Obiettivi formativi

L'obiettivo del corso e` di presentare agli studenti le principali metodologie e tecnologie per la sicurezza delle reti e dei sistemi informatici distribuiti. Il corso fornisce quindi le principali nozioni teoriche e applicative per la realizzazione pratica e l'analisi formale di reti e sistemi per la sicurezza informatica.
In particolare, dopo una breve discussione delle nozioni fondamentali di crittografia che forniscono la componenti basilari per la creazione di sistemi distribuiti sicuri, verranno trattati diversi aspetti fondamentali della sicurezza informatica, tra i quali: la definizione di obiettivi di sicurezza e corrispondenti rischi e attacchi, la sicurezza delle reti di calcolatori e dei protocolli per la sicurezza di Internet, la sicurezza del web, infrastrutture a chiave pubblica, controllo degli accessi e flusso delle informazioni, modelli di sicurezza, privacy e protezione dei dati.

Programma

1. Introduzione al corso e nozioni di base di sicurezza informatica.
Obiettivo: introduzione alla sicurezza informatica e cenni di crittografia a chiave pubblica e simmetrica.
- Creazione e gestione di infrastrutture a chiavi pubbliche per la sicurezza delle reti e dei sistemi distribuiti.
- Certificazione di chiavi e gestione del trust.
- Proprieta` di sicurezza dei canali di comunicazione.
- Casi di studio: X.509, PGP, Kerberos.

2. Protocolli per la sicurezza delle reti.
Obiettivo: network-oriented security, ovvero utilizzazione di componenti base sicure per la sicurezza di applicazioni in reti open.
- Sviluppo e utilizzo di protocolli per la sicurezza di Internet.
- Caso di studio 1: da Needham-Schroeder Shared-Key a Kerberos.
- Caso di studio 2: da Diffie-Hellman Key-Exchange a IKE (Internet Key Exchange) e IPSec (IP Security).
- Modelli di rischio e di attacco ai protocolli.
- Metodi di analisi formale dei protocolli per la sicurezza.

3. Controllo degli accessi e sicurezza dei sistemi.
Obiettivo: system-oriented security, ovvero politiche, modelli e meccanismi di sicurezza per i sistemi distribuiti.
- Modelli per il controllo degli accessi (DAC e MAC).
- Formalismi per la modellizazione dei sistemi:
-- Access Control Matrix Model.
-- Bell-LaPadula, Harrison-Ruzzo-Ullmann, Chinese Wall, Biba, Clark-Wilson.
-- Role-Based Access Control.
- Fondamenti di flusso delle informazioni.
- Meccanismi di sistema: sistemi operativi e file-system, caratteristiche di sicurezza hardware.

4. Privacy e protezione dei dati.
Obiettivo: sistemi di anonimizzazione, confidenzialita`, e protezione dei dati.
- Privacy: politiche, meccanismi, problemi.
- Anonymity: meccanismi basilari (pseudonimi e proxies) e casi di studio (Mix Networks e Crowds).
- Protezione dei dati.

5. Web security.
Obiettivo: caratteristiche, problemi e soluzioni dei sistemi di sicurezza del world-wide web.
- Caratteristiche di sicurezza delle applicazioni web.
- Principali rischi e vulnerabilita` (SQL injection, input validation, authentication).
- Sicurezza dei Web Services.

Modalità d'esame

La verifica del profitto avviene mediante una prova scritta, nella quale vengono proposte sia domande sulle parti più teoriche sia brevi esercizi sugli aspetti più applicativi. È facoltà del docente sostituire la prova scritta con una prova orale, in particolare nel caso in cui non sia possibile evitare che gli studenti accedano ad appunti, libri, fotocopie. La prova scritta deve, infatti, essere svolta senza l'ausilio di appunti o altro.