Security & Privacy (Elementi di Sicurezza e Privatezza)
Docente: Andrea Lanzi
AA 2015/2016
News
- L'esame del 27 Gennaio 2017, svolgera` dalle 11:00 al laboratorio Laser dipartimento di informatica secondo piano
- L'esame del 13 Gennaio 2017 e` posticipato al 20 Gennaio 2017 si svolgera` presso il laboratorio LAser secondo piano stanza S223 del dipartimento di informatica via Comelico, 39/41, 20135 Milano dalle ore 9:30-9:45
Contenuti
- Appelli d'esame
- Notizie generali sul corso
- Logistica e Organizzazione
- Obiettivi Formativi
- Prerequisiti
- Programma
- Materiale didattico
- Calendario delle lezioni
- Docenti
- 24 Giugno 2016
- 14 Luglio 2016
- 2 Settembre 2016
- 13 Gennaio 2017
- 27 Gennaio 2017
- 24 Febbraio 2017
Il presente corso è erogato nell'ambito del corso di laurea triennale in Informatica nuovo ordinamento e può essere seguito da tutti gli stessi delle lauree triennali. Questo corso sostituisce quello di Sicurezza dei Sistemi e delle Reti presente nei corsi di laurea del vecchio ordinamento: Informatica, Comunicazione Digitale e Informatica Musicale. Gli studenti di questi corsi di laurea possono quindi seguire e sostenere l'esame relativo a questo corso che sarà poi verbalizzato con la vecchia dicitura.
Si tratta di un corso di 6 crediti, per il quale è prevista un'attività didattica di circa 48 ore (28 ore di teoria + 20 ore di laboratorio), ed un impegno di studio, per lo studente, in regola con i prerequisiti, di 100 ore circa.
Logistica e Organizzazione
Le lezioni si tengono nell'aula SALA LAUREE Dipartimento di informatica via Comelico 39/41, nella giornata di Lunedi dalle 11.30 alle 13.30 e il Mercoledi in aula ALFA dalle 12.30 alle 14.30.
Obiettivi formativi
Al termine del corso lo studente che supererà con profitto il relativo esame sarà in grado di:
- Definire e descrivere le principali criticità in termini di sicurezza di un sistema informatico
- Descrivere per sommi capi l'evoluzione storica dell'hacking
- Definire e descrivere con precisione le principali funzionalità di sicurezza offerte da un sistema operativo
- Descrivere i più importanti protocolli crittografici adottati nell'ambito della computer security
- Descrivere le principali vulnerabilità del software e dei protocolli di rete
- Descrivere le principali tipologie di malware
- Descrivere i principali aspetti economici della sicurezza
- Descrivere per sommi capi il rapporto tra security e privacy
- Implementare politiche di controllo degli accessi elementari sui sistemi operativi Windows e Linux
- Implementare meccanismi di autenticazione forte
- Installare e usare strumenti crittografici
- Installare e configurare Firewall e IDS su rete di piccole dimensioni.
Prerequisiti
Al fine di poter trarre il massimo profitto dalla frequentazione di questo corso gli studenti dovrebbero aver seguito con profitto gli esami di:
- Architetture I
- Sistemi operativi I e II
- Reti di calcolatori.
Gli argomenti trattati in questi corsi e di utilità al corso di sicurezza sono dati per acquisiti. Sarà compito dello studente, che ancora non li possedesse, acquisirli autonomamente.
Programma del corso di teoria
- Concetti introduttivi
- Elementi di crittografia
- Meccanismi del SO per la protezione dei sistemi
- Principali vulnerabilità del SW
- Principali vulnerabilità dei protocolli di rete
- Sistemi di protezione: Autenticazione forte, firewall e IDS
- La gestione della sicurezza in azienda
- Elementi di Computer Privacy
Programma di Laboratorio
- Meccanismi di sicurezza nei sistemi UNIX/Windows
- PGP/GPG
- Buffer Overflow
- Attacchi Web
- Firewall & IDS
Materiale didattico
Il libro di testo adottato per quest'anno è:
Computer Security Autore: Dieter Gollmann, Third edition.
lista dei capitoli del libro visti a lezione: 1, 3, 4, 6, 8, 10, 14, 16, 18
Alcune parti del corso saranno invece svolte facendo riferimento a materiale elettronico presente in rete, per ulteriori riferimenti consultare il calendario del corso.
Orario e argomenti delle lezioni
Segue l'orario settimanale del corso, con gli argomenti trattati nelle lezioni e il relativo materiale di riferimento per lo studio e l'approfondimento dei temi trattati a lezione. Questo elenco puoò essere modificato senza preavviso per motivi di ordine didattico.
| Data | Argomento | Materiale didattico | Tipo attività | Ultimo aggiornamento |
|---|---|---|---|---|
| 29 Febbraio | History of Computer Security | Cap. 1 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 2 Marzo | Security Foundations | Cap. 3 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 7 Marzo | Reference Monitors | Cap. 6 Slide Protection 80386 |
Didattica frontale | 17 Febbraio 2016 |
| 9 Marzo | Identification & Authentication | Cap. 4 slide Password scheme |
Didattica frontale | 17 Febbraio 2016 |
| 14 Marzo | Unix Security | Cap. 7 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 16 Marzo | Software Security (Memory Errors) | Cap. 10 Slide syssec_10K_BO_slide |
Didattica frontale | 17 Febbraio 2016 |
| 23 Marzo | Software Security (Defence) | Cap. 10 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 4 Aprile | UNIX Security Lab (1) |
UNIX Permission(1) Virtual Machine Setuid Demystified |
Laboratorio | 17 Febbraio 2016 |
| 6 Aprile | Cryptography Introduction | Cap. 14 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 11 Aprile | UNIX Security Lab (2) |
UNIX Permission(2) Virtual Machine Cracking Password |
Laboratorio | 17 Febbraio 2016 |
| 13 Aprile | Network Security | Cap. 17 Slide Kaminskys's DNS Attack Syncookies Defense |
Didattica frontale | 17 Febbraio 2016 |
| 18 Aprile | PGP/GPG: use of GnuPG |
GNUPG Tool |
Laboratorio | 17 Febbraio 2016 |
| 20 Aprile | Communications Security (IPsec, SSL, etc.) | Cap. 16 Slide |
Didattica frontale | 17 Febbraio 2016 |
| 27 Aprile | Software Security Buffer overflow |
Buffer Overflow Lab GDB Cheat Sheet Gera stack exercise Challenge1 (Credit W3challs) Challenge2 (Credit W3challs) |
Laboratorio | 17 Febbraio 2016 |
| 2 Maggio | Web Security (1) | Cap. 18 Slide DOM_XSS OWASP |
Didattica frontale | 17 Febbraio 2016 |
| 4 Maggio | Web Security Lab (1) |
Web Security Lab (1) Web Security Games (1) | Laboratorio | 17 Febbraio 2016 |
| 16 Maggio | Underground Economy I |
Pay-per-Install: Video Pay-per-Install: Slide Pay-per-Install: Paper |
Didattica frontale | 17 Febbraio 2016 | 18 Maggio | Underground Economy II |
CyberProbe: Slide CyberProbe: Paper Attack phases |
Didattica frontale | 17 Febbraio 2016 |
| 23 Maggio | Web Security Lab (2) |
Web Security Lab (2) | Laboratorio | 17 Febbraio 2016 |
| 25 Maggio | Web Security Lab (3) |
Web Security Games (2) XSS Google Game | Laboratorio | 17 Febbraio 2015 |
| 30 Maggio | Network Security Lab | Network Security Lab Network Security Lab Creazione rete locale con VM e macchina OpenBSD |
Laboratorio | 17 Febbraio 2016 |
| 1 Giugno | Network Security Lab |
Network Challenge 1 Network Challenge 2 Network Challenge 3 WireShark Tutorial information about HID descriptors, see USB HID spec |
Laboratorio | 17 Febbraio 2016 |
| 6 Giugno | Network Security Lab |
Privacy Video Edward Snow interview |
Laboratorio | 17 Febbraio 2016 |
Docenti
- Prof. Andrea Lanzi
- Ufficio: S242 in Via Comelico 39
- Ricevimento studenti: su appuntamento
- E-mail:andrea.lanzi_at_unimi.it