartimento di Ingegneria accessibile solo agli studenti di Roma Tre. Per accedere alle lezioni nel Team gli studenti devono sottoscrivere il corso su Moodle. Ulteriori dettagli sulle guide di ateneo. Eventuali persone esterne che volessero seguire il corso e quindi accedere al team devono contattare il docente.

Mailing list degli avvisi relativi al corso.

Tutti gli studenti si devono iscrivere alla mailing list di avvisi tramite la quale potranno essere avvertiti tempestivamente di eventi relativi al corso e alle attività correlate (esami, ricevimento studenti, ecc).

http://list.dia.uniroma3.it/mailman/listinfo/ssir

L'archivio degli avvisi inviati alla mailing list e' disponibile on-line.

Solo il docente può inviare messaggi, gli studenti non possono postare messaggi alla mailing list.

Materiale didattico

Materiale di studio.

• Slides proiettate a lezione e scaricabili da questo sito.
• David A. Wheeler,"Secure Programming for Linux and Unix HOWTO". On-line, part of the Linux Documentation Project.
• Oskar Andreasson,"Iptables Tutorial". On-line.
• C. Ellison, B. Schneier, "Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure", Computer Security Journal, v 16, n 1, 2000, pp. 1-7.
• A. Antonopoulos, G, Wood, Mastering ethereum: building smart contracts and dapps. O'Reilly Media, 2018

Testi di riferimento il cui acquisto non è strettamente necessario.

• M. Bishop, "Computer Security: Art and Science", Addison-Weslesy.
• C. Kaufman, R. Perlman, M. Speciner, "Network Security: Private Comunication in a Public World (second edition)", Prentice Hall.
• C. Pfleeger, S. Pfleeger, "Sicurezza in informatica", Pearson - Prentice Hall.
• A. Antonopoulos, Mastering Bitcoin, 2nd Edition, O'Reilly, ,2017

Programma delle Lezioni

Il programma viene aggiornato con le slide e con eventuali variazioni degli argomenti.

Gli argomenti con link non attivi devono essere considerati provvisori.

• Introduzione al corso
• Introduzione alla sicurezza informatica e terminologia
• Vulnerabilità e minacce
• Vulnerabilità del software input fidato e non fidato, validazione dell'input. Vulnerabilità di applicazioni scritte in linguaggi interpretati, code injection. Injection in pagine web: XSS. Cross site request forgery. OWASP.
  • esempio di sito vulnerabile a sql injection
• Attacchi di tipo buffer overflow . Exploitation: privilege excalation, intrusioni via rete tramite servizi aperti, intrusione via documenti non fidati (via email, via web o altro).
  • esempio di codice vulnerabile a buffer overflow e relativo exploit
• Vulnerabilità delle reti : sniffing, mac flood, ARP poisoning, vulnerabilità del DNS, attacco di Kaminsky. TCP session hijecking, attacchi MitM, DOS e Distributed DoS, Route hijecking.
• Pianificazione della sicurezza: contenuti del piano di sicurezza, analisi dei rischi.
• Contromisure
  • Principi di progettazione di politiche e meccanismi
  • Modelli: AAA, confinamento, DAC, MAC, access control matrix 
  • Tecniche crittografiche:
    • richiami di crittografia (hash, simmetrica, asimmetrica, MAC, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali.
    • Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces. Perfect Forward Secrecy. Diffie-Helman. 
    • Certificati, certification authority, public key infrastructure e loro vulnerabilità.
      
    • Applicazioni: Porotocolli ssl, tls, ssh, virtual private network, ipsec, ecc. Protocolli di autenticazione punto-punto e in rete locale. radius e vulnerabilità. Altre applicazioni.
  • Considerazioni sui sistemi per la rilevazione automatica dei problemi
  • Sicurezza dei sistemi:
    • principi generali: passwords e loro vulnerabilità, metodologia di hardening, assessment e auditing
    • unix: controllo di accesso discrezionario, sicurezza nel filesystem, autenticazione, PAM, syslog
  • Sicurezza delle reti:
    • Firewalling: firewall stateless e statefull, connessioni, syn-proxy e syn-cookies, load balancing e high availability, linux netfilter ed esempi di configurazioni.
    • Sicurezza di rete a livello 1 e 2.
    • Proxy applicativi, Intrusion detection systems di rete.

• Authenticated Data Structures
• Distributed Ledger Technologies and Bitcoin
• Smart contracts
• Cybersecurity nelle grandi organizzazioni

• Domande e spunti per la preparazione all'esame scritto da 4 cfu
  

• Materiale utile ma fuori programma. Per sostenere l'esame non necessario la consultazione di questo materiale, che non è stato mostrato a lezione.
  

• Malaware e scocial engineering : virus, worm, trojan, rootkit, spyware, adware, botnet, market, cyberwar, phishing.
• confinamento in sistemi dac (jailing e virtualizzazione), selinux, apparmor
• Sicurezza di sistema - Windows
• Esercizi su access control e sicurezza di sistema
• Esercizi sulla sicurezza delle reti
• Esercizi su protocolli di autenticazione e scambio di chiavi
• Sicurezza nei sistemi di controllo industriali, panoramica su malware e adavanced persistent threates, strutture dati autenticate e Merkle hash trees, integrità per USB memory sticks nell'ambito dei sistemi critici (Host Integrity System), protezione da attacchi al firmware tipo BadUSB (USBCheckIn)

Esami, tesine e vecchi appelli

L'esame prevede una prova scritta e una tesina. Per la prova scritta e' obbligatorio prenotarsi alla prova scritta mediante il sito GOMP. Tutte le informazioni relative alle tesine si possono trovare nella pagina Regolamento tesine e lista argomenti.

• Appello del 23.06.2017: compito soluzione

• Appello del 15.02.2017: compito soluzione

• Appello del 18.07.2014: compito soluzione

• Appello del 18.02.2014: compito soluzione

• Appello del 27.09.2013: compito

• Appello del 20.06.2013: compito

• Appello del 19.02.2013: compito soluzione

• Appello del 18.07.2012: compito soluzione

• Appello del 07.02.2012: compito soluzione

• Appello del 07.02.2011: compito soluzione

• Appello del 15.07.2010: compito

• Appello del 08.02.2010: compito soluzione

• Appello del 05.02.2009: compito soluzione

• Appello del 02.07.2008: compito

• Appello del 31.01.2008: compito soluzione

• Appello del 20.09.2007: compito

• Appello del 19.07.2007: compito soluzione

• Appello del 20.02.2007: compito soluzione

Collegio didattico di Ingegneria Informatica

---

Questa pagina è mantenuta da Maurizio Pizzonia.