Computer Science - Informatica

Descrizione del Corso Il corso presenta aspetti metodologici e pratici della sicurezza software, partendo da alcune delle vulnerabilità più note. Gli argomenti trattati includono attacchi ai cifrari comuni, come la crittoanalisi e i side channel, e attacchi software, tra cui varie forme di buffer e heap overflow, problemi causati dalla formattazione dell'input, conseguenze delle race conditions, generazione di numeri casuali e code injection. L'accento è posto sulle metodologie e i tool usati per identificare ed eliminare tali vulnerabilità. Vengono presentate tecniche per dimostrare l'assenza di vulnerabilità e discussi approcci per evitare l'introduzione di vulnerabilità nei prodotti software (ad esempio, l'uso dei tipi nei linguaggi per garantire memory safety, type-safety, information flow security e strumenti crittografici). Sono inoltre trattate nozioni di base su Proof-Carrying Code (PCC) e sull'offuscamento del codice/crittografico. Gli studenti vengono esposti a metodologie per progettare software integrando l'analisi e la gestione del rischio nel software development lifecycle. Migliorare il Codice Esistente - Vulnerabilità note: Buffer overflow, SQL/code injection, TOCTOU - Analisi statica e dinamica del codice e tools - Common Vulnerability Scoring System (CVSS) Valutare la Sicurezza - Principi - Testing Sviluppare Software Sicuro - Sviluppo di codice sicuro / defensive coding - Sicurezza in Java Approcci Attuali - Language-based security - Information Flow Control - Proof-Carrying Code - Code Obfuscation Introduzione alle Primitivi Crittografiche - Cifrari comuni - Crittografia a chiave pubblica

- Corso introduttivo di sicurezza - Conoscenza elementare di sistemi operativi e DB - Capacità basilari di programmazione, in particulare C/C++, Java, basi di PHP e javascript

R. Anderson, Security Engineering: a guide to building dependable distributed systems, 2nd ed., John Wiley and Sons 2008 J.Viega, G.McGraw, Building Secure Software, Addison- Wesley 2002 G.McGraw, Software Security: Building Security in, Addison- Wesley 2006 G.Hoglung, G.McGraw, Exploiting Software: how to break code, Addison-Wesley 2004 G.McGraw, E.Felten, Securing Java, John Wiley and Sons 1999, D.A.Wheeler, Secure Programming for Linux and Unix HOWTO J. Katz, Y. Lindell, Introduction to Modern Cryptography (Chapman & Hall/CRC Cryptography and Network Security Series)

In presenza

Uno o più progetti individuali - Analisi statica di frammenti di codice - Assertion-based code analysis - Testing o Evaluation di applicationo I progetti sono obbligatori per poter superare l'esame. - Esame scritto sugli argomenti del corso.

Il corso si svolge con lezioni che presentano argomenti legati alla sicurezza delle applicaioni software introducendo concetti di sicurezza ed esempi.

Descrizione del Corso Il corso presenta aspetti metodologici e pratici della sicurezza software, partendo da alcune delle vulnerabilità più note. Gli argomenti trattati includono attacchi ai cifrari comuni, come la crittoanalisi e i side channel, e attacchi software, tra cui varie forme di buffer e heap overflow, problemi causati dalla formattazione dell'input, conseguenze delle race conditions, generazione di numeri casuali e code injection. L'accento è posto sulle metodologie e i tool usati per identificare ed eliminare tali vulnerabilità. Vengono presentate tecniche per dimostrare l'assenza di vulnerabilità e discussi approcci per evitare l'introduzione di vulnerabilità nei prodotti software (ad esempio, l'uso dei tipi nei linguaggi per garantire memory safety, type-safety, information flow security e strumenti crittografici). Sono inoltre trattate nozioni di base su Proof-Carrying Code (PCC) e sull'offuscamento del codice/crittografico. Gli studenti vengono esposti a metodologie per progettare software integrando l'analisi e la gestione del rischio nel software development lifecycle. Migliorare il Codice Esistente - Vulnerabilità note: Buffer overflow, SQL/code injection, TOCTOU - Analisi statica e dinamica del codice e tools - Common Vulnerability Scoring System (CVSS) Valutare la Sicurezza - Principi - Testing Sviluppare Software Sicuro - Sviluppo di codice sicuro / defensive coding - Sicurezza in Java Approcci Attuali - Language-based security - Information Flow Control - Proof-Carrying Code - Code Obfuscation Introduzione alle Primitivi Crittografiche - Cifrari comuni - Crittografia a chiave pubblica

- Corso introduttivo di sicurezza - Conoscenza elementare di sistemi operativi e DB - Capacità basilari di programmazione, in particulare C/C++, Java, basi di PHP e javascript

R. Anderson, Security Engineering: a guide to building dependable distributed systems, 2nd ed., John Wiley and Sons 2008 J.Viega, G.McGraw, Building Secure Software, Addison- Wesley 2002 G.McGraw, Software Security: Building Security in, Addison- Wesley 2006 G.Hoglung, G.McGraw, Exploiting Software: how to break code, Addison-Wesley 2004 G.McGraw, E.Felten, Securing Java, John Wiley and Sons 1999, D.A.Wheeler, Secure Programming for Linux and Unix HOWTO J. Katz, Y. Lindell, Introduction to Modern Cryptography (Chapman & Hall/CRC Cryptography and Network Security Series)

In presenza

Uno o più progetti individuali - Analisi statica di frammenti di codice - Assertion-based code analysis - Testing o Evaluation di applicationo I progetti sono obbligatori per poter superare l'esame. - Esame scritto sugli argomenti del corso.

Il corso si svolge con lezioni che presentano argomenti legati alla sicurezza delle applicaioni software introducendo concetti di sicurezza ed esempi.