Corso di Sicurezza delle Reti Informatiche

• Analisi dei rischi: individuazione di vulnerabilità, minacce ed attacchi
• Valutazione dei rischi conseguenti
• Determinazione delle possibili contromisure
• Valutazione dei costi e del ritorno dell'investimento
• Metodologie open source per l'analisi del rischio

Giorno	Aula	Inizio	Fine
Mer	B1	16	18
Gio	C1	9	11
Ven	C1	11	13

• Computer Security: Art and Science. Matt Bishop.
• Security Engineering - A Guide to Building Dependable Distributed Systems. Ross Anderson.

• Inviare una mail di richiesta a baiardi at di.unipi.it

• 1-2+ persone: definizione e implementazione di politiche di sicurezza in ambienti virtuali tramite tracciamento di chiamate di sistema. Si tratta di estendere un framework già esistente per il tracciamento delle chiamate di sistema in ambiente Linux in esecuzione su Xen, in cui una macchina virtuale tracciante deve definire e applicare politiche di sicurezza basate sulle chiamate di sistema invocate dal processo monitorato in esecuzione sulla macchina virtuale tracciata, cioè sul loro ordine e sui loro parametri. Ad es., definire quali sono gli host con cui la macchina può aprire/ricevere connessioni, stabilire le operazioni su file che sono concesse alla macchina virtuale (politiche MAC), e così via.
• 1 persona: esaminare lo stack di un processo in esecuzione su macchina virtuale, tramite introspezione, per ricostruire la catena di invocazioni di funzioni effettuate dal processo e rilevare attacchi.
• 2+ persone: estrazione di invarianti di un programma in C relative al codice tra due chiamate di sistema tramite strumenti statici.
• 1+ persone: rilevazione di intrusioni mediante generazione dinamica di invarianti (es, Daikon) e successiva verifica (es, controllo invarianti per ogni chiamata di sistema).
• 1 persona: generazione automatica di un nodo di tipo honeynet in risposta ad una scansione di rete.
• 2+ persone: codifica distribuita di un programma su macchine virtuali per impedire l'accesso e la modifica del codice di un programma.
• 2+ persone: sviluppo di componenti per aumentare la robustezza di overlay network (ad es., Gnutella, etc).
• ...

Documentazione su macchine virtuali:

• Virtual Machine Monitors: Current Technology and Future Trends
• The Reincarnation of Virtual Machines
• Xen and the Art of Virtualization
• Installare e configurare XEN

Alcuni articoli pubblicati sui migliori progetti del corso:

• Protezione del Kernel Tramite Macchine Virtuali. Fabio Campisi, Daniele Sgandurra. Net&System Security 2007. Best Student Paper Award.

Pubblicazioni:

• Unbounded Impacts and Risk Mitigation In Billing Infrastructures. Fabrizio Baiardi, Claudio Telmon, Daniele Sgandurra. Accepted for the special issue on Risk Analysis of Critical Infrastructures for the International Journal of Risk Assessment and Management. 2011.
• Semantic Attestation of Node Integrity in Overlays. Fabrizio Baiardi, Daniele Sgandurra. In proceedings of OTM 2010 - Confederated International Conferences: CoopIS, IS, DOA and ODBASE, Hersonissos, Crete, Greece, October 25-29, 2010. LNCS 6426, pp. 656-671.
• Attestation of Integrity of Overlay Networks. Fabrizio Baiardi, Daniele Sgandurra. Journal of Systems Architecture, In Press, Accepted Manuscript.
• Securing a Community Cloud. Fabrizio Baiardi, Daniele Sgandurra. In proceedings of the first ICDCS Workshop on Security and Privacy in Cloud Computing, 2010, issn 1545-0678, pp. 32-41.
• Invariant Evaluation through Introspection for Proving Security Properties. Fabrizio Baiardi, Dario Maggiari and Daniele Sgandurra. Journal of Information Assurance and Security, Volume 4, Issue 2. pp 124-132, Dynamic Publisher Inc, issn 1554-1010, 2009.
• Modeling and Managing Risk in Billing Infrastructures. Fabrizio Baiardi, Claudio Telmon and Daniele Sgandurra. In proceedings of the Third Annual IFIP Working Group 11.10 International Conference on Critical Infrastructure Protection, ISBN 978-3-642-04797-8, pp. 51-64, Springer Boston.
• Measuring Semantic Integrity for Remote Attestation. Fabrizio Baiardi, Diego Cilea, Daniele Sgandurra and Francesco Ceccarelli. In proceeding of the 2nd International Conference on Trusted Computing Technical Strand (Trust 2009), Oxford, UK.
• PsycoTrace: Virtual and Transparent Monitoring of a Process Self. Fabrizio Baiardi, Dario Maggiari, Daniele Sgandurra and Francesco Tamberi. In proceeding of the 17th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2009), Weimar, Germany.
• Securing Health Information Infrastructures through Overlays. Fabrizio Baiardi, Dario Maggiari and Daniele Sgandurra. In Proceedings of HEALTHINF 2009 - International Conference on Health Informatics, Porto (Portugal).
• Transparent Process Monitoring in a Virtual Environment. Daniele Sgandurra, Fabrizio Baiardi, Dario Maggiari, and Francesco Tamberi. In proceedings of the Third International Workshop on Views On Designing Complex Architectures (VODCA 2008), Bertinoro (Italy), ENTCS 236, pp. 85-100.
• Semantics-Driven Introspection in a Virtual Environment. Francesco Tamberi, Dario Maggiari, Daniele Sgandurra, Fabrizio Baiardi. In proceedings of The Fourth IEEE International Conference on Information Assurance and Security (IAS 2008).
• Hierarchical, Model-Based Risk Management of Critical Infrastructures. Fabrizio Baiardi, Claudio Telmon, Daniele Sgandurra. Reliability Engineering & System Safety Volume 94, Issue 9, September 2009, Pages 1403-1415.
• Secure Sharing of an ICT Infrastructure Through Vinci. Fabrizio Baiardi and Daniele Sgandurra, In Proceedings of the 2nd International Conference on Autonomous Infrastructure, Management and Security Resilient Networks and Services (AIMS 2008), LNCS 5127, pp. 65-78, 2008.
• Virtual Interacting Network Community: Exploiting Multi-Core Architectures to Increase Security. Fabrizio Baiardi and Daniele Sgandurra, Proceedings of the 2008 Computing Frontiers Conference, ACM, p. 111, 2008.
• Towards High Assurance Networks of Virtual Machines. Fabrizio Baiardi and Daniele Sgandurra, Proceedings of European Conference on Computer Network Defense (EC2ND), 2007.
• Managing Critical Infrastructures through Virtual Network Communities. Fabrizio Baiardi, Gaspare Sala, and Daniele Sgandurra, Proceedings of 2nd International Workshop on Critical Information Infrastructures Security (CRITIS), LNCS 5141, 2007.
• Security and Integrity of a Distributed File Storage in a Virtual Environment. Gaspare Sala, Daniele Sgandurra, and Fabrizio Baiardi. Proceedings of 4th International IEEE Security in Storage Workshop (SISW 07).
• Building Trustworthy Intrusion Detection through VM Introspection. Fabrizio Baiardi and Daniele Sgandurra, Proceedings of The Third IEEE International Symposium on Information Assurance and Security (IAS), pp. 209-214, 2007.
• A Mathematical Framework to Assess the Security of an Information Infrastructure. F. Baiardi, S. Suin, C. Telmon. First italian workshop on privacy and security, Roma Giugno 2006.
• Assessing the Risk of an Information Infrastructures through Security Dependencies. F. Baiardi, S. Suin, C. Telmon. First international workshop on critical information infrastructure security, Samo, Sett 2006.
• Allocating Resources to the Search for Vulnerabilities In Information Infrastructures. F. Baiardi. Proceedings of NATO Research Workshop on Computational Models of Risk to Infrastructure, 9-13 May 2006.
• Short Paper: Policy Driven Virtual Machine Monitor for Protected Grids. F. Baiardi, L. Ricci, P. Mori, A. Vaccareli. 15th IEEE International Symposium on High Performance Distributed Computing, June 2006, Paris, France.
• Vulnerabilities, Attacks and Equilibrium in Information Infrastructures. F. Baiardi, Proceedings of the ENEA International Workshop on Complex Networks and Infrastructure Protection" Roma, March 2006.
• Constrained Automata: a Formal Tool for ICT Risk Assessment. F.Baiardi, F.Martinelli, L.Ricci, C.Telmon. NATO Avanced Research Workshop on Informationa Security and Assurance, June 2005.
• Average Impact of Attacks on Billing Infrastructures. F. Baiardi, C.Telmon. MMM-ACNS 2005, Mathematical Models and Methods for Advance Computer Network Security, St. Petersburg, Sept. 2005.

Tesi:

• Strategie di offuscamento del codice basate su macchine virtuali. Alberto Daniel.
• p2p sicuro mediante macchine virtuali. Federico Tonelli.
• Attestazione remota dell'integrità semantica di un sistema. Diego Cilea.
• Monitoraggio e amministrazione di reti virtuali. Carlo Bertoldi.
• PsycoTrace, uno strumento per la difesa da attacchi ai processi: controlli di consistenza. Dario Maggiari.
• PsycoTrace, uno strumento per la difesa da attacchi ai processi: tracciamento delle invocazioni al sistema operativo. Francesco Tamberi.
• Analisi di contaminazione di file. Stefano Paganucci.
• Sviluppo di agenti per il rilevamento di intrusioni tramite introspezione. Fabio Campisi.
• Un approccio alla condivisione protetta delle risorse tramite virtualizzazione. Gaspare Sala.

Software:

• PsycoTrace.