Progetti del corso di:
Sicurezza dei Sistemi Informatici e delle Reti
Anno Accademico 2009-2010
Responsabile: Bernardo Palazzi
ATTENZIONE: l'uso errato delle tecniche studiate all'interno dei progetti del corso di Sicurezza dei Sistemi Informatici e delle Reti può costituire reato secondo l'ordinamento vigente. Scopo di questi progetti è lo studio di tali tecniche ai soli fini didattici. Agli studenti è richiesto di svolgerle solo sulle apparecchiature preposte all'interno del laboratorio di reti di calcolatori, ed eventualmente su apparecchiature di loro proprietà. Si declina ogni responsabilità per le azioni svolte fuori dal suddetto contesto. In nessun caso è autorizzato l'utilizzo di tali tecniche all'interno della rete dipartimentale e d'ateneo.Il progetto deve essere svolto
all’interno del
periodo didattico del corso e la valutazione del progetto contribuisce
per un terzo al voto d’esame finale del corso di "Sicurezza dei sistemi
informatici e delle reti".
Per il progetto gli studenti formano un
gruppo composto da 2 elementi, in caso di problemi nella formazione
di un gruppo si prega di contattare il docente.
Ogni gruppo indica in ordine decrescente di preferenza
quattro argomenti proposti, opzionalmente, può essere aggiunto un
argomento proposto dal gruppo, sempre inerente la sicurezza
informatica, la cui idoneità verrà valutata dal docente.
Il referente del gruppo dovrà inviare un’email a palazzi@dia.uniroma3.it
contenente
L’assegnazione avverrà seguendo l’ordine di arrivo dell'email del gruppo con un approccio first - come, first - served ma si valuteranno anche le abilità e le motivazioni del gruppo con un approccio best - sit.
Ogni gruppo avrà a disposizione tre incontri con il docente per discutere del progetto:
In caso di problemi significativi
durante lo
svolgimento del progetto è possibile richiedere tramite email incontri
aggiuntivi che verranno stabiliti compatibilmente con gli impegni del
docente.
Scadenze
I gruppi dovranno essere comunicati entro il 25/10/2009 alle ore 23:59, tramite email a palazzi@dia.uniroma3.it
I progetti sono suddivisi secondo le seguenti macro aree, le aree evidenziate mostrano che c'è l'interesse di almeno un gruppo su quel progetto.
Argomento | Obiettivo | Note | Esempi |
Standard per la sicurezza informatica | Analisi e comparazione tra differenti standard e best practices propri della sicurezza informatica, in ambito nazionale e internazionale. | Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito non richiedono l'utilizzo del laboratorio, quindi sono particolarmente adatte a chi ha problemi per lo svolgimento in dipartimento |
Standard per Risk Analysis: ISO
28000, CRAMM, Cobra Regulatory Aspects: SOX, Basilea 2 Infrastrutture critiche: scada e interdipendenza Firewall log: WebTrends Enhanced Log Format (WELF) certification Penetration Test: OWASP, OSSTMM 3.0 |
Analisi statica e dinamica della sicurezza del codice sorgente | L'analisi statica
del codice (SCA)
ha in generale lo scopo di anticipare l'individuazione di potenziali
problemi di performance e di difetti o vulnerabilità del codice. L'analisi dinamica del codice consiste individuare le vulnerabilità di un programma esaminando esclusivamente il codice binario, potendo così trattare anche applicazioni per le quali non si dispone del codice sorgente. |
Conoscenza
approfondita di almeno un linguaggio di programmazione è fortemente
consigliata per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Survey sullo
stato dell'arte e approfondimento su particolari strumenti. Reverse engineering del codice |
Sicurezza degli RFID | L'attività prevede lo studio di problematiche riguardanti la sicurezza degli RFID presenti nella letteratura scientifica di riferimento. Ogni gruppo dovrà realizzare un attacco tra quelli noti in letteratura con il materiale disponibile in laboratorio. Una lista degli articoli sulla sicurezza degli RFID è disponibile al seguente indirizzo: http://www.avoine.net/rfid/ | Propensione a svolgere
l'attività su strumenti ad uno stadio iniziale di sviluppo e che quindi
richiedono una forte flessibilità da parte dello studente
nell'utilizzarli. L'utilizzo degli apparati RFID sarà limitato all'interno del laboratorio. Le tesine in questo ambito richiedono l'utilizzo di particolari apparecchiature e quindi necessitano di essere svolte all'interno del dipartimento. |
PUF (Physical Unclonable
Functions) tag che non permettono la possibilità di essere copiati, Mifare tag utilizzati per badge (biglietti e abbonamenti per i trasporti, carte di credito, tessere identificative per accesso in aree protette, ecc. L'elenco degli apparati è disponibile al seguente indirizzo: http://www.dia.uniroma3.it/ ~compunet/www/view/inventory.php?id=compunet#rfid-readers |
Analisi apparati sicurezza per il networking | L'attività prevede l'analisi e il test delle funzionalità di sicurezza di un apparato di rete tra quelli disponibili nel laboratorio e una demo contenente la realizzazione di una configurazione di rete sicura. | Conoscenza
approfondita dei protocolli di rete e fortemente consigliata qualche
esperienza con la configurazione di apparati di rete domestici. L'utilizzo degli apparati di rete sarà limitato all'utilizzo in laboratorio. Le tesine in questo ambito richiedono l'utilizzo di particolari apparecchiature e quindi necessitano di essere svolte all'interno del dipartimento. |
Prove di
carico sugli apparati tramite smartbits. Analisi comparativa funzionalità tramite differenti apparati L'elenco di parte degli apparati è disponibile al seguente indirizzo: http://www.dia.uniroma3.it/ ~compunet/www/view/inventory.php?id=compune |
Privacy/Censura |
Per privacy si intende comunemente il diritto della persona di impedire che le informazioni che la riguardano vengano trattate da altri, a meno che il soggetto non abbia volontariamente prestato il proprio consenso. Tale termine indica oggi il diritto al controllo sui propri dati personali. Per censura si intende il controllo della comunicazione verbale o di altre forme di espressione da parte di una autorità. |
Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Privacy nei motori di ricerca
(web archive) Navigazione anonima (private browsing, TOR, Freenet, fooldns) Great firewall of China email: PGP voip: eavesdropping |
Visualizzazione e sicurezza | L'attività prevede l'utilizzo di software libero per la security visualization per visualizzare attacchi standard alla sicurezza. L'obiettivo della visualizzazione è creare delle immagini che permettano di catalogare tracce grafiche di attacchi. Tale catalogo servirà a identificare in modo visuale attacchi. | Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Software libero per la visualizzazione può essere reperito, non esclusivamente, all'interno della distribuzione Linux Live per visualizzazione DAVIX disponibile al seguente indirizzo: http://www.secviz.org/node/89 Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Prototipo (anche cartaceo) per la visualizzazione di politche di firewall / ids |
Computer Forensic | L'informatica forense (Computer Forensics) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici. | Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Costruire un sistema su cui
effettuare analisi forense Live forensic Strumenti anti analisi forense, plausible deniability. |
DRM/Copyright |
DRM, cioé "gestione dei diritti digitali", si intende l'insieme dei sistemi tecnologici mediante i quali i titolari didiritto d'autore possono esercitare ed amministrare tali diritti nell'ambiente digitale , grazie alla possibilità di rendere protette, identificabili e tracciabili le opere di cui sono autori. |
Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Itunes, appstore DRM P2P analisi (isohunt, hexagon, darknet) DVD vs Blu RAY security Meccanismi anticopia console Digitale terrestre/satellite: gestione chiavi |
Secure Arithmetic Coding | Compressione e crittografia
solitamente sono trattati come metodi distinti ed applicati
indipendentemente. Sono di particolare interesse le tecniche utilizzate
per rendere metodi di compressione dei codici crittografici. I progetti saranno incentrati sullo studio di tecniche crittografiche su codici utilizzati per la compressione |
Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento. |
Tecniche per rendere
sicuro l'arithmetic coding Attacchi alla segretezza dell'arithmetic coding; Codici per la cifratura di formati multimediali (JPEG2000). |
Sicurezza applicata | Insieme di tematiche di sicurezza informatica, fortemente orientate ad una specifica problematica | Nessuna particolare conoscenza
pregressa è necessaria per questo argomento. Le tesine in questo ambito possono richiedere materiale non disponibile in laboratorio e che se non di facile reperibilità potrebbe impedirne lo svolgimento. |
Rootkit: Sony XCP Fuzzy Security Bancomat: lettore smartcard vs banda magnetica Banche: OTP vs tesserina con codici Virus e attacchi: mitre Filtri di bloom: voto elettronico, PUF Meccanismi di protezione del registro in differenti sistemi operativi Botnet: wombat VPN: IPSEC vs PPTP Sicurezza SSL (defcon attack) Maintaining Access: Proxy Backdoor Cerification Authority: PKI, X.509, OCSP Hardware Security: Biometric Biblioteche: tag RFID vs lamine antitaccheggio Software antiplagio Sviluppi di attacchi con il linguaggio di metasploit Analisi della distribuzione backtrack |
Durante questo incontro verranno discussi i dettagli relativi allo
svolgimento dei progetti. Si assume che tutti i membri del gruppo siano presenti
all'incontro, in caso di problemi contattemi via email al più presto indicandomi
un paio di date in cui potreste essere disponibili
Proposte di un particolare tema per lo svolgimento del progetto nell'ambito
dell'argomento prescelto è fortemente incoraggiata. Vi ricordo che il primo incontro non è soggetto a valutazione, quindi
sentitevi liberi di proporre svolgimenti anche poco "ortodossi" senza alcun
timore. In caso non risultiate presenti nell'elenco siete pregati di contattarmi al
più presto tramite email, indicandomi i componenti del gruppo e gli argomenti di
interesse. Tutti gli incontri si effettueranno presso la stanza 212 del DIA.
Data Incontro | Argomento | Matricola | ||
9/11 10:00 | Privacy/Censura: Navigazione anonima | 265713 | 265613 | |
9/11 10:30 | Sicurezza Applicata: Bancomat: lettore smartcard vs banda magnetica | 289096 | 266449 | |
9/11 11:00 | DRM/Copyright: P2P | 265521 | 265589 | |
9/11 11:30 | Computer Forensic: Costruire un sistema su cui effettuare analisi forense | 259222 | 253249 | |
9/11 12:00 | DRM/Copyright: DVD vs Blu RAY security | 252810 | 230836 | |
9/11 12:30 | DRM/Copyright: Appstore drm, Itunes e Iphone | 241171 | ||
9/11 14:30 | Privacy/Censura: PGP | 266976 | 265971 | |
9/11 15:00 | Privacy/Censura: VOIP - eavesdropping | 278734 | 229602 | |
9/11 15:00 | Privacy/Censura: VOIP - eavesdropping | 230910 | 238363 | |
10/11 10:30 | Standard per la sicurezza informatica: SOX/Basilea 2 | 278366 | 274438 | |
10/11 11:00 | Analisi dinamica codice: survey e approfondimenti | 69470 | ||
10/11 11:30 | Analisi statica sorgente: survey e approfondimenti | 263986 | 265536 | |
10/11 12:00 | Sicurezza Applicata:DVL | 266298 | ||
10/11 12:30 | DRM/Copyright: Digitale terrestre/satellite - gestione chiavi | 240932 | ||
10/11 14:30 | DRM/Copyright: Meccanismi anticopia console | 255654 | ||
10/11 15:00 | Sicurezza Applicata: SSL/TLS | 256479 | 257928 | |
10/11 15:30 | Privacy/Censura: Great firewall of China | 253667 | ||
10/11 16:00 | Visualizzazione e sicurezza | 265568 | 258122 | 265623 |
10/11 16:00 | Visualizzazione e sicurezza | 277200 | ||
11/11 10:00 | Sicurezza degli RFID | 240736 | 240695 | |
11/11 10:30 | Standard per la sicurezza informatica: risk analysis | 278683 | 289170 | 223858 |
11/11 11:00 | Analisi apparati sicurezza per il networking | 420132 | 256257 | 256259 |
11/11 11:30 | Analisi apparati di sicurezza per il networking | 2525809 | ||
11/11 11:30 | Analisi apparati di sicurezza per il networking | 260199 | ||
11/11 12:30 | Privacy/Censura: analisi delle implicazioni nei principali Search Engine | 289827 | 241052 | 240907 |
email: palazzi@dia.uniroma3.it telefono: 0657333215
ufficio: Stanza 212
Dipartimento di
Informatica e Automazione
Università di
Roma Tre
Via della Vasca Navale, 79
00146, Roma, Italia.
This page is mantained by Bernardo Palazzi