Progetti del corso di:

Sicurezza dei Sistemi Informatici e delle Reti

Anno Accademico 2009-2010

ATTENZIONE: l'uso errato delle tecniche studiate all'interno dei progetti del corso di Sicurezza dei Sistemi Informatici e delle Reti può costituire reato secondo l'ordinamento vigente. Scopo di questi progetti è lo studio di tali tecniche ai soli fini didattici. Agli studenti è richiesto di svolgerle solo sulle apparecchiature preposte all'interno del laboratorio di reti di calcolatori, ed eventualmente su apparecchiature di loro proprietà. Si declina ogni responsabilità per le azioni svolte fuori dal suddetto contesto. In nessun caso è autorizzato l'utilizzo di tali tecniche all'interno della rete dipartimentale e d'ateneo.

Regole del Progetto

Il progetto deve essere svolto all’interno del periodo didattico del corso e la valutazione del progetto contribuisce per un terzo al voto d’esame finale del corso di "Sicurezza dei sistemi informatici e delle reti".
Per il progetto gli studenti formano un gruppo composto da 2 elementi, in caso di problemi nella formazione di un gruppo si prega di contattare il docente.
Ogni gruppo indica in ordine decrescente di preferenza quattro argomenti proposti, opzionalmente, può essere aggiunto un argomento proposto dal gruppo, sempre inerente la sicurezza informatica, la cui idoneità verrà valutata dal docente.
Il referente del gruppo dovrà inviare un’email a palazzi@dia.uniroma3.it contenente

Oggetto dell'email: [SSIR09] + il macro-argomento di maggiore interesse

Corpo dell'email:

nome e matricola di ognuno dei componenti del gruppo
l'ordine di preferenza dei macro-argomenti (lista in ordine decrescente)
linguaggi di programmazione noti (java, .net, c++, c, ecc.)
esperienze nella configurazione e nella gestione di apparati di rete
esperienza con implementazioni di interfacce grafiche
motivazioni che hanno portato alla scelta dell'argomento preferito e di uno o più specifici esempi (brevemente) opzionalmente anche degli altri
livello di conoscenza della lingua inglese

L’assegnazione avverrà seguendo l’ordine di arrivo dell'email del gruppo con un approccio first - come, first - served ma si valuteranno anche le abilità e le motivazioni del gruppo con un approccio best - sit.

Ogni gruppo avrà a disposizione tre incontri con il docente per discutere del progetto:

il primo di tali incontri è dedicato alla definizione delle finalità del progetto per ogni gruppo e viene fissato dal docente secondo un calendario pubblicato sul sito del corso;
il secondo incontro è collettivo (suddiviso per gruppi di argomenti) e prevede:

una prima verifica del lavoro svolto,
l’individuazione di obiettivi specifici e la possibile interazione con altri gruppi;

il terzo incontro di al più 20 minuti (precisi) è stabilito tramite calendario pubblicato su questa pagina, in tale incontro gli studenti dovranno presentare (si consiglia di provare in anticipo i tempi per la demo):

una breve documentazione, in formato pdf e preferibilmente in lingua inglese, del lavoro svolto, tale documentazione dovrà contenere gli elementi che consentono di ripetere l’esperienza effettuata dal gruppo. Si valuterà la capacità di sintesi della relazione. (5 minuti circa)
(i migliori lavori verranno pubblicati sul sito web del gruppo di ricerca di reti).
una demo interattiva dell’esperienza effettuata in cui dimostrare il funzionamento e la rispondenza al tema proposto,
(15 minuti circa)

Presentazione in aula da parte di un componente del gruppo, in cui verrà valutata la capacità di sintesi. (5 - 10 minuti a seconda del numero di gruppi)

In caso di problemi significativi durante lo svolgimento del progetto è possibile richiedere tramite email incontri aggiuntivi che verranno stabiliti compatibilmente con gli impegni del docente.

Scadenze

I gruppi dovranno essere comunicati entro il 25/10/2009 alle ore 23:59, tramite email a palazzi@dia.uniroma3.it

Argomenti

I progetti sono suddivisi secondo le seguenti macro aree, le aree evidenziate mostrano che c'è l'interesse di almeno un gruppo su quel progetto.

Argomento	Obiettivo	Note	Esempi
Standard per la sicurezza informatica	Analisi e comparazione tra differenti standard e best practices propri della sicurezza informatica, in ambito nazionale e internazionale.	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito non richiedono l'utilizzo del laboratorio, quindi sono particolarmente adatte a chi ha problemi per lo svolgimento in dipartimento	Standard per Risk Analysis: ISO 28000, CRAMM, Cobra Regulatory Aspects: SOX, Basilea 2 Infrastrutture critiche: scada e interdipendenza Firewall log: WebTrends Enhanced Log Format (WELF) certification Penetration Test: OWASP, OSSTMM 3.0
Analisi statica e dinamica della sicurezza del codice sorgente	L'analisi statica del codice (SCA) ha in generale lo scopo di anticipare l'individuazione di potenziali problemi di performance e di difetti o vulnerabilità del codice. L'analisi dinamica del codice consiste individuare le vulnerabilità di un programma esaminando esclusivamente il codice binario, potendo così trattare anche applicazioni per le quali non si dispone del codice sorgente.	Conoscenza approfondita di almeno un linguaggio di programmazione è fortemente consigliata per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Survey sullo stato dell'arte e approfondimento su particolari strumenti. Reverse engineering del codice
Sicurezza degli RFID	L'attività prevede lo studio di problematiche riguardanti la sicurezza degli RFID presenti nella letteratura scientifica di riferimento. Ogni gruppo dovrà realizzare un attacco tra quelli noti in letteratura con il materiale disponibile in laboratorio. Una lista degli articoli sulla sicurezza degli RFID è disponibile al seguente indirizzo: http://www.avoine.net/rfid/	Propensione a svolgere l'attività su strumenti ad uno stadio iniziale di sviluppo e che quindi richiedono una forte flessibilità da parte dello studente nell'utilizzarli. L'utilizzo degli apparati RFID sarà limitato all'interno del laboratorio. Le tesine in questo ambito richiedono l'utilizzo di particolari apparecchiature e quindi necessitano di essere svolte all'interno del dipartimento.	PUF (Physical Unclonable Functions) tag che non permettono la possibilità di essere copiati, Mifare tag utilizzati per badge (biglietti e abbonamenti per i trasporti, carte di credito, tessere identificative per accesso in aree protette, ecc. L'elenco degli apparati è disponibile al seguente indirizzo: http://www.dia.uniroma3.it/ ~compunet/www/view/inventory.php?id=compunet#rfid-readers
Analisi apparati sicurezza per il networking	L'attività prevede l'analisi e il test delle funzionalità di sicurezza di un apparato di rete tra quelli disponibili nel laboratorio e una demo contenente la realizzazione di una configurazione di rete sicura.	Conoscenza approfondita dei protocolli di rete e fortemente consigliata qualche esperienza con la configurazione di apparati di rete domestici. L'utilizzo degli apparati di rete sarà limitato all'utilizzo in laboratorio. Le tesine in questo ambito richiedono l'utilizzo di particolari apparecchiature e quindi necessitano di essere svolte all'interno del dipartimento.	Prove di carico sugli apparati tramite smartbits. Analisi comparativa funzionalità tramite differenti apparati L'elenco di parte degli apparati è disponibile al seguente indirizzo: http://www.dia.uniroma3.it/ ~compunet/www/view/inventory.php?id=compune
Privacy/Censura	Per privacy si intende comunemente il diritto della persona di impedire che le informazioni che la riguardano vengano trattate da altri, a meno che il soggetto non abbia volontariamente prestato il proprio consenso. Tale termine indica oggi il diritto al controllo sui propri dati personali. Per censura si intende il controllo della comunicazione verbale o di altre forme di espressione da parte di una autorità.	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Privacy nei motori di ricerca (web archive) Navigazione anonima (private browsing, TOR, Freenet, fooldns) Great firewall of China email: PGP voip: eavesdropping
Visualizzazione e sicurezza	L'attività prevede l'utilizzo di software libero per la security visualization per visualizzare attacchi standard alla sicurezza. L'obiettivo della visualizzazione è creare delle immagini che permettano di catalogare tracce grafiche di attacchi. Tale catalogo servirà a identificare in modo visuale attacchi.	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Software libero per la visualizzazione può essere reperito, non esclusivamente, all'interno della distribuzione Linux Live per visualizzazione DAVIX disponibile al seguente indirizzo: http://www.secviz.org/node/89 Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Prototipo (anche cartaceo) per la visualizzazione di politche di firewall / ids
Computer Forensic	L'informatica forense (Computer Forensics) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici.	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Costruire un sistema su cui effettuare analisi forense Live forensic Strumenti anti analisi forense, plausible deniability.
DRM/Copyright	DRM, cioé "gestione dei diritti digitali", si intende l'insieme dei sistemi tecnologici mediante i quali i titolari didiritto d'autore possono esercitare ed amministrare tali diritti nell'ambiente digitale , grazie alla possibilità di rendere protette, identificabili e tracciabili le opere di cui sono autori.	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Itunes, appstore DRM P2P analisi (isohunt, hexagon, darknet) DVD vs Blu RAY security Meccanismi anticopia console Digitale terrestre/satellite: gestione chiavi
Secure Arithmetic Coding	Compressione e crittografia solitamente sono trattati come metodi distinti ed applicati indipendentemente. Sono di particolare interesse le tecniche utilizzate per rendere metodi di compressione dei codici crittografici. I progetti saranno incentrati sullo studio di tecniche crittografiche su codici utilizzati per la compressione	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.	Tecniche per rendere sicuro l'arithmetic coding Attacchi alla segretezza dell'arithmetic coding; Codici per la cifratura di formati multimediali (JPEG2000).
Sicurezza applicata	Insieme di tematiche di sicurezza informatica, fortemente orientate ad una specifica problematica	Nessuna particolare conoscenza pregressa è necessaria per questo argomento. Le tesine in questo ambito possono richiedere materiale non disponibile in laboratorio e che se non di facile reperibilità potrebbe impedirne lo svolgimento.	Rootkit: Sony XCP Fuzzy Security Bancomat: lettore smartcard vs banda magnetica Banche: OTP vs tesserina con codici Virus e attacchi: mitre Filtri di bloom: voto elettronico, PUF Meccanismi di protezione del registro in differenti sistemi operativi Botnet: wombat VPN: IPSEC vs PPTP Sicurezza SSL (defcon attack) Maintaining Access: Proxy Backdoor Cerification Authority: PKI, X.509, OCSP Hardware Security: Biometric Biblioteche: tag RFID vs lamine antitaccheggio Software antiplagio Sviluppi di attacchi con il linguaggio di metasploit Analisi della distribuzione backtrack

Calendario Primo Incontro: assegnazione progetti

Durante questo incontro verranno discussi i dettagli relativi allo svolgimento dei progetti. Si assume che tutti i membri del gruppo siano presenti all'incontro, in caso di problemi contattemi via email al più presto indicandomi un paio di date in cui potreste essere disponibili

Proposte di un particolare tema per lo svolgimento del progetto nell'ambito dell'argomento prescelto è fortemente incoraggiata.

Vi ricordo che il primo incontro non è soggetto a valutazione, quindi sentitevi liberi di proporre svolgimenti anche poco "ortodossi" senza alcun timore.

In caso non risultiate presenti nell'elenco siete pregati di contattarmi al più presto tramite email, indicandomi i componenti del gruppo e gli argomenti di interesse.

Tutti gli incontri si effettueranno presso la stanza 212 del DIA.

Data Incontro	Argomento	Matricola
9/11 10:00	Privacy/Censura: Navigazione anonima	265713	265613
9/11 10:30	Sicurezza Applicata: Bancomat: lettore smartcard vs banda magnetica	289096	266449
9/11 11:00	DRM/Copyright: P2P	265521	265589
9/11 11:30	Computer Forensic: Costruire un sistema su cui effettuare analisi forense	259222	253249
9/11 12:00	DRM/Copyright: DVD vs Blu RAY security	252810	230836
9/11 12:30	DRM/Copyright: Appstore drm, Itunes e Iphone	241171
9/11 14:30	Privacy/Censura: PGP	266976	265971
9/11 15:00	Privacy/Censura: VOIP - eavesdropping	278734	229602
9/11 15:00	Privacy/Censura: VOIP - eavesdropping	230910	238363
10/11 10:30	Standard per la sicurezza informatica: SOX/Basilea 2	278366	274438
10/11 11:00	Analisi dinamica codice: survey e approfondimenti	69470
10/11 11:30	Analisi statica sorgente: survey e approfondimenti	263986	265536
10/11 12:00	Sicurezza Applicata:DVL	266298
10/11 12:30	DRM/Copyright: Digitale terrestre/satellite - gestione chiavi	240932
10/11 14:30	DRM/Copyright: Meccanismi anticopia console	255654
10/11 15:00	Sicurezza Applicata: SSL/TLS	256479	257928
10/11 15:30	Privacy/Censura: Great firewall of China	253667
10/11 16:00	Visualizzazione e sicurezza	265568	258122	265623
10/11 16:00	Visualizzazione e sicurezza	277200
11/11 10:00	Sicurezza degli RFID	240736	240695
11/11 10:30	Standard per la sicurezza informatica: risk analysis	278683	289170	223858
11/11 11:00	Analisi apparati sicurezza per il networking	420132	256257	256259
11/11 11:30	Analisi apparati di sicurezza per il networking	2525809
11/11 11:30	Analisi apparati di sicurezza per il networking	260199
11/11 12:30	Privacy/Censura: analisi delle implicazioni nei principali Search Engine	289827	241052	240907

Contatti

email: palazzi@dia.uniroma3.it telefono: 0657333215

ufficio: Stanza 212

Dipartimento di Informatica e Automazione
Università di Roma Tre
Via della Vasca Navale, 79
00146, Roma, Italia.

This page is mantained by Bernardo Palazzi