Computer Science - Informatica

Descrizione del Corso Il corso presenta aspetti metodologici e pratici della sicurezza software, partendo da alcune delle vulnerabilità più note. Gli argomenti trattati includono attacchi ai cifrari comuni, come la crittoanalisi e i side channel, e attacchi software, tra cui varie forme di buffer e heap overflow, problemi causati dalla formattazione dell'input, conseguenze delle race conditions, generazione di numeri casuali e code injection. L'accento è posto sulle metodologie e i tool usati per identificare ed eliminare tali vulnerabilità. Vengono presentate tecniche per dimostrare l'assenza di vulnerabilità e discussi approcci per evitare l'introduzione di vulnerabilità nei prodotti software (ad esempio, l'uso dei tipi nei linguaggi per garantire memory safety, type-safety, information flow security e strumenti crittografici). Sono inoltre trattate nozioni di base su Proof-Carrying Code (PCC) e sull'offuscamento del codice/crittografico. Gli studenti vengono esposti a metodologie per progettare software integrando l'analisi e la gestione del rischio nel software development lifecycle. Migliorare il Codice Esistente - Vulnerabilità note: Buffer overflow, SQL/code injection, TOCTOU - Analisi statica e dinamica del codice e tools - Common Vulnerability Scoring System (CVSS) Valutare la Sicurezza - Principi - Testing Sviluppare Software Sicuro - Sviluppo di codice sicuro / defensive coding - Sicurezza in Java Approcci Attuali - Language-based security - Information Flow Control - Proof-Carrying Code - Code Obfuscation Introduzione alle Primitivi Crittografiche - Cifrari comuni - Crittografia a chiave pubblica

- Corso introduttivo di sicurezza - Conoscenza elementare di sistemi operativi e DB - Capacità basilari di programmazione, in particulare C/C++, Java, basi di PHP e javascript

R. Anderson, Security Engineering: a guide to building dependable distributed systems, 2nd ed., John Wiley and Sons 2008 J.Viega, G.McGraw, Building Secure Software, Addison- Wesley 2002 G.McGraw, Software Security: Building Security in, Addison- Wesley 2006 G.Hoglung, G.McGraw, Exploiting Software: how to break code, Addison-Wesley 2004 G.McGraw, E.Felten, Securing Java, John Wiley and Sons 1999, D.A.Wheeler, Secure Programming for Linux and Unix HOWTO J. Katz, Y. Lindell, Introduction to Modern Cryptography (Chapman & Hall/CRC Cryptography and Network Security Series)

In presenza

Uno o più progetti individuali - Analisi statica di frammenti di codice - Assertion-based code analysis - Testing o Evaluation di applicationo I progetti sono obbligatori per poter superare l'esame. - Esame scritto sugli argomenti del corso.

Il corso si svolge con lezioni che presentano argomenti legati alla sicurezza delle applicaioni software introducendo concetti di sicurezza ed esempi.