Security & Privacy (Elementi di Sicurezza e Privatezza)
Docente: Andrea Lanzi
AA 2014/2015
News
Avviso Importante: L'esame del 3 Febbraio 2016 si svolgera` alle 10:00 a.m. al laser S223 secondo piano, via Comelico 39, per ogni problema mandatemi una e-mail al mio indirizzo. Si ricorda che l'esame e` accessibile sono agli studenti iscritti al SIFA all'esame dell'appello del 25 Gennaio 2016.Contenuti
- Appelli d'esame
- Notizie generali sul corso
- Logistica e Organizzazione
- Obiettivi Formativi
- Prerequisiti
- Programma
- Materiale didattico
- Calendario delle lezioni
- Modalità d'esame
- Docenti
- 30 Giugno 2015
- 15 Luglio 2015
- 18 Settembre 2015
- 25 Gennaio 2016
Il presente corso è erogato nell'ambito del corso di laurea triennale in Informatica nuovo ordinamento e può essere seguito da tutti gli stessi delle lauree triennali. Questo corso sostituisce quello di Sicurezza dei Sistemi e delle Reti presente nei corsi di laurea del vecchio ordinamento: Informatica, Comunicazione Digitale e Informatica Musicale. Gli studenti di questi corsi di laurea possono quindi seguire e sostenere l'esame relativo a questo corso che sarà poi verbalizzato con la vecchia dicitura.
Si tratta di un corso di 6 crediti, per il quale è prevista un'attività didattica di circa 48 ore (28 ore di teoria + 20 ore di laboratorio), ed un impegno di studio, per lo studente, in regola con i prerequisiti, di 100 ore circa.
Logistica e Organizzazione
Le lezioni si tengono nell'aula DELTA Dipartimento di informatica via Comelico 39/41, nella giornata di Martedi dalle 10.30 alle 12.30 e il Giovedi dalle 10.30 alle 12.30.
Obiettivi formativi
Al termine del corso lo studente che supererà con profitto il relativo esame sarà in grado di:
- Definire e descrivere le principali criticità in termini di sicurezza di un sistema informatico
- Descrivere per sommi capi l'evoluzione storica dell'hacking
- Definire e descrivere con precisione le principali funzionalità di sicurezza offerte da un sistema operativo
- Descrivere i più importanti protocolli crittografici adottati nell'ambito della computer security
- Descrivere le principali vulnerabilità del software e dei protocolli di rete
- Descrivere le principali tipologie di malware
- Descrivere i principali aspetti economici della sicurezza
- Descrivere per sommi capi il rapporto tra security e privacy
- Implementare politiche di controllo degli accessi elementari sui sistemi operativi Windows e Linux
- Implementare meccanismi di autenticazione forte
- Installare e usare strumenti crittografici
- Installare e configurare Firewall e IDS su rete di piccole dimensioni.
Prerequisiti
Al fine di poter trarre il massimo profitto dalla frequentazione di questo corso gli studenti dovrebbero aver seguito con profitto gli esami di:
- Architetture I
- Sistemi operativi I e II
- Reti di calcolatori.
Gli argomenti trattati in questi corsi e di utilità al corso di sicurezza sono dati per acquisiti. Sarà compito dello studente, che ancora non li possedesse, acquisirli autonomamente.
Programma del corso di teoria
- Concetti introduttivi
- Elementi di crittografia
- Meccanismi del SO per la protezione dei sistemi
- Principali vulnerabilità del SW
- Principali vulnerabilità dei protocolli di rete
- Il Malware
- Sistemi di protezione: Autenticazione forte, firewall e IDS
- La gestione della sicurezza in azienda
- Elementi di Computer Privacy
- Sicurezza Mobile Android
Programma di Laboratorio
- Meccanismi di sicurezza nei sistemi UNIX/Windows
- PGP/GPG
- Buffer Overflow
- Attacchi Web
- Firewall & IDS
Materiale didattico
Il libro di testo adottato per quest'anno è:
Computer Security Autore: Dieter Gollmann, Third edition.
lista dei capitoli del libro visti a lezione: 1, 3, 4, 6, 8, 10, 14, 16, 18
Alcune parti del corso saranno invece svolte facendo riferimento a materiale elettronico presente in rete, per ulteriori riferimenti consultare il calendario del corso.
Orario e argomenti delle lezioni
Segue l'orario settimanale del corso, con gli argomenti trattati nelle lezioni e il relativo materiale di riferimento per lo studio e l'approfondimento dei temi trattati a lezione. Questo elenco puoò essere modificato senza preavviso per motivi di ordine didattico.
| Data | Argomento | Materiale didattico | Tipo attività | Ultimo aggiornamento |
|---|---|---|---|---|
| 3 Marzo | History of Computer Security | Cap. 1 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 5 Marzo | Security Foundations | Cap. 3 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 10 Marzo | Reference Monitors | Cap. 6 Slide Protection 80386 |
Didattica frontale | 17 Febbraio 2015 |
| 12 Marzo | Identification & Authentication | Cap. 4 slide Password scheme |
Didattica frontale | 17 Febbraio 2015 |
| 17 Marzo | Unix Security | Cap. 7 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 19 Marzo | Software Security (Memory Errors) | Cap. 10 Slide syssec_10K_BO_slide |
Didattica frontale | 17 Febbraio 2015 |
| 26 Marzo | Software Security (Defence) | Cap. 10 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 31 Marzo | UNIX Security Lab (1) |
UNIX Permission(1) Virtual Machine |
Laboratorio | 17 Febbraio 2015 |
| 9 Aprile | Cryptography Introduction | Cap. 14 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 14 Aprile | UNIX Security Lab (2) |
UNIX Permission(2) Virtual Machine |
Laboratorio | 17 Febbraio 2015 |
| 16 Aprile | Network Security | Cap. 17 Slide Kaminskys's DNS Attack |
Didattica frontale | 17 Febbraio 2015 |
| 21 Aprile | PGP/GPG: use of GnuPG |
GNUPG Tool |
Laboratorio | 17 Febbraio 2015 |
| 23 Aprile | Communications Security (IPsec, SSL, etc.) | Cap. 16 Slide |
Didattica frontale | 17 Febbraio 2015 |
| 28 Aprile | Software Security Buffer overflow |
Buffer Overflow Lab GDB Cheat Sheet Gera stack exercise Challenge1 (Credit W3challs) Challenge2 (Credit W3challs) |
Laboratorio | 17 Febbraio 2015 | 30 Aprile | Web Security (1) | Cap. 18 Slide OWASP |
Didattica frontale | 17 Febbraio 2015 |
| 5 Maggio | Web Security Lab (1) |
Web Security Lab (1) Web Security Games (1) | Laboratorio | 17 Febbraio 2015 |
| 7 Maggio | Web Security Lab (1a) |
Web Security Lab (1) Web Security Games (1) | Laboratorio | 17 Febbraio 2015 |
| 12 Maggio | Underground Economy I |
Pay-per-Install: Video Pay-per-Install: Slide Pay-per-Install: Paper |
Didattica frontale | 17 Febbraio 2015 |
| 14 Maggio | Web Security Lab (2) |
Web Security Lab (2) | Laboratorio | 17 Febbraio 2015 |
| 19 Maggio | Web Security Lab (3) |
Web Security Games (2) XSS Google Game | Laboratorio | 17 Febbraio 2015 |
| 21 Maggio | Underground Economy II |
CyberProbe: Slide CyberProbe: Paper |
Didattica frontale | 17 Febbraio 2015 |
| 26 Maggio | Network Security Lab | Network Security Lab Network Security Lab Creazione rete locale con VM e macchina OpenBSD |
Laboratorio | 17 Febbraio 2015 | 28 Maggio | Network Security Lab |
Network Challenge 1 Network Challenge 2 Network Challenge 3 WireShark Tutorial information about HID descriptors, see USB HID spec |
Laboratorio | 17 Febbraio 2015 | 4 Giugno | Privacy |
Privacy Video Edward Snow interview | Didattica frontale | 17 Febbraio 2015 |
Docenti
- Prof. Andrea Lanzi
- Ufficio: S242 in Via Comelico 39
- Ricevimento studenti: su appuntamento
- E-mail:andrea.lanzi_at_unimi.it