Gianluigi Me Ph. D.
my_surname@disp.uniroma2.it

Sicurezza dei Sistemi Informatici

Lezioni:quando e dove

Le lezioni si tengono il
    -mercoledì dalle 16 alle 18.30 in aula 16 Edificio Industriale
    -venerdì dalle 16 alle 18.30 in aula 9

Contenuti

In questo modulo imparerai i fondamenti della sicurezza su reti e su sistemi informatici. Il programma di massima prevede
    -Cryptography
    -System Security
    -Network Security
    -Web Security
 Guest Lecture del 9 aprile

L'intervento sarà tenuto da Carlo Pelliccioni di Spike Reply, che presenta così i temi della sua guest lecture.

"Le applicazioni web sono ormai entrate a fare parte a tutti gli effetti del nostro quotidiano vivere consentendoci di svolgere numerose operazioni in maniera semplice e pratica in molteplici contesti come ad esempio banche, assicurazioni e negozi on-line. Purtroppo, non sempre le applicazioni con le quali abbiamo a che fare sono state progettate e sviluppate seguendo dei criteri che tengano conto delle problematiche legate alla security e più in particolare alla protezione delle informazioni da esse gestite. Quando un'applicazione di cui ci serviamo è compromessa a livello di sicurezza anche le nostre informazioni vengono compromesse perdendo in questo modo il loro stato di confidenzialità. Impatto principale? Perdita di privacy! Per evitare che questo possa realmente accadere la nuova OWASP Top 10 2007 descrive le principali vulnerabilità di sicurezza estratte dal "MITRE Vulnerability Trends for 2006" e consente di verificare in maniera metodologica la presenza di anomalie di sicurezza che potrebbero compromettere la riservatezza delle nostre informazioni. L'intervento prevede una prima parte nella quale viene presentata la nuova OWASP Top 10 2007 illustrando il progetto stesso ed elencando le differenze rispetto alla precedente versione. L'intervento di tipo tecnico avanzato, prevederà la descrizione delle principali vulnerabilità applicative Web descritte nella OWASP Top 10 2007 e in modalità pratica verranno mostrati gli attacchi effettuabili su di esse per dimostrare l'impatto che possono avere sulla riservatezza, l'integrità e la disponibilità delle informazioni e sull'integrità del sistema operativo che le ospita."

Guest Lecture del 23 aprile

L'intervento sarà tenuto dal Dr. Andrea Raffaelli, Capo Sezione Supervisione e Sicurezza del Comando Generale dell'Arma dei Carabinieri, sul tema "P2P security".

Istruzioni generali per l'esame

L'esame è composto da una prova scritta sui temi trattati a lezione ed un progetto. La prova scritta prevede le valutazioni A,B,C,D,E, con le seguenti soglie:

-A, lo studente può conseguire il voto massimo di 30 e lode;

-B, lo studente può conseguire il voto massimo di 28;

-C, lo studente può conseguire il voto massimo di 25;

-D, lo studente può conseguire il voto massimo di 22;

-E, lo studente può conseguire il voto massimo di 20;

. Il voto finale è

-il voto del progetto, se minore della soglia del voto conseguito alla prova scritta

- la soglia del voto alla prova scritta, se il voto del progetto è superiore alla soglia del voto conseguito alla prova scritta.

Esempio: Gruppo di progetto composto da Tizio, Caio e Sempronio, con voti della prova scritta, rispettivamente di A,B,C. Progetto valutato 30. Voti finali:Tizio:30,Caio:28,Sempronio:25.

Ci sono due tipologie di progetti:
    -Progetti che possono eventualmente continuare con stage, tirocini e tesi presso l'Università
    -Progetti che possono eventualmente continuare con stage, tirocini e tesi presso aziende esterne. I progetti possono essere svolti da singoli oppure da gruppi (max 3) di studenti. Da progetti svolti in coppia ci si aspettano, ovviamente, contenuti maggiori.
Per poter sostenere la prova scritta ed il progetto è necessario registrarsi qui . Alla fine della registrazione, quale attestazione del buon esito della procedura, riceverete una mail contenente :
    -Token delle prove d'esame, con cui identificarsi per la registrazione nei singoli appelli.
    -Token del progetto, con cui identificarsi per la registrazione al progetto prescelto.
Quale progetto svolgere? Registrarsi presso questo sito e seguire le indicazioni per il completamento della procedura di assegnazione del progetto. Al raggiungimento di una soglia di numero di prenotazioni, un progetto non viene pił assegnato.

Che cosa consegnare?
    -Relazione che descriva le proprie scelte progettuali ed implementative.
    -Codice ben progettato, ben documentato e testato. Non saranno valutati software non appropriatamente commentati.
    -Una stampa delle esecuzioni (test esaurienti). CD-ROM contenente il codice sorgente e la relazione. Sulla relazione DEVE essere riportato il codice del progetto.

Quando consegnare? I progetti devono essere consegnati almeno tre giorni prima della discussione nella casella della posta del Prof. Italiano (specificando Ing. Gianluigi Me), al piano terra dell'Edificio di Ingegneria dell'Informazione.

A chi consegnare? Al docente

Quando scade il progetto? La validità del progetto è limitata al solo A.A. 2006/2007.

Per chiedermi una prova finale/tesi di laurea specialistica nelle aree di ricerca che trovi in Research Interests, inviami una e-mail.

Lucidi proiettati a lezione

    -Introduzione PDF
    -Crittografia PDF
    -Autenticazione PDF
    -Gestione del rischio PDF
    -Firewall PDF
    -IPSEC PDF

Libro di testo

    -A. Menezes et al. Handbook of Applied Cryptography, CRC Press.

Altri testi suggeriti

    -R. Anderson, Security Engineering, Wiley, http://www.cl.cam.ac.uk/~rja14/book.html
    -Kaufman,C. & Perlman, R. & Speciner, M. Network Security. Prentice Hall
    -Schneier, B. Applied Cryptography, 2nd edition. John Wiley & Sons.
    -Schneier, B. E-mail security. J.Wiley.
    -Simon Garfinkel, Gene Spafford, Practical Unix and Internet Security 2nd edition, O'Reilly
    -Stallings, W. Network and Internetwork Security. Prentice Hall.
    -Stinson, D. Cryptography: Theory and Practice. CRC Press.
    -Web pages su SECURITY & CRYPTOGRAPHY