Fornire le competenze necessarie per comprendere e fronteggiare problematiche di sicurezza nell'ambito delle reti e dei sistemi informatici, per progettare sistemi informatici e reti con un certo livello di sicurezza e per gestire le attività legate alla sicurezza informatica anche in riferimento gli obblighi normativi italiani.
scheda docente
materiale didattico
- Introduzione alla sicurezza informatica e terminologia
- Vulnerabilità del software input fidato e non fidato, validazione dell'input. Vulnerabilità di applicazioni scritte in linguaggi interpretati, code injection. Injection in pagine web: XSS. Cross site request forgery. OWASP. Esempio di sito vulnerabile a sql injection.
- Attacchi di tipo buffer overflow. Exploitation: privilege excalation, intrusioni via rete tramite servizi aperti, intrusione via documenti non fidati (via email, via web o altro).
esempio di codice vulnerabile a buffer overflow e relativo exploit
- Vulnerabilità delle reti: sniffing, mac flood, ARP poisoning, vulnerabilità del DNS, attacco di Kaminsky. TCP session hijacking, attacchi MitM, DOS e Distributed DoS, Route hijacking.
- Pianificazione della sicurezza: contenuti del piano di sicurezza, analisi dei rischi.
- Principi di progettazione di politiche e meccanismi
- Modelli: AAA, confinamento, DAC, MAC, access control matrix
- Considerazioni sui sistemi per la rilevazione automatica dei problemi
- Sicurezza dei sistemi: principi generali (passwords e vulnerabilità, metodologia di hardening, assessment e auditing). unix (controllo di accesso discrezionario, sicurezza nel filesystem, autenticazione, PAM, syslog)
- Sicurezza delle reti: sicurezza a livello 1 e 2, firewall stateless e stateful, linux netfilter ed esempi di configurazioni, proxy e loro vulnerabilità. Suddivisioni di carico e full high-availability. Intrusion detection systems di rete.
- Tecniche crittografiche: richiami di crittografia (hash, simmetrica, asimmetrica, MAC, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali.
- Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces. Perfect Forward Secrecy. Diffie-Helman.
- Certificati, certification authority, public key infrastructure e loro vulnerabilità. Applicazioni: Porotocolli ssl, tls, ssh, virtual private network, ipsec, ecc. Protocolli di autenticazione punto-punto e in rete locale. radius e vulnerabilità. Altre applicazioni.
- Authenticated Data Structures
- Distributed Ledger Technologies and Bitcoin
- Smart contracts
- Cybersecurity nelle grandi organizzazioni
Programma
- Introduzione al corso- Introduzione alla sicurezza informatica e terminologia
- Vulnerabilità del software input fidato e non fidato, validazione dell'input. Vulnerabilità di applicazioni scritte in linguaggi interpretati, code injection. Injection in pagine web: XSS. Cross site request forgery. OWASP. Esempio di sito vulnerabile a sql injection.
- Attacchi di tipo buffer overflow. Exploitation: privilege excalation, intrusioni via rete tramite servizi aperti, intrusione via documenti non fidati (via email, via web o altro).
esempio di codice vulnerabile a buffer overflow e relativo exploit
- Vulnerabilità delle reti: sniffing, mac flood, ARP poisoning, vulnerabilità del DNS, attacco di Kaminsky. TCP session hijacking, attacchi MitM, DOS e Distributed DoS, Route hijacking.
- Pianificazione della sicurezza: contenuti del piano di sicurezza, analisi dei rischi.
- Principi di progettazione di politiche e meccanismi
- Modelli: AAA, confinamento, DAC, MAC, access control matrix
- Considerazioni sui sistemi per la rilevazione automatica dei problemi
- Sicurezza dei sistemi: principi generali (passwords e vulnerabilità, metodologia di hardening, assessment e auditing). unix (controllo di accesso discrezionario, sicurezza nel filesystem, autenticazione, PAM, syslog)
- Sicurezza delle reti: sicurezza a livello 1 e 2, firewall stateless e stateful, linux netfilter ed esempi di configurazioni, proxy e loro vulnerabilità. Suddivisioni di carico e full high-availability. Intrusion detection systems di rete.
- Tecniche crittografiche: richiami di crittografia (hash, simmetrica, asimmetrica, MAC, firma digitale), attacchi birthday, rainbow, qualità delle chiavi, generazione di numeri pesudo-casuali.
- Protocolli di autenticazione e di scambio di chiavi. Attacchi replay e reflection. Nonces. Perfect Forward Secrecy. Diffie-Helman.
- Certificati, certification authority, public key infrastructure e loro vulnerabilità. Applicazioni: Porotocolli ssl, tls, ssh, virtual private network, ipsec, ecc. Protocolli di autenticazione punto-punto e in rete locale. radius e vulnerabilità. Altre applicazioni.
- Authenticated Data Structures
- Distributed Ledger Technologies and Bitcoin
- Smart contracts
- Cybersecurity nelle grandi organizzazioni
Testi Adottati
Dispense del corso.Modalità Valutazione
nel periodo di emergenza COVID-19 l’esame di profitto sarà svolto secondo quanto previsto all’art.1 del Decreto Rettorale n°. 703 del 5 maggio 2020