Progetto della sicurezza di rete/2006-2007

News

Lezioni cancellate/spostate

La lezione di Lunedì 16 ottobre 2006 non si terrà, causa Lauree in aula Beta.

Appelli

[...]

Informazioni generali

Progetto della Sicurezza di Rete è un corso complementare per le Lauree Magistrali.

Docenti

• Prof. Danilo Bruschi
  • Email: bruschi [AT] dico [DOT] unimi [DOT] it
  • Pagina personale sul DICo: http://www.dico.unimi.it/persona.php?z=0;id_persona=17

Corsi di laurea

• Corsi_Magistrale

Modalità d'esame

• Homeworks (quasi) settimanali (che costituiranno il 70% della valutazione)
• Prova pratica di laboratorio (che costituirà il 30% della valutazione)

Prerequisiti al corso

• Tanta voglia di impegnarsi e di studiare
• Conoscenza di Linux
• Conoscenza del linguaggio C
• Conoscenze di Reti di Calcolatori

Orari e luogo delle lezioni

• Lunedì, 08:30-11:30 (Aula Beta, via Comelico)
• Dal DICo: http://www.dico.unimi.it/occorrenza.php?z=0;id_occ=1209
• E' molto consigliata la frequenza

Orario di ricevimento studenti

• Ricevimento su appuntamento tramite email
• Stanza P115

Informazioni specifiche

Siti del corso

• In DICo: http://www.dico.unimi.it/occorrenza.php?z=0;id_occ=1209
• http://security.dico.unimi.it/sicurezza0607/#spec (è il sito del corso di sicurezza che contiene anche il materiale del corso di Progetto della Sicurezza di Rete)

Forum del corso (non ufficiale)

• Da dsy: http://www.dsy.it/forum/forumdisplay.php?forumid=257

Materiale didattico

Programma del corso

• Dal DICo: Programma di Progetto della Sicurezza di Rete

Testi

• Nessun libro di testo è stato consigliato

Altro materiale consigliato

• Le slide presentate a lezione NON saranno rese disponibili
• Riferimenti, links, articoli e documenti elettronici dati dal Prof. durante le lezioni e disponibili sul sito del corso: http://security.dico.unimi.it/sicurezza0607/#spec

Link utili

• http://www.cert.org
• http://www.hacker-dictionary.com/
• http://catb.org/jargon/
• http://www.nsa.gov/
• http://www.isecom.org/osstmm/

Diario del corso

Lezione di Lunedì 02 ottobre 2006

• Introduzione al corso e informazioni generali
• Sistema sicuro
• Fault, Failure
• Bug, Security Bug, Exploit
• Vulnerability Analisys
• Hackers
  • Chi sono?
  • Hackers illustri
    • Richard Stallman - Richard Stallman's Personal Page - Richard Stallman su it.wikipedia.org
    • Steve Wozniak - http://www.woz.org/ - Steve Wozniak su it.wikipedia.org
    • Dennis Ritchie - http://cm.bell-labs.com/who/dmr/ - Dennis Ritchie su it.wikipedia.org
    • Ken Thompson - Ken Thompson su it.wikipedia.org
    • Linus_Torvalds - Linus Torvalds su it.wikipedia.org
  • Cracker
  • Warez
  • Black, White, Grey Hat
  • Script Kiddie
  • Intrusioni che hanno fatto storia
• Reati connessi e leggi C.P.
  • Accesso abusivo [Art. 615-ter]
  • Detenzione e diffusione abusiva di codici di accesso [Art. 615-quater]
  • Diffusione di programmi [Art. 615-quinques]
  • Tutela della corrispondenza informatica [Art. 617-quater]
  • Frode informatica [Art. 640-ter]

HMW #1

• Predisporre una relazione in formato elettronico che affronti a livello introduttivo i seguenti argomenti:
  • Che cos'è la sicurezza informatica
  • Definizione dei termini di riferimento: bug, security bug, vulnerabilità, exploit, fault, failure, safety, dependability
  • Breve storia dell'Hacking
  • Aspetti etici del computer hacking, full disclosure e responsible disclosure
  • Bibliografia di riferimento
• Consegnare via email al Prof. entro Lunedì 16 ottobre 2006

Lezione di Lunedì 09 ottobre 2006

• Sicurezza dei sistemi operativi
  • Cos'è un S.O.
• Meccanismi di protezione
  • S.O. standard
  • S.O. trusted
    • Common Criteria, Standard ISO per la sicurezza informatica CC su en.wikipedia.org
    • Evaluation Assurance Level (EAL)
    • Selinux, esempio di trusted S.O.
• Protezione del S.O.
  • Separazione fisica
  • Bit di stato
  • Controled invocation
• Protezione di oggetti/soggetti del sistema da altri soggetti
  • Soggetti, Oggetti, Right
  • Protezione dei processi
  • Protezione della memoria
  • Paginazione, Segmentazione
  • Tagged architecture
  • Controllo degli accessi
  • Problematiche connesse
  • Matrice degli accessi
  • Controllo discrezionale e Controllo mandatorio
  • Access Control List (ACL)
  • Capability (directory)
  • Token (capability)
• Auditing e Logging
  • Struttura di un sistema di audit
• Ciclo di vulnerabilità
• Severity di vulnerabilità
• Politiche di disclosure
  • Responsible disclosure
• Database vulnerabilità
  • Bugtraq
  • CVE - Common Vulnerabilities and Exposures