Sicurezza dei sistemi informatici e delle reti
Anno Accademico 2011-2012
laurea magistrale in ingegneria informatica (DM. 270), 2º anno, 6 cfu
sito dell'anno
precedente
Docente: Maurizio
Pizzonia - DIA stanza 225
Orario di ricevimento studenti: vedi pagina
del collegio didattico
Collabora al corso Bernardo Palazzi
Prerequisiti
- È importante conoscere gli argomenti relativi ai corsi di
Reti I e Sistemi Operativi.
- È consigliato conoscere gli argomenti relativi ai corsi di Reti
II ed Elementi di crittografia.
Periodo: dal 4 ottobre 2010 al 27 gennaio 2011. Le lezioni saranno sospese dal 19 dicembre 2011 al 7 gennaio 2012, con conseguente ripresa della didattica martedì 10 gennaio 2012.
Giorni delle lezioni, orari e aule: vedi orario delle
lezioni del
collegio didattico di ingegneria informatica.
Sintesi degli obiettivi del corso
Il corso intende fornire allo studente le competenze necessarie per
- comprendere e valutare problematiche di sicurezza informatica
nell'ambito di realta' produttive,
- progettare sistemi informatici e reti con un certo livello di
sicurezzza,
- gestire le attività legate alla sicurezza informatica anche in
riferimento gli obblighi normativi italiani.
Mailing list degli avvisi relativi al corso.
Tutti gli studenti si devono iscrivere alla mailing list di
avvisi tramite la quale potranno essere avvertiti tempestivamente di
eventi relativi al corso e alle attività correlate (esami, ricevimento
studenti, ecc).
http://list.dia.uniroma3.it/mailman/listinfo/ssir
L'archivio
degli avvisi inviati alla mailing list e' disponibile on-line.
Solo il docente può inviare messaggi, gli studenti non possono
postare messaggi alla mailing list.
Materiale didattico
Materiale di studio.
- Slides proiettate a lezione e scaricabili da questo sito.
- David A. Wheeler,"Secure Programming
for Linux and Unix HOWTO". On-line, part of the Linux Documentation
Project.
- Oskar Andreasson,"Iptables
Tutorial". On-line.
- C. Ellison, B.
Schneier, "Ten Risks of PKI: What You're Not Being Told About Public
Key Infrastructure", Computer Security Journal, v 16, n 1, 2000, pp.
1-7.
- Decreto
Legislativo 30 giugno 2003, n. 196, "Codice in materia di protezione
dei dati personali"
Testi di riferimento il cui acquisto non e' strettamente necessario.
- M. Bishop, "Computer Security: Art and Science", Addison-Weslesy.
- C. Kaufman, R. Perlman, M. Speciner, "Network Security: Private
Comunication in a Public World (second edition)", Prentice Hall.
- C. Pfleeger, S. Pfleeger, "Sicurezza in informatica", Pearson -
Prentice Hall.
- M. E. Russinovich, D. A. Solomon, "Microsoft Windows Internals,
Fourth Edition", Microsoft Press.
Programma delle Lezioni
Gli argomenti non linkati devono essere considerati provvisori.
- Introduzione al corso
- Introduzione
alla sicurezza informatica e terminologia
- Vulnerabilità e minacce
- Vulnerabilità
del software input fidato e non fidato, validazione dell'input.
Vulnerabilità di applicazioni scritte in linguaggi interpretati, code
injection.
- Attacchi
di tipo buffer overflow. Exploitation: privilege excalation,
intrusioni via rete tramite servizi aperti, intrusione via documenti
non fidati (via email, via web o altro).
- Secure
programming.
- Malaware e scocial
engineering: virus, worm, trojan, rootkit, backdors, sniffer,
spyware, adware, ecc. Script kiddies. Phishing e cross-site scripting, csrf, owasp.
- Vulnerabilità
delle reti: sniffing, mac flood, ARP poisoning, vulnerabilità del
DNS, attacco di Kaminsky. TCP session hijecking, attacchi MitM, DOS e Distributed DoS, Route
hijecking.
- esercizi su
vulnerabilità
- Contromisure
- Principi di
progettazione di politiche e meccanismi
- Modelli: AAA,
confinamento, DAC, MAC, access control matrix,
- Sicurezza dei sistemi:
- Sicurezza delle reti:
- Tecniche crittografiche:
- richiami di
crittografia (hash, simmetrica, asimmetrica, MAC, firma digitale),
attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri
pesudo-casuali.
- Protocolli
di autenticazione e di scambio di chiavi. Attacchi replay e reflection.
Nonces.
- Esercizi
su protocolli di autenticazione e scambio di chiavi.
- Certificati,
certification authority, public key infrastructure e loro
vulnerabilità. Applicazioni: Porotocolli ssl, tls, ssh, virtual private
network, ipsec, pptp. Protocolli di autenticazione punto-punto PAP,
CHAP, MS-CHAP, EAP. Autenticazione degli utenti in rete locale 802.1X,
radius e vulnerabilità.
- Aspetti gestionali: pianificazione, progettazione e normativa.
- Pianificazione della sicurezza: obblighi normativi relativi al
Dlgs 196/2003 e il DPS, il piano di sicurezza aziendale (contenuti,
vantaggi organizzativi, policy, stato attuale, analisi dei rischi,
requisiti, contromisure, risposta agli incidenti, bussines continuity,
disaster recovery).
- Esercizi su
pianificazione, progetto e normativa (soluzioni).
- Argomenti solo per gli studenti dell'ordinamento DM270 (6 cfu).
Esami e valutazione
L'esame prevede una prova scritta e una tesina. Vedi la pagina del regolamento tesine per i dettagli
Per la prova scritta e' obbligatorio prenotarsi alla prova scritta mediante il portale dello studente.
Collegio
didattico di Ingegneria Informatica
Questa pagina è mantenuta da Maurizio Pizzonia.