Security & Privacy (Elementi di Sicurezza e Privatezza)
Docente: Andrea Lanzi
AA 2016/2017
News
- L'esame del 12 Gennaio 2018 è spostato al 15 Gennaio 2018, dalle 10:00 in laboratorio LaSER, via Comelico 39.
Contenuti
- Appelli d'esame
- Notizie generali sul corso
- Logistica e Organizzazione
- Obiettivi Formativi
- Prerequisiti
- Programma
- Materiale didattico
- Calendario delle lezioni
- Docenti
- 15 Giugno 2017
- 6 Luglio 2017
- 7 Settembre 2017
- 12 Gennaio 2018
Il presente corso è erogato nell'ambito del corso di laurea triennale in Informatica nuovo ordinamento e può essere seguito da tutti gli stessi delle lauree triennali. Questo corso sostituisce quello di Sicurezza dei Sistemi e delle Reti presente nei corsi di laurea del vecchio ordinamento: Informatica, Comunicazione Digitale e Informatica Musicale. Gli studenti di questi corsi di laurea possono quindi seguire e sostenere l'esame relativo a questo corso che sarà poi verbalizzato con la vecchia dicitura.
Si tratta di un corso di 6 crediti, per il quale è prevista un'attività didattica di circa 48 ore (28 ore di teoria + 20 ore di laboratorio), ed un impegno di studio, per lo studente, in regola con i prerequisiti, di 100 ore circa.
Logistica e Organizzazione
Le lezioni si tengono nell'aula SALA LAUREE Dipartimento di informatica via Comelico 39/41, nella giornata di Lunedi dalle 14.30 alle 16.30 e il Mercoledi in aula Beta dalle 13.30 alle 15.30.
Obiettivi formativi
Al termine del corso lo studente che supererà con profitto il relativo esame sarà in grado di:
- Definire e descrivere le principali criticità in termini di sicurezza di un sistema informatico
- Descrivere per sommi capi l'evoluzione storica dell'hacking
- Definire e descrivere con precisione le principali funzionalità di sicurezza offerte da un sistema operativo
- Descrivere i più importanti protocolli crittografici adottati nell'ambito della computer security
- Descrivere le principali vulnerabilità del software e dei protocolli di rete
- Descrivere le principali tipologie di malware
- Descrivere i principali aspetti economici della sicurezza
- Implementare politiche di controllo degli accessi elementari sui sistemi operativi Windows e Linux
- Implementare meccanismi di autenticazione forte
- Installare e usare strumenti crittografici
- Installare e configurare Firewall e IDS su rete di piccole dimensioni.
Prerequisiti
Al fine di poter trarre il massimo profitto dalla frequentazione di questo corso gli studenti dovrebbero aver seguito con profitto gli esami di:
- Architetture I
- Sistemi operativi I e II
- Reti di calcolatori.
Gli argomenti trattati in questi corsi e di utilità al corso di sicurezza sono dati per acquisiti. Sarà compito dello studente, che ancora non li possedesse, acquisirli autonomamente.
Programma del corso di teoria
- Concetti introduttivi
- Elementi di crittografia
- Meccanismi del SO per la protezione dei sistemi
- Principali vulnerabilità del SW
- Principali vulnerabilità dei protocolli di rete
- Sistemi di protezione: Autenticazione forte, firewall e IDS
- La gestione della sicurezza in azienda
Programma di Laboratorio
- Meccanismi di sicurezza nei sistemi UNIX/Windows
- PGP/GPG
- Buffer Overflow
- Attacchi Web
- Firewall & IDS
Materiale didattico
Il libro di testo adottato per quest'anno è:
Computer Security Autore: Dieter Gollmann, Third edition.
lista dei capitoli del libro visti a lezione: 1, 3, 4, 6, 8, 10, 14, 16, 18
Alcune parti del corso saranno invece svolte facendo riferimento a materiale elettronico presente in rete, per ulteriori riferimenti consultare il calendario del corso.
Orario e argomenti delle lezioni
Segue l'orario settimanale del corso, con gli argomenti trattati nelle lezioni e il relativo materiale di riferimento per lo studio e l'approfondimento dei temi trattati a lezione. Questo elenco puoò essere modificato senza preavviso per motivi di ordine didattico.
| Data | Argomento | Materiale didattico | Tipo attività | Ultimo aggiornamento |
|---|---|---|---|---|
| 1 Marzo | History of Computer Security | Cap. 1 Slide |
Didattica frontale | 17 Febbraio 2017 |
| 6 Marzo | Security Foundations | Cap. 3 Slide |
Didattica frontale | 17 Febbraio 2017 |
| 8 Marzo | Reference Monitors | Cap. 6 Slide Protection 80386 |
Didattica frontale | 17 Febbraio 2017 |
| 13 Marzo | Identification & Authentication | Cap. 4 slide Password scheme |
Didattica frontale | 17 Febbraio 2017 |
| 20 Marzo | Unix Security | Cap. 7 Slide |
Didattica frontale | 17 Febbraio 2017 |
| 22 Marzo | Software Security (Memory Errors) | Cap. 10 Slide syssec_10K_BO_slide |
Didattica frontale | 17 Febbraio 2017 |
| 27 Marzo | Software Security (Defence) | Cap. 10 Slide |
Didattica frontale | 17 Febbraio 2017 |
| 29 Marzo | UNIX Security Lab (1) |
UNIX Permission(1) Virtual Machine Setuid Demystified |
Laboratorio | 17 Febbraio 2017 |
| 3 Aprile | Cryptography Introduction | Cap. 14 Slide |
Didattica frontale | 17 Febbraio 2017 |
| 5 Aprile | UNIX Security Lab (2) |
UNIX Permission(2) Virtual Machine Cracking Password |
Laboratorio | 17 Febbraio 2017 |
| 12 Aprile | PGP/GPG: use of GnuPG |
GNUPG Tool |
Laboratorio | 17 Febbraio 2017 |
| 19 Aprile | Network Security | Cap. 17 Slide Kaminskys's DNS Attack Syncookies Defense |
Didattica frontale | 17 Febbraio 2017 |
| 26 Aprile | Software Security Buffer overflow |
Buffer Overflow Lab GDB Cheat Sheet Gera stack exercise 1 Challenge1 (Credit W3challs) Challenge2 (Credit W3challs) Gera stack exercise |
Laboratorio | 17 Febbraio 2017 |
| 10 Maggio | Communications Security (IPsec, SSL, etc.) | Cap. 16 Slide SSL History |
Didattica frontale | 17 Febbraio 2017 |
| 15 Maggio | Web Security (1) | Cap. 18 Slide DOM_XSS OWASP |
Didattica frontale | 17 Febbraio 2017 |
| 17 Maggio | Web Security Lab (1) |
Web Security Lab (1) Web Security Games (1) | Laboratorio | 17 Febbraio 2017 |
| 22 Maggio | Underground Economy I |
Pay-per-Install: Video Pay-per-Install: Slide Pay-per-Install: Paper SPAM Analysis |
Didattica frontale | 17 Febbraio 2017 |
| 24 Maggio | Web Security Lab (2) |
Web Security Lab (2) | Laboratorio | 17 Febbraio 2017 |
| 29 Maggio | Android Security I |
Android Security Privacy Video |
Didattica frontale | 17 Febbraio 2017 |
| 31 Maggio | Web Security Lab (3) |
Web Security Games (2) XSS Google Game | Laboratorio | 17 Febbraio 2017 |
| 5 Giugno | Google Sandbox: Native Client |
Native Client |
Didattica frontale | 17 Febbraio 2017 |
| 7 Giugno | Network Security Lab | Network Security Lab Network Security Lab Creazione rete locale con VM e macchina OpenBSD |
Laboratorio | 17 Febbraio 2017 |
| 7 Giugno | Network Security Lab |
Generic pcap samples Network Challenge 1 Network Challenge 2 Network Challenge 3 WireShark Tutorial information about HID descriptors, see USB HID spec |
Laboratorio | 17 Febbraio 2017 |
Docenti
- Prof. Andrea Lanzi
- Ufficio: S242 in Via Comelico 39
- Ricevimento studenti: su appuntamento
- E-mail:andrea.lanzi_at_unimi.it