Premio Innovare la Sicurezza delle informazioni. Luca Marzegalli Comitato Direttivo CLUSIT



Documenti analoghi
Generazione Automatica di Asserzioni da Modelli di Specifica

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Piano di gestione della qualità

Automazione Industriale (scheduling+mms) scheduling+mms.

Università degli Studi di Milano 16 gennaio Dipartimento Informatica e Comunicazione aula Beta

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

penetration test (ipotesi di sviluppo)

11. Evoluzione del Software

Sicurezza a livello IP: IPsec e le reti private virtuali

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

Attività federale di marketing

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La gestione di un calcolatore. Sistemi Operativi primo modulo Introduzione. Sistema operativo (2) Sistema operativo (1)

Sicurezza e rispetto della privacy, finalmente non in conflitto.

PROGETTAZIONE MECCANICA DESIGN INDUSTRIALE OUTSOURCING RICERCA E SVILUPPO GRAFICA DOCUMENTAZIONE TECNICA STUDIO TECNICO

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Progettare un Firewall

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

12. Evoluzione del Software

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

EUROCONSULTANCY-RE. Privacy Policy

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

TECNICHE DI SIMULAZIONE

IoBirro. Birra fatta in casa con SIMATIC. Siemens AG All Rights Reserved. Industry Sector

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Che cosa è un VIRUS?

IDS: Intrusion detection systems

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

Che differenza c è tra una richiesta XML ed una domanda XML? (pag. 4)

come nasce una ricerca

INVENTION AND TECHNOLOGY DISCLOSURE FORM SCHEDA DI RICHIESTA PER L APERTURA DI UNA PRATICA DI BREVETTO

Università degli Studi di Salerno

Protezione della propria rete

Firewall applicativo per la protezione di portali intranet/extranet

Sommario. Introduzione 1

Canali e Core Banking

Hardware delle reti LAN

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

Reti di Telecomunicazione Lezione 8

La Metodologia adottata nel Corso

MODULO RICHIESTA DI BREVETTO

IL CICLO DI VITA DEL PROGETTO. Elementi essenziali di progetto. Fasi e tappe Gli Approcci

Via Don Angelo Scapin, 36 I Roncaglia di Ponte San Nicolò (PD) ITALIA Phone/Fax: info@spinips.com

Application note. CalBatt NomoStor per i sistemi di accumulo di energia

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

Presentazione risultati indagine conoscitiva sull utilizzo dell Europass Supplemento al Diploma. ISFOL Centro Nazionale Europass

Registro dei contribuenti

/DERUDWRU\IRU$GYDQFHG3ODQQLQJ DQG6LPXODWLRQ3URMHFW

Liceo Tecnologico. Indirizzo Informatico e Comunicazione. Indicazioni nazionali per Piani di Studi Personalizzati

MService La soluzione per ottimizzare le prestazioni dell impianto

Corso Analista Programmatore Web PHP Corso Online Analista Programmatore Web PHP

Progettazione : Design Pattern Creazionali

Ministero dell istruzione, dell università e della ricerca. Liceo Tecnologico. Indirizzo Informatico, Grafico e Comunicazione

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Appendice III. Competenza e definizione della competenza

Presentazione FutureMobile. Sicurezza e Tracciabilità

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Università Politecnica delle Marche. Progetto Didattico

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

LABORATORIO a cura di Pier Cesare Rivoltella e Andrea Garavaglia La Formazione a distanza di Terza Generazione

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

MESA PROJECT ITIS G. Cardano Pavia New Curriculum

Il modello di ottimizzazione SAM

LA PROGETTAZIONE DI UN NUOVO STRUMENTO PER IL WEB

IL PROCESSO DI FABBRICAZIONE (sviluppo nuovo prodotto)

Allegato 3 Sistema per l interscambio dei dati (SID)

Statistica. Lezione 6

OCS Open Control System

Informatica e Telecomunicazioni

Software Servizi Web UOGA

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Dispensa di Informatica I.1

Manuale Utente. Gestione Richieste supporto BDAP. Versione 1.0

VULNERABILITY ASSESSMENT E PENETRATION TEST

La valutazione nella didattica per competenze

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

SOFTWARE PER LA RILEVAZIONE DEI TEMPI PER CENTRI DI COSTO

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

Retail L organizzazione innovativa del tuo punto vendita

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

ESAMI ONLINE E QUESTIONARI ANVUR (FAQ)

La progettazione centrata sull utente nei bandi di gara

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

Soluzione dell esercizio del 2 Febbraio 2004

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

ARCHITETTURA DI RETE FOLEGNANI ANDREA

Norme per l organizzazione - ISO serie 9000

ProM è il laboratorio di prototipazione meccatronica frutto della collaborazione fra Trentino Sviluppo e Fondazione Bruno Kessler.

Come valutare le caratteristiche aerobiche di ogni singolo atleta sul campo

I pacchetti: Linux. Belluno. User. Group Introduzione ai firewalls con Linux. Firestarter 1.0. Guarddog Firewall Builder 2.0.

Firewall e Abilitazioni porte (Port Forwarding)

Un unica interfaccia per la gestione della sicurezza. Gentile Cliente,

CitySoftware PROTOCOLLO. Info-Mark srl

L Ente del Turismo del Sultanato dell OMAN, con sede a:

Transcript:

Premio Innovare la Sicurezza delle informazioni Luca Marzegalli Comitato Direttivo CLUSIT

Il premio Obiettivo Incentivare gli studenti a confrontarsi con i temi della Sicurezza delle informazioni Destinatari Il Premio di Laurea è aperto a tutte le tesi di persone laureate presso un'università italiana a partire dal 1 gennaio 2006 e fino al 31 dicembre 2006. Premi Il primo classificato riceverà un premio di 2.000,00 euro Il secondo classificato potrà partecipare gratuitamente a un corso per Lead Auditor ISO IEC 27001 Ai primi 5 classificati sarà accordata l'adesione gratuita al Clusit per il 2007 2

L aggiudicazione La commissione La valutazione è stata effettuata da una commisione composta da membri del comitato direttivo, dal comitato tecnico scientifico e da soci CLUSIT, sia del mondo accademico che industriale I Criteri 1. l innovatività dell argomento trattato 2. la complessità dell attività svolta 3. il livello di conoscenza dimostrato 4. l utilizzabilità dei risultati raggiunti 3

I partecipanti: le università di provenienza Numero Partecipanti 2006: +18% Politecnico di Torino Ca' Foscari di Venezia Università Cattolica, sede di Brescia Università degli Studi di Milano Statale Università degli Studi di Torino Università di Cagliari Universita degli studi di Firenze Università di Padova Università degli Studi di Modena e Reggio Emilia Roma Tre Politecnico di Milano Università di Bologna Università dell'aquila Università degli Studi dell'insubria, Varese (new) La Sapienza, Roma (new) Politecnica delle Marche (new) Università degli Studi di Siena (new) Università degli studi di Milano Bicocca (new) università degli studi di messina (new) 4

I partecipanti: Alcuni temi trattati Sicurezza di rete Analisi Statica e Dinamica del codice Sicurezza nei Web Services Criptografia Quantistica Conditional Access per il digitale terrestre Business Continuity IDS Anomaly Based Reti Wireless Biometria Penetration Test Privacy Computer Forensic 5

Iscriversi Portale http://tesi.clusit.it 6

Gli Sponsor dell iniziativa 7

Le nomination (1/6) Autore e Titolo Metodologie e tecniche avanzate per il test di NIDS: realizzazione degli operatori di mutazione Beretta Andrea Università degli Studi di Milano, Dipartimento di Tecnologie dell Informazione (Crema) Abstract Come ben noto, in ambito informatico la sicurezza è un concetto relativo, poichè a causa della complessità dei sistemi, problemi di configurazione, vulnerabilità e abusi da parte degli utenti non è mai possibile avere l'assoluta certezza relativamente all'inviolabilità di un computer. Un obiettivo possibile è invece quello di porre in essere tutta quella serie di policies e misure preventive tali da rendere un'eventuale intrusione il più complicata possibile, scoraggiando gli attacker meno dotati, e rallentando invece l'operato dei più preparati. Accanto a queste policies, non potendo avere la certezza di impedire una possibile intrusione, sarebbe però utile potere rilevare nel modo piu' semplice e celere possibile attacchi e tentativi di intrusione, in modo da prendere le opportune contromisure per arginarle e risolvere i problemi creatisi. E' proprio per questo motivo che sono nati e si sono diffusi gli Intrusion Detection Systems: monitorare l'operato dei sistemi per identificare attività non autorizzate, violazioni ed abusi delle policies di sicurezza vigenti. Negli ultimi anni è notevolmente cresciuto l'interesse nei confronti degli Intrusion Detection System, tanto che sono diventati una componente molto diffusa nelle architetture di sicurezza, con la conseguenza di un'ampia varietà di soluzioni disponibili, sia di natura commerciale che non. Tra tutte queste proposte, però, come è possibile orientarsi e valutare correttamente i diversi sistemi, senza prendere come verità assoluta quanto affermato dai diversi produttori di queste tecnologie? Di pari passo con la crescita della diffusione degli Intrusion Detection System è quindi aumentata anche la richiesta di tool e metodologie per valutarne l'efficacia. In molti casi, soprattutto per soluzioni commerciali, i modelli ed i dettagli relativi al funzionamento di questi sistemi non sono resi noti, rendendo di fatto impossibile valutare quali siano i punti deboli che potrebbero essere sfruttati da un eventuale attacker per impedire che il suo tentativo di intrusione venga rilevato. E' dunque evidente come sia forte la necessità di potere condurre nel modo più accurato possibile dei test black-box dei sistemi in questione. Questa tesi vuole porre lo sguardo su quali siano le problematiche nella valutazione dei sistemi di rilevamento delle intrusioni, specificatamente dei Network Intrusion Detection Systems, concentrandosi principalmente sugli aspetti della resistenza alle tecniche di evasione a livello di rete. Lo strumento sul quale è basato il lavoro svolto è sploit, un framework per il testing black-box dei Network Intrusion Detection System attraverso la generazione di varianti di attacchi, applicando delle mutazioni a dei template di base. Il framework scritto in linguaggio Python, è stato sviluppato da Davide Balzarotti post-doctoral researcher presso l'university of California - Santa Barbara, con la supervisione del Prof. Giovanni Vigna. Nell'ambito di questo lavoro di tesi sviluppato con Riccardo Bianchi ed in collaborazione con Davide Balzarotti sono stati implementate all'interno di sploit una serie di mutazioni corrispondenti a differenti tecniche di evasione a livello di rete. Si è resa inoltre necessaria la la realizzazione di uno stack TCP/IP userspace più completo rispetto alla rudimentale versione presente nel tool originale, in modo da supportare anche features mancanti quali gestione della ritrasmissione e congestione, controllo del flusso di dati ed ulteriori modifiche necessarie per l'implementazione di particolari tecniche di evasione. 8

Le nomination (2/6) Autore e Titolo HTTPGuard, un sistema per la rilevazione di attacchi contro Web Server Corona Igino Università degli studi di Cagliari Abstract HTTPGuard e' un Web (HTTP) Intrusion Detection system Anomaly Based basato su richieste con metodo GET provenienti da access log relativi a Server HTTP. Il cuore di HTTPGuard e' costituito da una serie di modelli capaci di osservare una specifica caratteristica (feature) del traffico. Rispetto allo stato dell'arte nella ricerca sulla rilevazione di attacchi Web, vengono adottate diverse soluzioni: - nuovi modelli dedicati all'analisi di nuove features (frequenza delle richieste scartate dal server, rapporto fra numero di richieste soddisfatte e richieste totali relative ad uno specifico host, segnalazione di warnings relativi a risorse/applicazioni non di fiducia e registrazione richieste malformate, knowledge base integrativo tramite inserimento manuale/automatico di risorse fra quelle di fiducia); - eliminazione di modelli utilizzati per l'analisi del traffico totale sul server (problemi di scalabilita'); - utilizzo di modelli interamente basati su sessioni (una sessione intesa come una serie di richieste distanti non oltre una certa soglia temporale) per il calcolo della frequenza di uno specifico evento. La verifica dei risultati è stata eseguita su traffico relativo a Web server reali. Tutte le funzioni sono facilmente fruibili attraverso una interfaccia grafica user-friendly. HTTPGuard è interamente sviluppato in linguaggio Python e C++. 9

Le nomination (3/6) Autore e Titolo Studio e realizzazione di un Anomaly Based Network Intrusion Detection System Fresi Roglia Gianpaolo Università degli studi di Milano Bicocca Abstract In questa tesi viene proposto lo studio e l analisi delle proprietà di sicurezza di PAYL, un modello di Network Intrusion Detection System (NIDS) anomaly based. Un NIDS è un meccanismo utilizzato per rilevare intrusioni all interno di una rete informatica. Esistono principalmente due tipologie di tali sistemi: misuse detection e anomaly detection. La prima basa l efficacia del rilevamento degli attacchi sulle signature, firme caratteristiche delle violazioni conosciute che si trovano all interno di codice maligno dell attacco; la seconda basa l efficacia del rilevamento degli attacchi sulla capacità di misurare le deviazioni statistiche del traffico illecito dal traffico lecito ed è costituita da una fase di learning in cui vengono raccolte e registrate le informazioni del comportamento normale del traffico di rete, e da una fase di detection in cui ogni deviazione che va oltre una soglia predefinita viene identificata come un attacco. Diversi modelli di anomaly based NIDS sono stati proposti in letteratura: da quelli che basano le fasi di learning e di detection su determinati parametri appartenenti ai livelli più bassi dello stack TCP/IP, in grado così di rilevare anomalie relative a quei livelli (Datalink, Network, Transport), a quelli payload based come PAYL che basa le due fasi sull analisi dei dati relativi al livello più alto dello stack TCP/IP, il livello applicazione, permettendo così di rilevare una maggior quantità di intrusioni dal momento che la maggior parte degli attacchi avviene a quel livello. Tale modello si basa sulla costruzione in fase di learning di diversi profili statistici dei dati leciti in transito per ogni servizio e per ogni dimensione di payload osservata. In una successiva fase di detection si deciderà in real-time se ogni pacchetto in transito è da considerarsi valido misurandone la distanza di Mahalanobis dal relativo profilo generato in fase di learning. Durante il lavoro di tesi sono state individuate delle criticità su alcune assunzioni alla base della realizzazione di PAYL e legate ad ottimizzazioni del calcolo della distanza di Mahalanobis ed alla classificazione dei payload. In particolare si critica l assunzione di indipendenza stocastica dei byte costituenti i payload da analizzare e la classificazione dei payload realizzata unicamente in base alla loro dimensione. Sulla base del modello originale di PAYL e delle criticità individuate, sono stati realizzati un clone di PAYL stesso ed una versione modificata. Sono stati inoltre effettuati test sull efficacia dei modelli con lo stesso dataset utilizzato dagli autori di PAYL (DARPA dataset 1999). I test hanno evidenziato una maggior precisione in termini di minori falsi positivi e maggior detection rate da parte del modello modificato. 10

Le nomination (4/6) Autore e Titolo Efficacia ed integrazione di sistemi di anomaly detection Maggi Federico Politecnico di Milano Abstract La ricerca non richiede più solo abilità tecniche ma approcci e metodi efficaci e innovativi, soprattutto per quanto riguarda anomaly detection e correlazione di allarmi. Lo scopo del nostro lavoro é triplice. Prima di tutto vogliamo valutare l efficacia di due prototipi per anomaly detection, host-/network-based, sviluppati presso il Politecnico di Milano: principalmente perché non sono stati effettuati sufficienti esperimenti per verificare le effettive capacità di generalizzazione (soprattutto per quanto riguarda il traffico frammentato), ma anche perché uno dei due presenta problemi in fase operativa che si traducono in scarsa accuratezza. In secondo luogo, i problemi finora riportati riguardo il dataset Intrusion Detection evaluation (IDEVAL) riguardano soltanto il traffico di rete. Riteniamo necessaria un analisi approfondita anche dei dati dell attività host: derivando direttamente dalle stesse simulazioni é altamente probabile che presentino gli stessi problemi dei dati network. Infine, ma non per questo meno importante, riteniamo sia fondamentale un analisi dettagliata degli algoritmi di correlazione proposti in letteratura al fine di valutarne l efficacia e l adattabilità al caso anomaly detection. La realizzazione di un prototipo che permettesse il test delle varie possibilità é indispensabile. 11

Le nomination (5/6) Autore e Titolo S.T.R.E.S.S.: piattaforma per l'analisi della sicurezza di applicativi ed apparati di rete Rosi Matteo Università degli studi di Firenze, Facoltà di Ingegneria Abstract Le reti wireless 802.11 (comunemente note come reti Wifi) hanno rivoluzinato il mondo del networking offrendo la prima alternativa alle reti cablate con costi paragonabili. Una delle caratteristiche che distinguono le reti wireless dalle reti cablate è la necessità di arricchire la parte di controllo degli accessi, in assenza di una reale limitazione geografica della rete. Questo ha portato ad un innalzamento del livello di complessità dei driver e dei firmware che vengono utilizzati con le schede di rete. Au- tenticazione e cifratura a basso livello si sono molto diffuse e spesso vengono svolte in modo automatico dal firmware delle interfacce di rete. Un software non può mai essere considerato privo di bug, alcuni errori possono restare latenti per moltissimo tempo e manifestarsi solo sotto particolari condizioni. Per garantire un certo livello di affidabilità di un sistema si devono eseguire test per valutare il corretto funzionamento della componente software oltre che un'implementazione degli standard coerente con gli stessi che garantisca un corretto scambio di informazioni. Lo stesso firmware di una scheda aumenta la propria complessità, implementando macchine a stato più evolute. Ovviamente un aumento della complessità porta anche ad una maggior probabilità di commettere errori nella stesura di questi software (anche i firmware sono, sostanzialmente, programmmi); conseguentemente diventa più difficile individuarli e correggerli. Si rende quindi necessario un framework di testing che agisca a basso livello nella pila ISO-OSI, per esattezza, a livello Data Link. Il lavoro di tesi consiste nella realizzazione, implementazione e prova su campo di un approccio per il testing di applicativi ed apparati di rete per valutarne la conformità agli standard, la mancanza di errori nel software e la robustezza del sistema per la gestione della sicurezza tramite penetration test. Tale approccio è di tipo Black-Box, quindi non si rende necessaria alcuna conoscenza di dati implementativi del sistema sotto analisi. Il sistema di testing prevede la rappresentazione dei protocolli da testare tramite una metasintassi, ovvero un formalismo tramite il quale è possibile descrivere linguaggi formali, specifica per la rappresentazioni di protocolli di rete. Utilizzando il modello del protocollo, così ottenuto, il sistema di testing è in grado di comunicare correttamente con l'host di rete. Per l'esecuzione dei vari test case vengono inseriti all'interno dei pacchetti trasmessi dei guasti e si esegue un analisi delle risposte ottenute dal sistema sotto analisi. Questo procedimento viene ripetuto per eseguire una forma di test definita appunto stress test, al fine di valutare la conformità allo standard della sua implementazione, l'assenza di errori e la robustezza del sistema a trasmissioni anomale o non previste. 12

Le nomination (6/6) Autore e Titolo Metodologie per il test di Network Firewall Strabla Ruggero Università degli studi di Milano - Polo di Crema Abstract In questa tesi verranno inizialmente esposte le varie tipologie di firewall esistenti, quindi le attuali tecniche usate nel testing di packet filter: l'analisi passiva e attiva. Verranno analizzati degli script appositamente realizzati per effettuare alcuni test specifici descritti dall'icsa labs, altri test di nuova concezione o non ancora implementati. Questi script sono stati scritti in TCL e sfruttano le API di hping3 per creare, inviare e ricevere pacchetti TCP/IP con un buon livello di astrazione. Uno degli script sviluppati è un SYN scanner avanzato che permette di localizzare ed enumerare server pubblici situati dietro un dispositivo che effettua il DNAT. Con altri script ci si è invece concentrati sull'automatizzazione di procedure per forgiare pacchetti che minano la sicurezza di netfilter. 13

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back