Progetti del corso di: Sicurezza dei Sistemi Informatici e delle Reti
Anno Accademico 2010-2011
Responsabile: Bernardo Palazzi

ATTENZIONE: l'uso errato delle tecniche studiate all'interno dei progetti del corso di Sicurezza dei Sistemi Informatici e delle Reti può costituire reato secondo l'ordinamento vigente. Scopo di questi progetti è lo studio di tali tecniche ai soli fini didattici. Agli studenti è richiesto di svolgerle solo sulle apparecchiature preposte all'interno del laboratorio di reti di calcolatori, ed eventualmente su apparecchiature di loro proprietà. Si declina ogni responsabilità per le azioni svolte fuori dal suddetto contesto. In nessun caso è autorizzato l'utilizzo di tali tecniche all'interno della rete dipartimentale e d'ateneo.

Regole per l'Iscrizione al Progetto

Il progetto deve essere svolto all’interno del periodo didattico del corso e la valutazione del progetto contribuisce per un credito al voto d’esame finale del corso di "Sicurezza dei sistemi informatici e delle reti".
Per il progetto gli studenti formano un gruppo composto da 1 a 3 studenti a seconda del tipo di progetto scelto. Ogni macro categoria di progetto avrà indicato un numero consigliato di studenti, modifiche a tale numero dovranno essere approvate esplicitamente dal docente tramite email. 

Il referente di ogni gruppo per avere assegnato un progetto deve effettuare la seguente operazione:

oggetto dell'email: [SSIR10] + il macro-argomento prescelto + nome gruppo
corpo dell'email:


L’assegnazione avverrà seguendo l’ordine di arrivo dell'email del gruppo  con un approccio first - come, first - served ma si valuteranno anche le abilità e le motivazioni del gruppo con un approccio best - fit.  I gruppi avranno a disposizione una pagina facebook del corso dove potranno scambiare informazioni e chiedere domande ai docenti. A richiesta potrà essere organizzato un incontro via skype con singoli gruppi. Durante lo svolgimento del corso saranno effettuati alcuni incontri collettivi all'interno delle lezioni.  

Argomenti per il Progetto

Argomento Obiettivo Note Esempi
Bug Hunting
 Comprendere le metodologie per individuare bug (ad es. vulnerabilità, errori di programmazione, ecc.) all'interno di software open source  o proprietari
L'individuazione di nuove vulnerabilità benché non sia ne richiesta ne necessaria ai fini dell'ottenimento costituirà un plus.

 Conoscenza approfondita di almeno un linguaggio di programmazione e una forte motivazione sono decisamente consigliate per questo argomento.
Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore quindi non necessitano di essere svolte all'interno del dipartimento.
Si consigliano gruppi da 2 o 3 studenti.
 Il software  può essere scelto all'interno di un qualunque progetto di sourceforge o sotto licenza GPL.
Tecniche di analisi statica 
L'analisi statica del codice (SCA) ha in generale lo scopo di anticipare l'individuazione di potenziali problemi di performance e di difetti o vulnerabilità del codice.
L'analisi dinamica del codice consiste individuare le vulnerabilità di un programma esaminando esclusivamente il codice binario, potendo così trattare anche applicazioni per le quali non si dispone del codice sorgente.
Sicurezza degli RFID L'attività prevede lo studio di problematiche riguardanti la sicurezza degli RFID presenti nella letteratura scientifica di riferimento. Ogni gruppo dovrà realizzare un attacco tra quelli noti in letteratura con il materiale disponibile in laboratorio.  Una lista degli articoli sulla sicurezza degli RFID è disponibile al seguente indirizzo: http://www.avoine.net/rfid/ Propensione a svolgere l'attività su strumenti ad uno stadio iniziale di sviluppo e che quindi richiedono una forte flessibilità da parte dello studente nell'utilizzarli.
L'utilizzo degli apparati RFID sarà limitato all'interno del laboratorio.
Le tesine in questo ambito richiedono l'utilizzo di particolari apparecchiature e quindi necessitano di essere svolte all'interno del dipartimento.
  • Gestione della sicurezza in una supply chain tramite RFID
  • PUF (Physical Unclonable Functions) tag che non permettono la possibilità di essere copiati,
  • Mifare tag utilizzati per badge (biglietti e abbonamenti per i trasporti, carte di credito, tessere identificative per accesso in aree protette, ecc.

 L'elenco degli apparati è disponibile al seguente indirizzo: http://tocai.dia.uniroma3.it/labs-wiki/index.php/RFID_Equipment
Analisi dei protocolli di sicurezza delle reti
 L'attività prevede l'analisi dettagliata di un protocollo di rete per la gestione della sicurezza, che dovrà essere supportata da almeno un paio di esempi presi dal mondo reale effettuati tramite un dump diuno sniffer.  Tale dump dovrà illustrare i passaggi del protocollo nei vari casi e illustrare eventuali differenze tra: la versione prevista dallo standard e l'implementazione analizzata,  versioni del protocollo, sistemi operativi, browser, fornitori di servizio, ecc.
 E' consigliato avere una conoscenza di base dei protocolli di rete e qualche esperienza con strumenti come: wireshark,   tcpdump, ecc.
Le tesine in questo ambito richiedono il solo utilizzo di un calcolatore, di tool free e di una connessione a internet, quindi non necessitano di essere svolte all'interno del dipartimento.
Progetto particolarmente indicato per gruppi individuali.

 Protocolli possibili:
  • SSL/TLS
  • LDAP
  • VPN: IPSEC, PPTP, L2TP
  • NTLM v1/v2
  • PPP: CHAP, MSCHAP, PAP
  • KERBEROS
  • IKE (Internet Key Exchange)
  • RADIUS
  • SLIP
  • 802.1X
  • ecc.
Uno stesso protocollo può essere assegnato anche a gruppi individuali diversi purche' utilizzino casi di studio differenti.
Sicurezza di dispositivi mobili
Analisi dei metodi di sicurezza presenti all'interno di un dispositivo mobilie. L'analisi dovrà avere un taglio sistemistico, esaminando in particolare i meccanismi di access control, autenticazione, firewalling presenti all'interno dei principali sistemi operativi per dispositivi mobili (Android, Blackberry OS, IOS, Symbian, windows mobile, ecc.)
La disponibilità di un apparato mobile con un sistema operativo utilizzabile o di un emulatore è necessario per lo svolgimento di questo progetto.
Le tesine in questo ambito possono richiedere materiale non disponibile in laboratorio e che se non di facile reperibilità potrebbe impedirne lo svolgimento.		 possibili scenari in cui è importante comprendere la sicurezza:
  • Perdita o furto del dispositivo mobile, esposizione di dati
  • Intercettazione dei dati che vengono trasferiti tramite reti wi-fi o cellulari
  • Cattura di dati tramite conessioni Bluetooth 
  • Mobile virus (inclusi virus via email )
possibili tecniche di sicurezza da analizzare:
  • protezione password
  • protezione dati su memoria interna o su card esterne
  • protezione dati sulla sim (ad es. credito)
  • cifratura dati
  • protezione (ad es. jail) dei dati all'interno di singole applicazione di terze parti
  • cancellazione sicura dati (wipe)
  • supporto a certificati digitali di sicurezza
  • ecc.

Assegnazione Progetti

Nella pagina seguente http://www.dia.uniroma3.it/~palazzi/SSIR10/progetti.html sono indicati i progetti assegnati ai differenti gruppi.

Il campo gruppo ha indicata la matricola quando il nome del gruppo non garantiva un'adeguata privacy.

Il campo proposta riporta la proposta che ho ricevuto dal responsabile del gruppo.

Il campo note riporta alcune considerazioni e suggerimenti sulla proposta. Tutti i progetti che hanno l'ok possono essere iniziati a essere svolti senza alcun problema se già non si è cominciato. I progetti che richiedono dettagli aggiuntivi possono anche essere iniziati ma tenendo presente che non ho ricevuto abbastanza dettagli per comprenderne gli obiettivi. In tali casi vi suggerisco di contattarmi sia via facebook che via email.

I gruppi che non si trovano nella pagina indicata precedentemente sono pregati di contattarmi al più presto poiché non ho ricevuto alcuna comunicazione a riguardo.

Scadenze

I gruppi dovranno essere comunicati entro le 23:59 del 8/12/2010 12/12/2010 secondo le regole descritte in questo documento.

Consegna del Progetto

La consegna del progetto prevede:

Pubblicazione del Progetto su Wiki-SSIR

Nell'ambito del corso di sicurezza è attivo un wiki per lo svolgimento dei progetti. Vi ricordo che la partecipazione al wiki non è obbligatoria, ma nel caso decidiate di utilizzarlo dovrete scrivere i  testi in inglese (la qualità dell'inglese non sarà oggetto di valutazione purché il testo sia comprensibile ;) ). La collaborazione al Wiki sostituisce completamente la tesina,  chi lavora sul Wiki non dovrà comporre anche la tesina.

L'indirizzo a cui è raggiungibile il Wiki è il seguente:
http://tocai.dia.uniroma3.it/ssir-wiki/index.php/Main_Page
Le regole per poter postare sono le seguenti:
1- bisogna effettuare la richiesta di registrazione al seguente link:
     http://tocai.dia.uniroma3.it/ssir-wiki/index.php/Special:RequestAccount
     lo username dovrà essere la vostra matricola e nelle note dovrete inserire l'argomento assegnato. Ogni membro di ciascun gruppo con un progetto fissato e che voglia lavorare su Wiki è tenuto a registrarsi
2- riceverete una email di conferma per la richiesta di registrazione effettuata alla email che avrete indicato.
3- successivamente riceverete una seconda email di avvenuta registrazione dopo la mia verifica e approvazione.
4 - a questo punto potete iniziare a scrivere sul Wiki

La collaborazione tra gruppi anche su  di una stessa voce è incoraggiata.
 
Ricordatevi che il wiki mantiente log di qualunque informazione venga pubblicata e quindi mi aspetto un utilizzo responsabile da parte di tutti voi. Utilizzi scorretti (ad es. defacement, spoofing, ecc.) verranno sanzionati.

Contatti

email: palazzi@dia.uniroma3.it
 Dipartimento di Informatica e Automazione
Università di Roma Tre
Via della Vasca Navale, 79
00146, Roma, Italia.

This page is mantained by Bernardo Palazzi