• Home
• Regolamento
• Vincitori
• Accesso
• Bacheca
• Contatti

BACHECA TESI

Edizione 2015

Simone Bocca (Università degli studi di Torino, Dipartimento di Informatica)
"RankingApp: Strumento di Analisi statica per la verifica di applicazioni Android"
Link esterno alla tesi: https://summia@bitbucket.org/summia/progtesi.git

Simone Bocca (Università degli studi di Torino, Dipartimento di Informatica)
"RankingApp: Strumento di Analisi statica per la verifica di applicazioni Android"
(Relatore: Francesco Bergadano).
Sono ormai oltre un miliardo, nel mondo, i dispositivi tra smartphone e tablet che fanno uso del sistema operativo Android. La facilità di programmazione, l'elevato sviluppo del sistema come sicuramente il guadagno economico sono le principali cause della programmazione di software malevolo (Malware) all'interno di applicazioni. La crescita di questo fenomeno si è evoluta alla pari con la popolarità del sistema adottando tecniche più difficili da scovare, il malware infatti può nascondersi in applicazioni che possono sembrare, sotto quasi tutti gli aspetti, innocue o di uso comune. Poiché i dispositivi in questione sono ormai presenti costantemente nella nostra vita, è fondamentale lo studio e lo sviluppo di strumenti all'avanguardia per contrastare questo tipo di attacchi. Il progetto di RankingApp nasce con l'intenzione di creare uno strumento in grado di analizzareun'applicazione Android attraverso più tecniche di analisi malware, ottenendo così, un quadro generale delle vulnerabilità e dei rischi che un'applicazione comporta. RankingApp è stato realizzato attraverso un procedimento di studio centrato sull'analisi statica delle operazioni di un'applicazione, poiché proprio le operazioni più banali e frequenti sono il territorio prescelto dai produttori di malware. Per questo motivo si è scelto di creare una versione base del programma che fornisse le funzioni di creazione ed analisi del Control Flow Graph, in grado quindi di individuare alterazioni nel comportamento di suddette operazioni. Il tool fornisce quindi una base per lo sviluppo di un software di analisi malware in grado di dare una panoramica, dal punto di vista della sicurezza, di una o più applicazioni.
Link esterno alla tesi: https://summia@bitbucket.org/summia/progtesi.git

---

Maria Elena Chiappe (Dipartimento d'Ingegneria Elettrica ed Elettronica - Università di Cagliari)
"Static Analysis and Detection of Malicious ActionScript Files through Structural and Content-based Analysis"
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it

Maria Elena Chiappe (Dipartimento d'Ingegneria Elettrica ed Elettronica - Università di Cagliari)
"Static Analysis and Detection of Malicious ActionScript Files through Structural and Content-based Analysis"
(Relatore: Giorgio Giacinto).
Gli attacchi informatici veicolati attraverso Adobe Flash Player sono un pericolo costante, per via della sua diffusione e della scoperta di sempre nuove vulnerabilità. Di conseguenza le misure di prevenzione adottate da Adobe e da diversi web browser potrebbero non essere più sufficienti; inoltre, lo stato dell'arte riguardo l'individuazione di tali minacce è molto limitato. In questa tesi ho estratto informazioni utili per l'individuazione di file maligni attraverso l'analisi statica (ossia non prevede l'esecuzione del codice) della struttura e del contenuto di numerosi file SWF. Come informazioni strutturali, ho considerato quelle relative alla distribuzione di oggetti legati ai contenuti visualizzati dal file SWF (es., immagini, audio ...). In particolare, tali oggetti solo legati ai tag, ovvero strutture dati che descrivono il tipo di oggetto e controllano quando questo viene richiamato. Le informazioni da me estratte analizzano la distribuzione di tali tag e la loro dimensione; per quanto concerne il contenuto, ho analizzato informazioni estratte dall'ActionScript bytecode relative a nomi di metodi, classi e stringhe. Per fare questo, ho principalmente analizzato strutture tipiche del bytecode Actionscript denominate Names, le quali specificano proprio quali metodi e classi sono usati nel codice Per poter valutare l'efficacia delle informazioni da me estratte per la classificazione, è stato implementato, da parte dell'Università di Cagliari, un sistema di individuazione di malware SWF basato su machine learning. Tale sistema sfrutta un parser capace di deoffuscare il codice del file analizzato. Il sistema ha mostrato ottimi risultati. In particolare, a fronte del 2% di falsi positivi, è stato possibile classificare correttamente il 95% dei malware, mantenendo una deviazione standard molto bassa. Inoltre, questo approccio è utilizzabile a prescindere dalla versione di Flash a cui i files appartengono. I risultati suggeriscono che un approccio simile può essere usato per predire attacchi non ancora riconosciuti da sistemi a firma come gli Antivirus.
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it

---

Alberto Coletta (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"DroydSeuss: A Mobile Banking Trojan Tracking Service"
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/106646
Link esterno al gruppo di ricerca: http://necst.it/about

Alberto Coletta (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"DroydSeuss: A Mobile Banking Trojan Tracking Service"
(Relatore: Prof. Federico Maggi).
From reverse engineering several samples of mobile banking trojans, we observed the presence of repetitive static artifacts that revealed valuable information for the researchers who need to track and monitor the distribution of this class of malicious apps. In addition to these artifacts, banking trojans must unavoidably communicate with their operators in multiple ways (e.g., phone, SMS, Web service), which guarantees another source of interesting data. Motivated by the high threat level posed by banking trojans and by the lack of publicly available analysis and intelligence tools targeted at mobile banking trojans, we automated the extraction of such artifacts and created a malware tracker that we named Droydseuss. Based on the aforementioned observations, Droydseuss processes malware samples statically and dynamically, searching for allocated relevant strings that contain traces of communication endpoints. Then, it prioritizes the extracted strings based on the API functions that manipulate them, giving more priority to strings used by phone- and web-related functions. Droydseuss then uses frequent itemset mining to correlate the endpoints so derived with descriptive metadata from the samples (e.g., package name), providing aggregated statistics, raw data and cross-sample information that allow researchers to pinpoint relevant groups of applications. We connected Droydseuss to the VirusTotal daily feed, consuming Android samples that perform banking-trojan activity. In about 14 months it analyzed 5,508 samples. As a result, Droydseuss produces publicly available blacklists of the extracted endpoints. In addition to evaluating the performance of Droydseuss, we manually analyzed its output and found supporting evidence to confirm its correctness. Remarkably, the most frequent itemset revealed a campaign currently spreading against Chinese and Korean bank customers. Although motivated by mobile banking trojan tracking, Droydseuss can be used to analyze the communication behavior of any dataset of suspicious samples.
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/106646
Link esterno al gruppo di ricerca: http://necst.it/about

---

Elia Dal Santo (Università degli Studi di Padova, dipartimento di Matematica)
"DELTA: Data Extraction and Logging Tool for Android"

Elia Dal Santo (Università degli Studi di Padova, dipartimento di Matematica)
"DELTA: Data Extraction and Logging Tool for Android"
(Relatore: Mauro Conti).
In the past few years, the use of smartphones has increased exponentially, and so have the capabilities of such devices. Together with an increase in raw processing power, there has also been a huge leap in the amount of data that can be extracted from these devices. Indeed, modern smartphones are equipped with an increasing number of sensors and expose an extensive API (Accessible Programming Interface) set. These capabilities allow us to extract a wide spectrum of data from such devices. This data ranges from information about the environment (e.g., position, orientation) to user habits (e.g., which apps she uses and when) and status of the operating system itself (e.g., status of the file system, memory and network adapters). This information can be extremely valuable for research purposes. In the field of security, usage data can help develop new methods for user authentication and intrusion detection, study of user habits and detection of information leaks. Another example is the context of environmental monitoring: the sensors installed in modern smartphones can turn them into flexible, low-cost monitoring stations to collect environmental data (e.g., sound level, air pressure and humidity). Extensive system data logs can also help in the field of software development and testing, where they can be used to better understand app behavior and anomalies. For these reasons, researchers need to use a solid and reliable logging tool to collect data from mobile devices. In this thesis, we first survey the existing logging tools available on the Android platform, comparing the features of each tool and their impact on the system, and highlighting some of their shortcomings. Our investigation shows that the existing tools are often lacking in terms of flexibility, customization and extensibility. Then, we present DELTA - Data Extraction and Logging Tool for Android, our own logging logging framework. DELTA improves on the existing solutions in terms of flexibility, fine-grained tuning capabilities, extensibility and advanced logging features not present in other tools. We run a thorough evaluation of our implementation of DELTA. The results show that our tool is feasible and has a low impact on the performance of the system. We make the DELTA source code and toolset available to the research community, so researchers can leverage it to streamline the process of logging data for their experiments.

---

Fabio De Gaspari (Dipartimento di Matematica, Universita' degli Studi di Padova)
"LineSwitch: Tackling Control Plane Saturation Attacks in Software-Defined Networking"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

Fabio De Gaspari (Dipartimento di Matematica, Universita' degli Studi di Padova)
"LineSwitch: Tackling Control Plane Saturation Attacks in Software-Defined Networking"
(Relatore: Mauro Conti).
Software Defined Networking (SDN) is a recently proposed networking architecture, which aim is to decouple the networking logic (the control plane) from the data forwarding functionalities (the data plane). This separation allows a virtually centralized point of control on the network, while providing a powerful abstraction of the underlying physical infrastructure complexity. Abstracting the data plane behind an open and standardized API allows faster and cheaper prototyping and experimenting of new, improved network protocols and security mechanisms. Unfortunately, beside opportunities, the SDN paradigm creates new vulnerabilities too. In fact, researchers showed that the required communication channel between the control and data plane of SDN creates a potential bottleneck in the system, which can result in poor scalability under high network traffic conditions. Additionally, attackers can easily exploit such bottleneck to mount powerful Denial of Service attacks against the SDN control plane, such as the control plane saturation attack, which can severely hinder the performance of the network. These attacks target the control plane of the network with the aim of overloading it with requests, allowing attackers to incapacitate the data plane as a consequence. This thesis presents LineSwitch, an efficient and effective solution against the control plane saturation attack. LineSwitch combines SYN proxy techniques and probabilistic blacklisting of network traffic. We implemented LineSwitch as an extension of OpenFlow, the current reference implementation of SDN, and conducted a thorough evaluation under different traffic scenarios. Moreover, we also compared LineSwitch with the current state-of-the-art solution against control plane saturation attack, under different configurations and attack rates. The results we obtained show that our proposal, compared to the state-of-the-art, reduces the time overhead by more than 30% on average, while ensuring the same level of protection against control plane saturation attacks.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

---

Alessio Diamanti (Università degli studi di Perugia dipartimento di Ingegneria)
"Progetto, sviluppo e test di un servizio diautenticazione anonima per il Web"
Link esterno al gruppo di ricerca: http://www.ing.unipg.it/it/aree/ingegneria-informatica

Alessio Diamanti (Università degli studi di Perugia dipartimento di Ingegneria)
"Progetto, sviluppo e test di un servizio diautenticazione anonima per il Web"
(Relatore: Prof. Grilli Luca).
Il Web rappresenta una vera rivoluzione nel modo di ottenere le informazioni: al giorno d'oggi possiamo accedere a qualsiasi tipo di risorsa con una velocità senza precedenti. In questo scenario proteggere i contenuti e allo stesso tempo la privacy degli individui che intendono usufruirne è diventato un problema di grande interesse, risolto con lo sviluppo di sistemi di autenticazione sempre più sofisticati. Tali sistemi sono di grande utilità quando si vuole garantire un accesso selettivo a determinati servizi offerti sul Web, quali ad esempio Web-Mail, Home-Banking, e-Commerce, Electronic Cash etc. Quando il servizio al quale si vuole accedere necessita di un certo livello di riservatezza, l'utente che desidera usufruirne deve poter essere autenticato senza che il servizio venga a conoscenza della sua reale identità. In queste circostanze si parlerà di autenticazione anonima. Idealmente un buon sistema di autenticazione anonima deve rispettare i seguenti requisiti: • Anonimato: l'identità dell'utente deve rimanere nascosta durante l'autenticazione; • Non tracciabilità: l'entità garante non deve poter essere in grado di tracciare l'attività degli utenti abilitati ad utilizzare pseudonimi; • Divulgazione selettiva di attributi: l'utente deve poter essere in grado di scegliere quale sottoinsieme di caratteristiche mostrare all'entità garante che verifica la sua identità; • Non trasferibilità: la cessione dello pseudonimo deve essere resa svantaggiosa; • Revocabilità: l'entità che eroga il servizio e che pertanto concede i diritti di accesso sulla base delle credenziali anonime deve poterle revocare qualora il corrispondente utente anonimo ne abbia fatto un uso improprio. Purtroppo allo stato dell’arte non esistono sistemi che ricalchino esattamente le caratteristiche elencate. Per questi scenari sono stati finora proposti sistemi di autenticazione anonima dove gli utenti possono registrare la propria identità presso un'entità garante dalla quale ottengono in cambio una pseudo identità (pseudonimo) con la quale possono dimostrare di essere in possesso di determinate caratteristiche senza dover indicare dati relativi alla propria identità al servizio che richiede autenticazione. Tale approccio tuttavia non è privo di debolezze: essendo l'entità garante a conoscenza sia dell'identità che delle credenziali dell'utilizzatore può comprometterne l'anonimato, e quindi la privacy, creando un collegamento tra i due elementi. In questo documento di tesi si è progettato e realizzato un protocollo di autenticazione anonima basato sul concetto di firma cieca che vuole cercare di risolvere il problema appena evidenziato, senza la pretesa di voler progettare un sistema sicuro in senso assoluto. Poiché realizzare anche un semplice prototipo richiede l’utilizzo di tecnologie avanzate nell’ambito della sicurezza Web e poiché né in letteratura né nel campo della ricerca sono presenti risultati di riferimento, il lavoro di tesi è stato eseguito in collaborazione tra i due candidati Luca Biribicchi e Alessio Diamanti, studenti della laurea triennale in Ingegneria Informatica ed Elettronica. Il carico di lavoro è stato suddiviso equamente tra i due candidati, fermo restando che entrambi hanno dovuto apprendere le tecnologie di base in autonomia l’uno dall’altro. Dal punto di vista della stesura del documento di tesi, i due elaborati sono stati strutturati in modo da completarsi a vicenda, rimanendo comunque documenti indipendenti. Il documento di Alessio Diamanti è stato scritto presentando più accuratamente gli aspetti architetturali e il processo di ideazione del protocollo; il documento di Luca Biribicchi invece tratta con più cura l’aspetto implementativo, indicando quali tecnologie sono state utilizzate e perché sono state scelte. Si consiglia per tanto un ordine di lettura sequenziale dei due documenti, così come appena citati.
Link esterno al gruppo di ricerca: http://www.ing.unipg.it/it/aree/ingegneria-informatica

---

Luca Falsina (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"Grab'n Run: Practical and Safe Dynamic Code Loading in Android"
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/106725
Link esterno al gruppo di ricerca: http://necst.it/about

Luca Falsina (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"Grab'n Run: Practical and Safe Dynamic Code Loading in Android"
(Relatore: Prof. Federico Maggi).
Studi recenti [Poeplau, 2014] hanno mostrato che gli sviluppatori di applicazioni e framework per Android, anche i piú celebri e complessi (e.g., Facebook, Google Mobile Ads SDK), hanno spesso l’esigenza di caricare codice dinamicamente. Questa tecnica di programmazione ha indubbi vantaggi, sia perché minimizza l’uso del codice presente in memoria durante l’esecuzione, sia perché permette di implementare aggiornamenti silenziosi, consentendo alle librerie di terze parti di scaricare ed eseguire l’ultima versione del proprio codice senza forzare ogni volta un aggiornamento dell’applicazione principale che le include. Questa politica risulta essere ad ovvio vantaggio dell’utente finale, che potrá, da un lato, ridurre il numero di volte in cui é costretto ad aggiornare l’applicazione, e dall’altro, beneficiare delle ultime funzionalitá e patch di sicurezza, introdotte nelle librerie utilizzate dalle sue applicazioni. Purtroppo, questo meccanismo ha anche due principali svantaggi in termini di sicurezza. Primo, é utilizzato dagli autori di malware per bypassare controlli antivirus, caricando solo a run time il codice malevolo all’interno di un’applicazione apparentemente innocua. Secondo, le API di Android per il caricamento di codice dinamico non implementano alcun controllo sull’integritá del codice caricato, né tanto meno sull’identitá dell'autore di tale codice. Per questo motivo, un aggressore man-in-the-middle puó modificare efficacemente il codice caricato dinamicamente sul dispositivo della vittima, e dunque manipolare il comportamento dell'applicazione durante l'esecuzione, senza che il sistema operativo se ne possa accorgere. Vulnerabilitá di questo tipo sono state riscontrate nel 16% delle 50 applicazioni gratis piú scaricate sul Play Store in Agosto 2013. Discutibilmente, tali vulnerabilitá, cosí come quelle derivanti dall’uso errato delle librerie crittografiche, esistono per l’assunzione, molto spesso errata, che gli sviluppatori siano esperti di sicurezza. In questo lavoro, rimuoviamo questa assunzione e proponiamo una reimplementazione delle API di Android per il caricamento di codice dinamico, rendendo questa funzionalitá sicura di default e retro-compatibile con le API esistenti. Abbiamo implementato questa idea in una libreria Java, chiamata Grab’n Run (GNR), facilmente installabile in ogni progetto Android. Differentemente dalle precedenti soluzioni, GNR non richiede alcuna modifica del framework sottostante e ció ne garantisce una semplice adozione. Per facilitare gli sviluppatori nel compito di migrare le loro applicazioni, abbiamo anche sviluppato uno strumento di repackaging, che riscrive le chiamate per il caricamento di codice dinamico sostituendole con invocazioni alle nostre API sicure, senza richiedere allo sviluppatore né il codice sorgente, né alcuna modifica nel codice dell’applicazione da migrare. Abbiamo valutato GNR attraverso un caso di studio condotto su 9 sviluppatori Android. Senza GNR, 6 di loro hanno introdotto vulnerabilitá di sicurezza utilizzando una connessione HTTP per recuperare il codice da caricare invece di una HTTPS; d’altra parte, 4 di loro hanno introdotto un’altra vulnerabilitá salvando il codice in una posizione sovra-scrivibile da chiunque in memoria; infine, nessuno di loro si é ricordato di implementare degli ulteriori controlli di sicurezza volti a verificare l’integritá del codice, prima di caricarlo. Inoltre, i partecipanti hanno confermato che la difficoltá per imparare ad utilizzare GNR é minima, se non addirittura nulla, e che questa libreria é piú facile da manutenere, piú semplice da leggere, e piú flessibile rispetto alla corrispondente API nativa (i.e., DexClassLoader). Infine, comparando le performance di GNR rispetto a DexClassLoader, abbiamo verificato che il ritardo introdotto dalla nostra libreria sulle operazioni di caricamento é trascurabile.
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/106725
Link esterno al gruppo di ricerca: http://necst.it/about

---

Gianluca Gabrielli (Università di Camerino, UNICAM)
"MITM Attack With Patching Binaries On The Fly By Adding Shellcodes"
Link esterno alla tesi: https://www.dropbox.com/s/19k5uh2clj7e7fr/Tesi.pdf?dl=0

Gianluca Gabrielli (Università di Camerino, UNICAM)
"MITM Attack With Patching Binaries On The Fly By Adding Shellcodes"
(Relatore: Marcantoni Fausto).
È uso comune scaricare dalla rete programmi, aggiornamenti o file compressi contenenti librerie senza verificarne l'integrità con un hash o attraverso la firma crittografica del programmatore originario, spesso proprio perché non vengono messi a disposizione gli strumenti con i quali poter fare un confronto. In questa tesi veranno mostrate delle tecniche che concatenate permettono di intercettare il traffico di una determinata macchina "obbiettivo" e una volta riconosciuto il transito di un eseguibile verrà iniettato del malware, un operazione fatta al volo prima che il file arrivi veramente al nostro obbiettivo. Il fine è ottenere il controllo remoto della macchina sia che questa esegui un sistema operativo Microsoft, Apple o *nix. Un video con relativo POC è disponibile al seguente indirizzo: https://www.youtube.com/watch?v=J1B863Mn1UE
Link esterno alla tesi: https://www.dropbox.com/s/19k5uh2clj7e7fr/Tesi.pdf?dl=0

---

Francesco Mercaldo (Dipartimento di Ingegneria - Università degli Studi del Sannio)
"Software Security in Android Environment through features extraction"
Link esterno alla tesi: http://www.iswatlab.eu/wp-content/uploads/2015/09/Francesco_Mercaldo_PhDThesis_XXVIIcycle_University_Sannio.pdf
Link esterno al gruppo di ricerca: http://www.iswatlab.eu/

Francesco Mercaldo (Dipartimento di Ingegneria - Università degli Studi del Sannio)
"Software Security in Android Environment through features extraction"
(Relatore: Gerardo Canfora - Corrado Aaron Visaggio).
The increasing diffusion of so-called “smart” devices, along with the dynamism of the mobile applications ecosystem, are boosting the production of malware for the Android platform. Countermeasures are limited to signature-based techniques, which are able to recognize known malware, but present serious problems in identifying malware without know the signature and in general zero-day malware. The main problem of signature-based detection techniques is the widespread introduction of malware before its inclusion in the database of malware signatures. This scenario creates a window of opportunity for attackers. In recent years, research community developed several methods in order to tackle the problem, based on both static analysis, including an analysis of the application without running it, and on dynamic analysis, which includes the execution of the application in order to analyze the behavior . The main limitations of existing methods include: low accuracy, proneness to evasion techniques, and weak validation, often limited to emulators or modified kernels. The aim of the this work is to define novel and effective techniques to address to plague of mobile malware and to characterize the different families of belonging. First of all, we evaluate the weakness of the current mechanism of malware detection, submitting to more than 50 commercial and free antimalware a dataset of well-known malicious samples. Furthermore to assess the antimalware robustness with respect to obfuscation techniques, we applied a series of code transformation to malware samples. The submission of samples processed has shown that even with trivial changes it is very easy to evade the detection. Each technique is evaluated on the same dataset of trusted and malware applications. We provide a comparison of the proposed techniques, highlighting strengths and weaknesses. Guided by the study of the weaknesses of current detection mechanisms, we designed a new model of malware to highlight the need for further study in this direction. Our results are promising and competitive with the state-of-the-art results obtained from community researchers in malware analysis.
Link esterno alla tesi: http://www.iswatlab.eu/wp-content/uploads/2015/09/Francesco_Mercaldo_PhDThesis_XXVIIcycle_University_Sannio.pdf
Link esterno al gruppo di ricerca: http://www.iswatlab.eu/

---

Roberto Metere (University of Cagliari, KTH - Royal Institute Of Technology)
"A certifying transcompiler from assembly to intermediate language for machine code verification"
Link esterno alla tesi: https://github.com/nitrogl/HOL
Link esterno al gruppo di ricerca: https://www.kth.se/directory/skolor-D-DDT/

Roberto Metere (University of Cagliari, KTH - Royal Institute Of Technology)
"A certifying transcompiler from assembly to intermediate language for machine code verification"
(Relatore: Massimo Bartoletti (University of Cagliari), Mads Dam (KTH), Christoph Baumann (KTH)).
The correctness of mission-critical software (e.g. for aviation or automotive industry) is essential to avoid faulty conditions leading to potentially dangerous behaviours. Formal verification at machine code level is crucial to eliminate the need for compiler correctness, which is usually extremely difficult to accomplish. Machine code is verified by generating verification conditions on programming logic instructions. Models for different versions of ARM architecture have been implemented and released in HOL4, a famous theorem prover. These models are a great help in automatising Hoare triple reasoning for the corresponding architectures. A novel approach, integrating a binary analysis platform (BAP) to automatise and speed up the verification process, was proposed by the PROSPER team to verify their hypervisor machine code. Such approach, while successful for the 32-bit ARM architecture, was not easily applicable to other platforms. Depending on what is being verified, the use of HOL4 for direct reasoning may require not only a lot of engineering efforts for a correct implementation and but also too much time to get results of verification, due to the large amount of preconditions to process. For this reason binary analysis tools like BAP can be suitable, offering utilities to extract control flow graphs and program dependence graphs, as well as to perform symbolic execution and to compute weakest preconditions. Another advantage of using BAP is that it makes use of BIL, its intermediate language which is architecture independent. Therefore the verification of the hypervisor is performed with this novel approach of using both HOL4 and BAP, with the inconvenient that everything is elaborated in BAP {em must} be checked again in HOL4, due to their different semantics. In this work, I implemented a new versatile method which significantly improves the formal verification, addressing the limitations of the previous software. In particular, I developed two interoperating modules: the first one is a (mainly) deep embedding, platform agnostic, independent model of the semantics of the BAP abstract language (BIL); the second one is a certifying transcompiler interfacing this model and the 64-bit ARM processor model, as formalised (by the Cambridge group) in the HOL4 theorem prover. This new transcompiler, beyond converting HOL4 expressions to BIL, is now capable of handling statements, creating BIL model programs directly from machine code instructions. This approach, now adopted by default in PROSPER, has the advantage of ensuring the semantic equivalence of BAP elaborations, which can now be safely integrated into the verification process.
Link esterno alla tesi: https://github.com/nitrogl/HOL
Link esterno al gruppo di ricerca: https://www.kth.se/directory/skolor-D-DDT/

---

Carlo Peroli (Facoltà di Scienze e tecnologie informatiche - Università degli Studi di Milano)
"La sicurezza informatica come ‘business as usual’: utilità ed efficacia della certificazione PCI DSS"
Link esterno alla tesi: http://www.slideshare.net/CarloPeroli/perolitesiv35

Carlo Peroli (Facoltà di Scienze e tecnologie informatiche - Università degli Studi di Milano)
"La sicurezza informatica come ‘business as usual’: utilità ed efficacia della certificazione PCI DSS"
(Relatore: Prof. Ernesto Damiani).
Obiettivo della tesi è fornire una serie di guideline (propositive e non comparative) per il processo di certificazione PCI DSS (Payment Card Industry Data Security Standard) di un’organizzazione e dare una descrizione approfondita dello stesso.rnLa scelta dello standard è dettata dal fatto che, pur essendo focalizzato sulle transazioni economiche effettuate con carte di pagamento, è fortemente orientato alla sicurezza del DATO in generale e può essere quindi esteso con facilità ad altri ambiti; inoltre si configura per le aziende come un indispensabile strumento per poter operare nel settore, dal momento che da esso deriva la possibilità di usufruire dei servizi offerti dai circuiti internazionali (i payment brand come VISA e Mastercard) e dai service provider necessari allo svolgimento di tutte le attività di business; infine, la sua corretta applicazione permette di coprire tutti gli ambiti aziendali avendo i requisiti come oggetto TECNOLOGIE, PROCESSI e PERSONE.rnLe guideline per la corretta applicazione dello standard si basano sull’analisi, effettuata sul campo, delle procedure da seguire durante l’assessment, focalizzando aspetti tecnici, procedurali, di gestione delle risorse umane e di compliance contrapposti alle esigenze di business delle aziende che operano in un mercato altamente concorrenziale.rnLa parte finale è dedicata alle metodologie da adottare per utilizzare la compliance PCI DSS come un framework completo per la gestione della sicurezza informatica in tutti i settori dell’information technology ed in tutti i processi dell’organizzazione, promuovendo una gestione della IT security che non si focalizzi solo su alcune tecnologie o su particolari momenti della vita aziendale, ma che diventi “business as usual”.rn
Link esterno alla tesi: http://www.slideshare.net/CarloPeroli/perolitesiv35

---

Antonio Pirozzi (Universita Degli Studi del Sannio - Dipartimento di Ingegneria)
"Detecting Android Malware Variants using Opcodes Frequency Distribution and Call Graphs Isomorphism Analysis"
Link esterno alla tesi: http://www.iswatlab.eu/wp-content/uploads/2015/09/AntonioPirozzi_TesiMagistrale.pdf
Link esterno al gruppo di ricerca: http://www.iswatlab.eu

Antonio Pirozzi (Universita Degli Studi del Sannio - Dipartimento di Ingegneria)
"Detecting Android Malware Variants using Opcodes Frequency Distribution and Call Graphs Isomorphism Analysis"
(Relatore: Corrado Aaron Visaggio).
Android platform starts became the universal front-end in the IoE and IoT, mobile attacks will continue to grow rapidly as new technologies expand the attack surface. Vendors, manufacturer, providers should extend vulnerability shielding. Exploit-prevention and Anti-Malware vendors have to enhance their actual solutions, because new types of malware samples have a fileless payload and to circumvent detection as well it adopt more complex obfuscation techniques. Just consider the OBAD malware or the so-called Droppers that can thwart also Google Bouncer. The idea behind this work, arises from the awareness that, a more effective and holistic anti-malware approach have to first understand the evolution and sophistication, the belonging semantics, outline the phylogenesy. This is a strategy inversion in the Anti-malware landscape. So, we developed a tool called DescentDroid in which we implemented a new methodology that move towards this direction, consisting of a clone-detection heuristic for outline common payload components in order to identify malware variants. Our methodology, is a contribution in the Malware Analysis phase, not in the Detection phase, to well understand Android Malware and their evolution in order to trace back a possible Malware descent. DescentDroid consist of a 4-staged architecture, it starts from the extraction and analysis of the Density of the Opcodes Frequencies Distributions, then obtaining, by similarities, the 10 nearest vectors from the Data-set we built(builted from the Android Drebin Project), then, an n-grams based heuristic on the Adjacency Lists, detect isomorphism features in both the Function Call Graph (FCG) and Control Flow Graph (CFG) to identify payloads components as common sub-graphs. In the Last stage, DescentDroid implements a classifier by which, it's able to outline a possible genome for each malware family and it's also able to define a possible descent for each malware variant, also multiple-descents, proving the effectiveness of this methodology. This tool aims to lay the foundation of a new types of methodologies based on the study of the payload philogenesy.
Link esterno alla tesi: http://www.iswatlab.eu/wp-content/uploads/2015/09/AntonioPirozzi_TesiMagistrale.pdf
Link esterno al gruppo di ricerca: http://www.iswatlab.eu

---

Fabio Pulina (Dipartimento d'Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Strumenti di Open Source Intelligence per l'analisi di domini Fast Flux"
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it/

Fabio Pulina (Dipartimento d'Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Strumenti di Open Source Intelligence per l'analisi di domini Fast Flux"
(Relatore: Giorgio Giacinto).
Motivati da profitti importanti e duraturi, i cybercriminali erogano attraverso le botnet (reti di dispositivi compromessi comandati da remoto) una moltitudine di servizi illeciti quali DDOS, SPAM, Phishing, Click Fraud e molto altro. In questo contesto, attraverso strumenti e indagini di Open Source Intelligence, si vuole proporre un modello di analisi delle botnet basato su informazioni "open" relative da una parte alle caratteristiche tecniche delle botnet e dall'altra alle organizzazioni che le gestiscono, in maniera tale da: 1) Supportarne la rilevazione e l'analisi, inizialmente raggruppando domini malevoli controllati dalla stessa organizzazione o facenti parte della medesima botnet e successivamente monitorando l'evoluzione temporale delle singole reti osservate, in maniera tale da realizzare in tempi estremamente brevi delle blacklist di nomi a dominio. 2) Supportare l'individuazione delle organizzazioni criminali che gestiscono tali reti (botmaster detection), cercando di capire che attività illecite vengono svolte. Questo è stato possibile grazie all'implementazione di macchine automatiche e algoritmi autonomi (questi ultimi utili alla botmaster detection), costruiti tramite il supporto del tool di OSINT Maltego. In particolare, il cuore del modello è composto da due sistemi che lavorano da punti di vista completamente differenti: - Una prima macchina, la CIS (Common Information Search), che analizza i domini estrapolandone informazioni di “alto livello” quali nomi di persona, indirizzi email e numeri di telefono relativi ai gestori delle botnet, utilizzando a titolo di esempio fonti come i motori di ricerca Google e Yahoo, server di chiave pubblica PGP, database di domini e informazioni di whois. - Una seconda, che invece lavora attraverso informazioni di “basso livello”, come il traffico http generato da particolari botnet. Il modello è stato convalidato su una specifica classe di botnet particolarmente resiliente, ovvero le reti Fast Flux, attraverso l'analisi del traffico DNS della rete Tiscali nell’ambito del progetto europeo ILLBuster, coordinato dal PRA Lab dell’Università di Cagliari e pertanto, esaminando botnet reali e attualmente attive.
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it/

---

Enrico Salis (Dipartimento di Ingegneria Elettrica ed Elettronica - Università di Cagliari)
"Rilevazione di attacchi informatici attraverso apprendimento automatico: studio e integrazione all’interno della piattaforma LBL"
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/

Enrico Salis (Dipartimento di Ingegneria Elettrica ed Elettronica - Università di Cagliari)
"Rilevazione di attacchi informatici attraverso apprendimento automatico: studio e integrazione all’interno della piattaforma LBL"
(Relatore: Giorgio Giacinto).
Gli attacchi ai servizi web rappresentano una grossa minaccia al giorno d’oggi, data l’estrema importanza che le informazioni stanno assumendo sempre più. L’obbiettivo delle organizzazioni criminali responsabili di questi attacchi è sempre lo stesso: la monetizzazione. Proteggere tali servizi quindi diventa vitale. Il problema principale è la mancanza di uno standard, e la difficoltà di configurazione di un firewall adeguato. Per ovviare a ciò, sono stati realizzati dei software basati sull’apprendimento automatico, aventi però grossi limiti (capaci di elaborare un numero limitato di richieste, adatti ad un solo tipo di server web, poco efficienti). In questo lavoro di tesi viene realizzata l’integrazione ed il refactoring di un software di rilevazione degli attacchi web ad apprendimento automatico (SuStorID), nella piattaforma di bilanciamento del traffico denominata LBL. Quest’ultima è stata realizzata dalla società TCOGROUP SRL e già utilizzata anche a livello internazionale da clienti di alto profilo come banche, Università, pubbliche amministrazioni. Lavorando a stretto contatto con gli sviluppatori di TCO, si è potuto superare i limiti prima descritti del software ad apprendimento automatico, realizzando quindi un prodotto adatto all’utilizzo in produzione. Interamente scritto in linguaggio PL-SQL, il programma sfrutta i dati provenienti dal bilanciatore per addestrarsi su quale sia il traffico legittimo (approccio white list), e successivamente verificare la correttezza delle richieste in ingresso. L’integrazione ha richiesto un refactoring del software SuStorID per permettergli di adattarsi alla nuova piattaforma, il tutto per un totale di circa 2600 righe di codice. In particolare, a differenza di prima, si è voluto rendere il software indipendente dalla tipologia di server utilizzato, ed a causa di ciò esso è stato privato della conoscenza dei meccanismi di rewrite dell’URL. Per ovviare a ciò è stato introdotto il concetto di Uri Prefix, che non sono altro che i prefissi di uri path che presentano maggiore cardinalità e che vengono considerati in maniera euristica come applicazioni web. I test finali hanno dimostrato un tasso di rilevamento degli attacchi del 100% ed una bassa presenza di falsi positivi, il cui numero può essere ulteriormente ridotto applicando poche regole operanti a più alto livello (anomaly templates). Il software mostra quindi un alto potenziale di sviluppo, il che lo rende un primo prototipo di una release utilizzabile in produzione.
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/

---

Alessandro Sforzin (Dipartimento di Matematica, Università degli Studi di Padova)
"RPiDS: Raspberry Pi IDS - A Fruitful Intrusion Detection System for the Internet of Things"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

Alessandro Sforzin (Dipartimento di Matematica, Università degli Studi di Padova)
"RPiDS: Raspberry Pi IDS - A Fruitful Intrusion Detection System for the Internet of Things"
(Relatore: Prof. Mauro Conti).
Our technology keeps advancing towards a future where everything is connected together. The Internet of Things (IoT) goal is to make every device accessible from the Internet. Even the most common electrical appliances, such as ovens and light bulbs, will have their own IP addresses, and will be reachable remotely. While this enhanced connectivity will definitely improve our quality of life, it also raises serious security and privacy questions; the resource constrained nature of IoT entities makes traditional security techniques impractical. This thesis presents a novel intrusion detection architecture for the IoT. It discusses the feasibility of employing a low powered device as the core component of an Intrusion Detection System (IDS). Concretely, the performance of the Raspberry Pi, one of the most used commodity single-board computers, while running Snort, a widely known and open source IDS, was thoroughly studied. Experiments show that the proposed architecture based on resource constrained devices, such as the Raspberry Pi, can effectively serve as IDS.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

---

Daniel Simionato (Dipartimento di Matematica Pura e Applicata, Università degli Studi di Padova)
"OASIS: Operational Access Sandboxes for Information Security"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

Daniel Simionato (Dipartimento di Matematica Pura e Applicata, Università degli Studi di Padova)
"OASIS: Operational Access Sandboxes for Information Security"
(Relatore: Prof. Mauro Conti).
Android’s permission system follows an “all or nothing” approach when installing an application. The end user has no way to know how the permissions are actually used by the application, and can not regulate how the sensitive data flows during its execution. Malware applications often leverage Android permission system by repackaging popular apps applications after inserting a malicious payload with the purpose of leaking sensitive information. This thesis presents OASIS (Operational Access Sandboxes for Information Security), a trusted component that allows application developers to execute operations on sensitive data by delegating the execution of those operations to a trusted service. No sensitive information is disclosed to the applications using the system. OASIS allows the end user to have full control over the data available to applications, and also grants policy based regulation of sensitive data flows. Moreover, the system can be deployed via a simple application installation, and does not require any modification to the stock Android OS.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

---

Agostino Sturaro (Dipartimento di Matematica, Università di Padova)
"Towards a Realistic Model for Failure Propagation in Interdependent Networks"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

Agostino Sturaro (Dipartimento di Matematica, Università di Padova)
"Towards a Realistic Model for Failure Propagation in Interdependent Networks"
(Relatore: Mauro Conti).
Recently, there has been an effort at integrating different infrastructures together, connecting them through the Internet. One remarkable example of this development is the smart grid, a modernization of the electrical grid that introduces a level of automation that can only be possible though a constant exchange of information between all parts of the electrical network. Interactions between the power and communications networks, necessary for the correct functioning of the smart grid, make one network dependent on the other. The communications network depends on the power grid for electrical energy, while the power grid depends on the communications network to coordinate all its components. The structure of the smart grid brings many advantages, such as improved monitoring and energy savings, but it also creates new vulnerabilities. That is, if there are problems in the communications network, the power grid will be affected as well, and vice-versa. Because of this, failures can spread back and forth between the two networks, causing cascade effects with a devastating impact on the whole system. The goal of this thesis is understanding the effects of interdependencies between critical infrastructural networks, focusing on the study of failure propagation between the Internet and the power grid. We propose a new model, HINT (Heterogeneous Interdependent NeTworks), to better capture and reproduce the mechanics of cascading failures. This thesis is an extension of the research work presented in the paper "Towards a realistic model for failure propagation in interdependent networks", which will be published at the IEEE International Conference on Computing, Networking and Communications (ICNC) in 2016.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/

---

Mattia Zago (Università degli Studi di Verona)
"Modeling Cyber-Threats: Adopting Bayes' principles in the Attack Graphs theory"
Link esterno alla tesi: https://www.zagomattia.it/papers/Modeling_Cyber-Threats_Adopting_Bayes_principles_in_the_Attack_Graphs_theory.pdf

Mattia Zago (Università degli Studi di Verona)
"Modeling Cyber-Threats: Adopting Bayes' principles in the Attack Graphs theory"
(Relatore: Isabella Mastroeni).
This master thesis will analyze how the Bayesian Theory can be applied to the Intrusion Prevention and Response Strategy research area. I am going to present a brief summary on the graphical security modelling technique, with the objective of describing a common point between the existing formalism and aiming to implement a Security Model Simulator that allows the expert to both run and compare different solutions and approaches to the same problem (or architecture). The focus of this work is on the simulator, presented in chapter 3, in particular on the technical details of the implementation and on the innate difficulties related to the lack of standard basic structure.
Link esterno alla tesi: https://www.zagomattia.it/papers/Modeling_Cyber-Threats_Adopting_Bayes_principles_in_the_Attack_Graphs_theory.pdf

---

BACHECA TESI EDIZIONI PASSATE

Edizione 2022
Edizione 2022
Edizione 2021
Edizione 2020
Edizione 2019
Edizione 2018
Edizione 2017
Edizione 2016
Edizione 2015
Edizione 2014
Edizione 2013
Edizione 2012
Edizione 2011
Edizione 2010
Edizione 2009
Edizione 2008
Edizione 2007

Il Premio Tesi è realizzato in collaborazione e con il sostegno di: