Premio Innovare la Sicurezza delle informazioni Luca Marzegalli Comitato Direttivo CLUSIT
Il premio Obiettivo Incentivare gli studenti a confrontarsi con i temi della Sicurezza delle informazioni Destinatari Il Premio di Laurea è aperto a tutte le tesi di persone laureate presso un'università italiana a partire dal 1 gennaio 2006 e fino al 31 dicembre 2006. Premi Il primo classificato riceverà un premio di 2.000,00 euro Il secondo classificato potrà partecipare gratuitamente a un corso per Lead Auditor ISO IEC 27001 Ai primi 5 classificati sarà accordata l'adesione gratuita al Clusit per il 2007 2
L aggiudicazione La commissione La valutazione è stata effettuata da una commisione composta da membri del comitato direttivo, dal comitato tecnico scientifico e da soci CLUSIT, sia del mondo accademico che industriale I Criteri 1. l innovatività dell argomento trattato 2. la complessità dell attività svolta 3. il livello di conoscenza dimostrato 4. l utilizzabilità dei risultati raggiunti 3
I partecipanti: le università di provenienza Numero Partecipanti 2006: +18% Politecnico di Torino Ca' Foscari di Venezia Università Cattolica, sede di Brescia Università degli Studi di Milano Statale Università degli Studi di Torino Università di Cagliari Universita degli studi di Firenze Università di Padova Università degli Studi di Modena e Reggio Emilia Roma Tre Politecnico di Milano Università di Bologna Università dell'aquila Università degli Studi dell'insubria, Varese (new) La Sapienza, Roma (new) Politecnica delle Marche (new) Università degli Studi di Siena (new) Università degli studi di Milano Bicocca (new) università degli studi di messina (new) 4
I partecipanti: Alcuni temi trattati Sicurezza di rete Analisi Statica e Dinamica del codice Sicurezza nei Web Services Criptografia Quantistica Conditional Access per il digitale terrestre Business Continuity IDS Anomaly Based Reti Wireless Biometria Penetration Test Privacy Computer Forensic 5
Iscriversi Portale http://tesi.clusit.it 6
Gli Sponsor dell iniziativa 7
Le nomination (1/6) Autore e Titolo Metodologie e tecniche avanzate per il test di NIDS: realizzazione degli operatori di mutazione Beretta Andrea Università degli Studi di Milano, Dipartimento di Tecnologie dell Informazione (Crema) Abstract Come ben noto, in ambito informatico la sicurezza è un concetto relativo, poichè a causa della complessità dei sistemi, problemi di configurazione, vulnerabilità e abusi da parte degli utenti non è mai possibile avere l'assoluta certezza relativamente all'inviolabilità di un computer. Un obiettivo possibile è invece quello di porre in essere tutta quella serie di policies e misure preventive tali da rendere un'eventuale intrusione il più complicata possibile, scoraggiando gli attacker meno dotati, e rallentando invece l'operato dei più preparati. Accanto a queste policies, non potendo avere la certezza di impedire una possibile intrusione, sarebbe però utile potere rilevare nel modo piu' semplice e celere possibile attacchi e tentativi di intrusione, in modo da prendere le opportune contromisure per arginarle e risolvere i problemi creatisi. E' proprio per questo motivo che sono nati e si sono diffusi gli Intrusion Detection Systems: monitorare l'operato dei sistemi per identificare attività non autorizzate, violazioni ed abusi delle policies di sicurezza vigenti. Negli ultimi anni è notevolmente cresciuto l'interesse nei confronti degli Intrusion Detection System, tanto che sono diventati una componente molto diffusa nelle architetture di sicurezza, con la conseguenza di un'ampia varietà di soluzioni disponibili, sia di natura commerciale che non. Tra tutte queste proposte, però, come è possibile orientarsi e valutare correttamente i diversi sistemi, senza prendere come verità assoluta quanto affermato dai diversi produttori di queste tecnologie? Di pari passo con la crescita della diffusione degli Intrusion Detection System è quindi aumentata anche la richiesta di tool e metodologie per valutarne l'efficacia. In molti casi, soprattutto per soluzioni commerciali, i modelli ed i dettagli relativi al funzionamento di questi sistemi non sono resi noti, rendendo di fatto impossibile valutare quali siano i punti deboli che potrebbero essere sfruttati da un eventuale attacker per impedire che il suo tentativo di intrusione venga rilevato. E' dunque evidente come sia forte la necessità di potere condurre nel modo più accurato possibile dei test black-box dei sistemi in questione. Questa tesi vuole porre lo sguardo su quali siano le problematiche nella valutazione dei sistemi di rilevamento delle intrusioni, specificatamente dei Network Intrusion Detection Systems, concentrandosi principalmente sugli aspetti della resistenza alle tecniche di evasione a livello di rete. Lo strumento sul quale è basato il lavoro svolto è sploit, un framework per il testing black-box dei Network Intrusion Detection System attraverso la generazione di varianti di attacchi, applicando delle mutazioni a dei template di base. Il framework scritto in linguaggio Python, è stato sviluppato da Davide Balzarotti post-doctoral researcher presso l'university of California - Santa Barbara, con la supervisione del Prof. Giovanni Vigna. Nell'ambito di questo lavoro di tesi sviluppato con Riccardo Bianchi ed in collaborazione con Davide Balzarotti sono stati implementate all'interno di sploit una serie di mutazioni corrispondenti a differenti tecniche di evasione a livello di rete. Si è resa inoltre necessaria la la realizzazione di uno stack TCP/IP userspace più completo rispetto alla rudimentale versione presente nel tool originale, in modo da supportare anche features mancanti quali gestione della ritrasmissione e congestione, controllo del flusso di dati ed ulteriori modifiche necessarie per l'implementazione di particolari tecniche di evasione. 8
Le nomination (2/6) Autore e Titolo HTTPGuard, un sistema per la rilevazione di attacchi contro Web Server Corona Igino Università degli studi di Cagliari Abstract HTTPGuard e' un Web (HTTP) Intrusion Detection system Anomaly Based basato su richieste con metodo GET provenienti da access log relativi a Server HTTP. Il cuore di HTTPGuard e' costituito da una serie di modelli capaci di osservare una specifica caratteristica (feature) del traffico. Rispetto allo stato dell'arte nella ricerca sulla rilevazione di attacchi Web, vengono adottate diverse soluzioni: - nuovi modelli dedicati all'analisi di nuove features (frequenza delle richieste scartate dal server, rapporto fra numero di richieste soddisfatte e richieste totali relative ad uno specifico host, segnalazione di warnings relativi a risorse/applicazioni non di fiducia e registrazione richieste malformate, knowledge base integrativo tramite inserimento manuale/automatico di risorse fra quelle di fiducia); - eliminazione di modelli utilizzati per l'analisi del traffico totale sul server (problemi di scalabilita'); - utilizzo di modelli interamente basati su sessioni (una sessione intesa come una serie di richieste distanti non oltre una certa soglia temporale) per il calcolo della frequenza di uno specifico evento. La verifica dei risultati è stata eseguita su traffico relativo a Web server reali. Tutte le funzioni sono facilmente fruibili attraverso una interfaccia grafica user-friendly. HTTPGuard è interamente sviluppato in linguaggio Python e C++. 9
Le nomination (3/6) Autore e Titolo Studio e realizzazione di un Anomaly Based Network Intrusion Detection System Fresi Roglia Gianpaolo Università degli studi di Milano Bicocca Abstract In questa tesi viene proposto lo studio e l analisi delle proprietà di sicurezza di PAYL, un modello di Network Intrusion Detection System (NIDS) anomaly based. Un NIDS è un meccanismo utilizzato per rilevare intrusioni all interno di una rete informatica. Esistono principalmente due tipologie di tali sistemi: misuse detection e anomaly detection. La prima basa l efficacia del rilevamento degli attacchi sulle signature, firme caratteristiche delle violazioni conosciute che si trovano all interno di codice maligno dell attacco; la seconda basa l efficacia del rilevamento degli attacchi sulla capacità di misurare le deviazioni statistiche del traffico illecito dal traffico lecito ed è costituita da una fase di learning in cui vengono raccolte e registrate le informazioni del comportamento normale del traffico di rete, e da una fase di detection in cui ogni deviazione che va oltre una soglia predefinita viene identificata come un attacco. Diversi modelli di anomaly based NIDS sono stati proposti in letteratura: da quelli che basano le fasi di learning e di detection su determinati parametri appartenenti ai livelli più bassi dello stack TCP/IP, in grado così di rilevare anomalie relative a quei livelli (Datalink, Network, Transport), a quelli payload based come PAYL che basa le due fasi sull analisi dei dati relativi al livello più alto dello stack TCP/IP, il livello applicazione, permettendo così di rilevare una maggior quantità di intrusioni dal momento che la maggior parte degli attacchi avviene a quel livello. Tale modello si basa sulla costruzione in fase di learning di diversi profili statistici dei dati leciti in transito per ogni servizio e per ogni dimensione di payload osservata. In una successiva fase di detection si deciderà in real-time se ogni pacchetto in transito è da considerarsi valido misurandone la distanza di Mahalanobis dal relativo profilo generato in fase di learning. Durante il lavoro di tesi sono state individuate delle criticità su alcune assunzioni alla base della realizzazione di PAYL e legate ad ottimizzazioni del calcolo della distanza di Mahalanobis ed alla classificazione dei payload. In particolare si critica l assunzione di indipendenza stocastica dei byte costituenti i payload da analizzare e la classificazione dei payload realizzata unicamente in base alla loro dimensione. Sulla base del modello originale di PAYL e delle criticità individuate, sono stati realizzati un clone di PAYL stesso ed una versione modificata. Sono stati inoltre effettuati test sull efficacia dei modelli con lo stesso dataset utilizzato dagli autori di PAYL (DARPA dataset 1999). I test hanno evidenziato una maggior precisione in termini di minori falsi positivi e maggior detection rate da parte del modello modificato. 10
Le nomination (4/6) Autore e Titolo Efficacia ed integrazione di sistemi di anomaly detection Maggi Federico Politecnico di Milano Abstract La ricerca non richiede più solo abilità tecniche ma approcci e metodi efficaci e innovativi, soprattutto per quanto riguarda anomaly detection e correlazione di allarmi. Lo scopo del nostro lavoro é triplice. Prima di tutto vogliamo valutare l efficacia di due prototipi per anomaly detection, host-/network-based, sviluppati presso il Politecnico di Milano: principalmente perché non sono stati effettuati sufficienti esperimenti per verificare le effettive capacità di generalizzazione (soprattutto per quanto riguarda il traffico frammentato), ma anche perché uno dei due presenta problemi in fase operativa che si traducono in scarsa accuratezza. In secondo luogo, i problemi finora riportati riguardo il dataset Intrusion Detection evaluation (IDEVAL) riguardano soltanto il traffico di rete. Riteniamo necessaria un analisi approfondita anche dei dati dell attività host: derivando direttamente dalle stesse simulazioni é altamente probabile che presentino gli stessi problemi dei dati network. Infine, ma non per questo meno importante, riteniamo sia fondamentale un analisi dettagliata degli algoritmi di correlazione proposti in letteratura al fine di valutarne l efficacia e l adattabilità al caso anomaly detection. La realizzazione di un prototipo che permettesse il test delle varie possibilità é indispensabile. 11
Le nomination (5/6) Autore e Titolo S.T.R.E.S.S.: piattaforma per l'analisi della sicurezza di applicativi ed apparati di rete Rosi Matteo Università degli studi di Firenze, Facoltà di Ingegneria Abstract Le reti wireless 802.11 (comunemente note come reti Wifi) hanno rivoluzinato il mondo del networking offrendo la prima alternativa alle reti cablate con costi paragonabili. Una delle caratteristiche che distinguono le reti wireless dalle reti cablate è la necessità di arricchire la parte di controllo degli accessi, in assenza di una reale limitazione geografica della rete. Questo ha portato ad un innalzamento del livello di complessità dei driver e dei firmware che vengono utilizzati con le schede di rete. Au- tenticazione e cifratura a basso livello si sono molto diffuse e spesso vengono svolte in modo automatico dal firmware delle interfacce di rete. Un software non può mai essere considerato privo di bug, alcuni errori possono restare latenti per moltissimo tempo e manifestarsi solo sotto particolari condizioni. Per garantire un certo livello di affidabilità di un sistema si devono eseguire test per valutare il corretto funzionamento della componente software oltre che un'implementazione degli standard coerente con gli stessi che garantisca un corretto scambio di informazioni. Lo stesso firmware di una scheda aumenta la propria complessità, implementando macchine a stato più evolute. Ovviamente un aumento della complessità porta anche ad una maggior probabilità di commettere errori nella stesura di questi software (anche i firmware sono, sostanzialmente, programmmi); conseguentemente diventa più difficile individuarli e correggerli. Si rende quindi necessario un framework di testing che agisca a basso livello nella pila ISO-OSI, per esattezza, a livello Data Link. Il lavoro di tesi consiste nella realizzazione, implementazione e prova su campo di un approccio per il testing di applicativi ed apparati di rete per valutarne la conformità agli standard, la mancanza di errori nel software e la robustezza del sistema per la gestione della sicurezza tramite penetration test. Tale approccio è di tipo Black-Box, quindi non si rende necessaria alcuna conoscenza di dati implementativi del sistema sotto analisi. Il sistema di testing prevede la rappresentazione dei protocolli da testare tramite una metasintassi, ovvero un formalismo tramite il quale è possibile descrivere linguaggi formali, specifica per la rappresentazioni di protocolli di rete. Utilizzando il modello del protocollo, così ottenuto, il sistema di testing è in grado di comunicare correttamente con l'host di rete. Per l'esecuzione dei vari test case vengono inseriti all'interno dei pacchetti trasmessi dei guasti e si esegue un analisi delle risposte ottenute dal sistema sotto analisi. Questo procedimento viene ripetuto per eseguire una forma di test definita appunto stress test, al fine di valutare la conformità allo standard della sua implementazione, l'assenza di errori e la robustezza del sistema a trasmissioni anomale o non previste. 12
Le nomination (6/6) Autore e Titolo Metodologie per il test di Network Firewall Strabla Ruggero Università degli studi di Milano - Polo di Crema Abstract In questa tesi verranno inizialmente esposte le varie tipologie di firewall esistenti, quindi le attuali tecniche usate nel testing di packet filter: l'analisi passiva e attiva. Verranno analizzati degli script appositamente realizzati per effettuare alcuni test specifici descritti dall'icsa labs, altri test di nuova concezione o non ancora implementati. Questi script sono stati scritti in TCL e sfruttano le API di hping3 per creare, inviare e ricevere pacchetti TCP/IP con un buon livello di astrazione. Uno degli script sviluppati è un SYN scanner avanzato che permette di localizzare ed enumerare server pubblici situati dietro un dispositivo che effettua il DNAT. Con altri script ci si è invece concentrati sull'automatizzazione di procedure per forgiare pacchetti che minano la sicurezza di netfilter. 13