 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
[Progetto sicurezza di rete] Diario del corso 04/05
Clicca QUI per vedere il messaggio nel forum |
| recoil |
Docente: Danilo Bruschi
Orario delle lezioni:
Lunedi dalle 9 alle 12 auletta 4
e' stato concordato con il docente l'anticipo della lezione di circa mezz'ora per permettere a chi segue Logica di frequentare entrambi i corsi
Contenuti del corso:
- Fondamenti teorici di sicurezza ICT
- Politiche di sicurezza
- Progettazione di sistemi sicuri
- Assurance
- Casi di studio (con seminari)
- Computer Etica
I prerequisiti sono il corso di Sicurezza, quello di Crittografia, quello di Reti e qualche nozione di Informatica Teorica
Modalità d'esame:
Relazione su articoli o parte del libro con seminario da tenere alla classe, seguito da un orale sempre su un approfondimento.
Materiale didattico:
Le slide verranno messe online, quando so il sito metto il link
Il libro di testo e'
Computer Security: art and sience
Matt Bishop
Addison Wesley 2003 |
| recoil |
Oggi il prof ha introdotto alcuni concetti base sulla sicurezza.
In particolare sono importanti i tre "pilastri"
- confidenzialita' (riservatezza, privacy) ovvero solo le persone autorizzate devono accedere (in lettura) ai dati protetti
- integrita' ovvero solo chi e' autorizzato puo' modificare (anche cancellare) i dati
- disponibilita' che indica il fatto che i dati siano sempre disponibili quando c'e' bisogno di accedervi. E' la proprieta' piu' difficile da rispettare.
In seguito abbiamo visto altre definizioni come quella di attacco, attaccante, vulnerabilita'...
Sulle slide c'e' tutto |
| recoil |
La lezione di oggi ha riguardato un ripasso (breve introduzione) ai vari tipi di attacchi a sistemi informatici.
In particolare:
- social engineering
- malicious code
- computer fingerprinting
- unautorized access
parlando delle varie tecniche come port scan, spoofing, trojan, DNS poisoning, DOS.
Le slide saranno disponibili a breve |
| recoil |
Oggi abbiamo continuato il discorso sul modello di sicurezza HRU iniziato la lezione precedente.
Questa volta siamo partiti con la definizione di sistema sicuro, parlando del concetto di leaked per arrivare all'argomento del giorno che era il teorema di decidibilità.
Abbiamo visto la dimostrazione con la macchina di turing, il tutto tratto da un articolo del quale bisognerà fare una relazione.
Il titolo dell'articolo è "Protection in Operating Systems" di Harrison e Ruzzo. se serve mandatemi un pvt e ve lo spedisco. |
| recoil |
Argomento del giorno è stato il modello Bell - La Padula.
La prima parte della lezione ha riguardato la definizione di politiche di sicurezza e le tre principali politiche: confidenzialità, integrità e disponibilità.
Abbiamo quindi visto la differenza tra la politica di sicurezza e il modello di sicurezza, che si occupa di formalizzare le politiche.
Si è quindi vista la differenza tra il Discretionary Access Control (DAC) e il Non Discretionary Access Control, detto anche Mandatory Access Control (MAC).
Il modello Bell - La Padula si adatta proprio a MAC dato che il proprietario di una risorsa non può deciderne i permessi, lasciati a discrezione del gestore.
Abbiamo visto alcuni esempi applicati a tale modello e infine alcuni accenni al sistema operativo Multics, l'unico sistema operativo progettato specificamente per la sicurezza.
Compiti a casa: scrivere una relazione sui capitoli 6 e 7 del libro di testo |
| recoil |
Oggi non ha fatto lezione Bruschi ma credo un assistente (che forse è pure del dsy) e si è parlato del buffer overflow.
Prima ci sono stati dei cenni su come è organizzata la memoria di un calcolatore (in particolare lo stack), quindi si è passati a vedere cosa accade durante una chiamata a funzione e come è possibile modificare lo stack "iniettando" dati in un buffer oltre la sua capacità.
La parte finale ha riguardato un po' di sano assembly (per intel x86) necessario alla produzione del cosiddetto "shellcode", ovvero del codice necessario ad aprire una shell in seguito all'iniziezione di codice tramite il buffer overflow.
Quando ci saranno le slide da qualche parte metterò qui, hanno un layout bellissimo e sono anche complete |
| recoil |
Oggi si è parlato del problema dell'autenticazione.
Abbiamo visto una panoramica sui sistemi di autenticazione presenti e futuri (biometrica) e del problema dell'esistenza di più identità associate ad una stessa persona.
Il problema viene risolto dal modello Kerberos del quale abbiamo visto il funzionamento. |
| recoil |
Oggi abbiamo affrontato due argomenti principalmente.
Inizialmente si è parlato dei vari livelli di astrazione (hardware, kernel, S.O....) nei quali si fa sicurezza e delle varie tecniche, proprie di ciascun livello.
In seguito si è affrontato il problema della certificazione del software, vedendo i vari livelli di TCSEC, ITSEC e i Common Criteria
Lunedì prossimo non ci sarà lezione per il ponte di S.Ambrogio |
| recoil |
Nella lezione di oggi si e' parlato di progettazione sicura del codice, partendo dalla fase del disegno fino a quella del deployment.
In seguito abbiamo visto velocemente il buffer overrun, il format bug e le possibili contromisure che riguardano l'uso di librerie sicure e patch ai compilatori come stack guard
per i dettagli della prova pratica bisogna scrivere a
specialistica@security.dico.unimi.it oppure
sullivan@security.dico.unimi.it oppure andrew@security.dico.unimi.it
se mandate alla prima mail arriva ad entrambi a quel che ho capito |
| recoil |
La lezione di oggi ha riguardato l'analisi dei rischi in ambito aziendale.
Si tratta di un'attività più che altro manageriale che riguarda gli informatici solo fino ad un certo punto.
In particolare abbiamo focalizzato l'attenzione sull'importanza dei file di log delle applicazioni e sulle difficoltà di fornire una stima precisa dei rischi.
Restano ancora due lezioni da svolgere, il giorno 24 verranno presentati alcuni articoli e ciascuno dovrà scegliere quello da presentare in un breve seminario. L'alternativa è quella di preparare un approfondimento, anche pratico, da concordare. |
| recoil |
Ultima lezione del corso
ci sono stati presentati gli articoli per i quali ognuno di noi terrà un breve seminario, appena pronto.
gli articoli sono stati scelti in classe alla fine della mattinata, ne sono rimasti alcuni quindi chi non è venuto può chiedere di farsene assengare uno dei rimasti.
provate a contattare il prof o meglio ancora uno dei suoi assistenti, usando un indirizzo di quelli che ho indicato in precedenza per il progetto |
|
|
|
|
