Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.

Slides:

Advertisements

Presentazioni simili

Sistemi dinamici discreti e computabilità intrinseca

Advertisements

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.

Corso aggiornamento ASUR10

Carlo Di Federico - Matricola n Roberto Gonella - Matricola n

Presupposti alla lezione

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.

IL COMPUTER Il computer, o elaboratore, è un insieme di dispositivi (meccanici, elettrici,ottici) predisposti per accettare dati dallesterno, elaborarli.

La Modifica dei Dati in una Base Dati La modifica dei dati contenuti allinterno di una base dati è unoperazione delicata Infatti, ogni potenziale problema.

Per crittografia si intende la protezione

Introduzione all’analisi forense: metodologie e strumenti

Reti Logiche e Architettura dei Calcolatori Luciano Gualà home page

Reti e Sistemi operativi

Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.

MAIS WP5 – Architectures Luca Negri Politecnico di Milano Roma – novembre 05.

IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.

FONDAMENTI DI INFORMATICA III A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2.6 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO.

1 2. Analisi degli Algoritmi. 2 Algoritmi e strutture dati - Definizioni Struttura dati: organizzazione sistematica dei dati e del loro accesso Algoritmo:

Architettura del World Wide Web

Struttura dei sistemi operativi (panoramica)

TCPA & Palladium Giulio Gianrossi..

La Riflessione computazione Elisa Ferrando. Cos è la Riflessione La Riflessione Sistema riflessivo Sistema computazionale.

Oggetti e dati primitivi Programmazione Corso di laurea in Informatica.

CAPITOLO 2 INTRODUZIONE AL LINGUAGGIO JAVA E ALL'AMBIENTE HOTJAVA.

PROGETTO FIRB – GESTIONE DELLA CONOSCENZA (GECON) Documento per il Meeting del 6/4/06 - Milano.

Fondamenti di Informatica1 Software di base Tra il linguaggio macchina (basso livello) e i linguaggi evoluti (alto livello) esiste uno strato di software.

IL CLOUD COMPUTING: portabilità o privacy?

La struttura organizzativa e informativa del controllo

1 IsaPress. 2 Obiettivo Realizzare uno strumento di facile uso per estrarre il contenuto da documenti binari di vario tipo in un formato utile per l'impaginazione.

Situazione attuale delle reti e problematiche

PRESENTAZIONE di RICCARDO

IndirizzoElettrotecnica ed Elettronica articolazione ELETTRONICA articolazione ELETTRONICA Noi che operiamo nel corso di elettronica, abbiamo come obiettivo.

Progetto MIUR 5% Salvaguardia delluomo… – 2 o Convegno Nazionale, Firenze, 2003 Procedure standardizzate per la raccolta dei dati nelle stazioni di misura.

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.

INFORMATICA MATTEO CRISTANI.

1 AUTOMATIZZAIAUTOMATIZZAIAUTOMATIZZAIAUTOMATIZZAI S.I. SISTEMASISTEMA INFORMATIVO INFORMATIVO PROCESSOPROCESSO DECISIONALE DECISIONALE DECISIONEDECISIONE.

Itis Galilei di Roma - 9 novembre

LA VALUTAZIONE DELLA FAD

Università degli studi di Padova Dipartimento di ingegneria elettrica

Dati e DBMS DBMS relazionali SQL Progettazione di una base di dati Programma del Corso.

P.L. Fabbri Gli Hard Disks sono oggetti molto affidabili. Strategie di Backup dei dati … fino a che non si guastano !!!

GAC: mercato Verticale dedicato alle aziende che sviluppano attività su commessa, ovvero legate alla realizzazione di progetti o di prodotti non di serie.

Prima di iniziare… Durata attività: due lezioni frontali + una lezione laboratorio + compiti per casa Prerequisiti: elementi base architettura dei calcolatori.

Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.

Rilevazioni di tipo indiretto e di tipo diretto zRilevazioni di tipo indiretto: ●il comportamento oggetto della ricerca viene riferito all’osservatore.

La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.

Informatica e Telecomunicazioni

Capitolo 8 La gestione di rete

Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.

RETI DI SENSORI Le reti WSN (Wireless Sensor Network) offrono la possibilità di distribuire intelligenza nell’ambiente a costi contenuti ed in maniera.

Ingegneria del software Modulo 2 -Il software come prodotto Unità didattica 2 - I costi del software Ernesto Damiani Università degli Studi di Milano Lezione.

UNITA’ 02 Malware.

Io ho voluto dimostrarlo attraverso una delle mie passioni:

Vessel Enhanced DETection and TrAffic Acquisition

D. Allasia, G. Rinaudo, Dipartimento di Fisica Sperimentale, Università di Torino – “Rete di energie 2009” – 30/09/09 Energia dalla materna alla Secondaria.

Architetture dei sistemi di calcolo, sistemi operativi, reti di calcolatori Dr. Luciano Bononi Facoltà di Scienze, Fisiche Naturali dell’Università di.

Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.

Sicurezza e attacchi informatici

Cloud SIA V anno.

La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.

1 Prof. Stefano Bistarelli Dipartimento di Scienze e-government: oggi.

Presentazione del Secondo Rapporto sulle condizioni abitative degli anziani in Italia che vivono in case di proprietà Roma 6 novembre 2015 Centro.

Le basi di dati.

Informatica Problemi e algoritmi. una situazione che pone delle domande cui si devono dare risposte. Col termine problema o situazione problematica s’indica.

Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.

Ministero della Giustizia Dipartimento dell’Organizzazione Giudiziaria, del personale e dei servizi Direzione Generale per i sistemi informativi automatizzati.

Pensiero computazionale, tecnologie digitali e didattica della matematica Giampaolo Chiappini – Istituto per le Tecnologie Didattiche - Consiglio Nazionale.

Triggers and actions L’inizializzazione di un trigger permette di avviare delle azioni automatiche a partire da eventi significativi. Possibili azioni.

ROMA 24 GIUGNO 2016 SPAZIO CONFRONTI Il sistema DARCAP a supporto della rilevazione SIS PRO SPAZIO CONFRONTI Il sistema DARCAP a supporto della rilevazione.

Transcript della presentazione:

Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli Studi di Milano

Danilo Bruschi DICO/UNIMI 2 Sommario Definizione di una strategia per lindividuazione e rilevazione di virus polimorfi e metamorfici Definizione di un dispositivo tamper proof per la sorveglianza della rete

Danilo Bruschi DICO/UNIMI 3 Polimorfismo e Metamorfismo Forme di malware molto evolute: ogni istanza del malware è differente dalle precedenti questa differenza fa si che non sia possibile identificare un pattern (abbastanza grande) comune a tutte le istanze dello stesso malware estrema difficoltà per gli strumenti tradizionali (antivirus) a rilevare il codice maligno

Danilo Bruschi DICO/UNIMI 4 Polimorfismo e Metamorfismo Le trasformazioni più comuni utilizzate dai malware sono: sostituzione di istruzioni inserimento di istruzioni inutili sostituzione delle variabili e dei registri usati alterazione del flusso del programma Ad ogni esecuzione queste trasformazioni sono applicate in modo completamente casuale generando così un nuovo codice maligno fisicamente differente dal precedente ma identico, dal punto di vista del comportamento

Danilo Bruschi DICO/UNIMI 5 Come far fronte al problema? Abbiamo individuato un procedimento di riconoscimento per questo tipo di malware composto da due fasi: gli effetti delle trasformazioni vengono annullati convertendo il malware in una forma canonica in cui tutto ciò che non è necessario per la computazione viene rimosso e tutto ciò che può essere fonte di diversità viene eliminato il confronto tra due malware viene effettuato dopo la conversione in forma canonica perché ormai le differenze principali sono state eliminate

Danilo Bruschi DICO/UNIMI 6 Il processo di analisi Il malware viene processato e convertito in un formato intermedio di più semplice manipolazione (1 e 2) La conversione in forma canonica viene eseguita attraverso l'utilizzo di alcune tecniche di ottimizzazione (3,4 e 5) Il confronto tra due programmi (malware oppure programmi generici) viene eseguito sulla forma canonica attraverso l'utilizzo di alcune metriche software in grado di misurare la loro similitudine strutturale (6)

Danilo Bruschi DICO/UNIMI 7 Risultati sperimentali Il metodo proposto è stato sperimentato su uno dei malware più avanzati La trasformazione in forma canonica ha permesso di annullare gran parte delle modifiche subite durante l'evoluzione Il confronto basato sull'utilizzo delle metriche ha permesso di quantificare la similitudine dei malware prima e dopo la conversione in forma canonica e di valutare la sua reale efficacia

Danilo Bruschi DICO/UNIMI 8 Sorveglianza delle reti Lefficacia di un qualunque meccanismo di sorveglianza delle reti è fortemente vincolata alla qualità dei dati che possono essere raccolti La qualità ed efficacia di questi dati (tracce) dipende fortemente da: integrità autenticità legalità

Danilo Bruschi DICO/UNIMI 9 Integrità I dati digitali, i log, ecc. sono per loro natura fragili facilissimi da alterare per errore, Le manipolazioni sono spesso difficili da rilevare Soluzioni parziali possono limitare il problema checksum log crittografici e distribuiti pedanteria nella documentazione delle operazioni

Danilo Bruschi DICO/UNIMI 10 Autenticità I dati digitali necessitano sempre di un'interpretazione molteplici livelli di astrazione innumerevoli manipolazioni intermedie da parte di hw e sw difficoltà anche solo nell'enumerare ed esporre a scrutinio incrociato la catena d'interpretazione

Danilo Bruschi DICO/UNIMI 11 Legalità Le tracce digitali a volte sono l'unica o la fonte principale di colpevolezza. Non è facile raccoglierle rispettando tutte le garanzie necessarie perché possano essere presentate in tribunale le comunicazioni sono tutelate a livello costituzionale nelle reti a pacchetto la quantità di dati è enorme: molte delle informazioni rilevate spesso riguardano soggetti estranei alle indagini vincoli temporali stringenti devono essere rispettati e occorre poterne fornire prova inconfutabile

Danilo Bruschi DICO/UNIMI 12 Qualità delle tracce raccolte E` necessario disporre di strumenti adeguati per discernere informazioni importanti nella massa dei dati Anche la semplice cattura è problematica: velocità delle reti crescente complessità dei protocolli topologie irrazionali intreccio di dati rilevanti e legalmente intercettabili, con dati irrilevanti e/o potenzialmente illegali

Danilo Bruschi DICO/UNIMI 13 Fiducia nella qualità delle tracce Per far fronte a tutti questi problemi è in fase di progettazione presso I nostri laboratori una piattaforma per la raccolta del traffico di rete altamente innovativa e basata sul concetto di TRUSTED COMPUTING PLATFORM

Danilo Bruschi DICO/UNIMI 14 Trusted Computing Platform Arbaugh et al. (1997), ``A secure and reliable bootstrap architecture'' Sono sistemi caratterizzati dalla proprietà di operare secondo la loro specifica iniziale o segnalare immediatamente l'alterazione Varie proposte: TCG (TCPA) è un consorzio multivendor per creare un standard industriale

Danilo Bruschi DICO/UNIMI 15 Componenti di una TP Un chip dedicato Un firmware in grado di interagire secondo i protocolli della TP Ogni componente del sistema può essere verificato nella sua integrità a partire dalla fase di boot grazie a tecniche crittografiche

Danilo Bruschi DICO/UNIMI 16 TP e attività di sorveglianza L'uso di TP può risolvere ed attenuare molti dei problemi della raccolta dei dati digitali compromissione di router autenticità di log intercettazione controllata