BACHECA TESI
Edizione 2016
Alessandro Baggio (Politecnico di Milano)
"FraudBuster : time-based analysis of Internet banking fraud"
Link esterno al gruppo di ricerca: http://necst.it/
Alessandro Baggio (Politecnico di Milano)
"FraudBuster : time-based analysis of Internet banking fraud"
(Relatore: Stefano Zanero).
We have observed an increasing number of online banking frauds, originated from cyber attacks. To protect their customers, financial institutions rely on fraud analysis system, in order to detect anomalous behaviors. State-of-art systems help banking analysts in the investigation of online banking frauds, by providing an anomaly score computed with respect to the customer’s past transactions. In contrast, cyber-criminals are improving their attacks by forging fraudulent transactions that are similar to legitimate ones, with the aim to remain undetected, allowing the perpetration of frauds over time. We define this kind of attack as stealthy frauds.
In this thesis we propose FraudBuster an approach capable of automatically detecting stealthy frauds. FraudBuster builds a series of temporal profiles, based on user’s transaction history, and then compares new transactions against them. To do so, we explored the user’s behavior temporal component, rarely studied in literature. Then, we designed a specific method to model users characterized by periodic usage patterns based on dynamic time warping, which exploits their recurrent spending patterns. Moreover, we developed profiles based on time windows for both periodic and non-periodic users to increase the capability of our system in detecting stealthy frauds.
To measure the quality and the performance of FraudBuster we test it on a real-world, anonymised dataset. We show that FraudBuster is able to detect stealthy frauds with an high accuracy and an acceptable false positive rate.
Link esterno al gruppo di ricerca: http://necst.it/
Lorenzo Bordoni (Dipartimento di Matematica, Università degli Studi di Padova)
"Mirage: Toward a Stealthier and Modular Malware Analysis Sandbox for Android"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Lorenzo Bordoni (Dipartimento di Matematica, Università degli Studi di Padova)
"Mirage: Toward a Stealthier and Modular Malware Analysis Sandbox for Android"
(Relatore: Prof. Mauro Conti).
Nowadays, malware is affecting not only PCs but also mobile devices, which became pervasive in everyday life. Mobile devices can access and store personal information (e.g., location, photos, and messages) and thus are appealing to malware authors. One of the most promising approach to analyze malware is by monitoring its execution in a sandbox (i.e., via dynamic analysis). In particular, most malware sandboxing solutions for Android rely on an emulator, rather than a real device. This motivates malware authors to include runtime checks in order to detect whether the malware is running in a virtualized environment. In that case, the malicious app does not trigger the malicious payload. The presence of differences between real devices and Android emulators started an arms race between security researchers and malware authors, where the former want to hide these differences and the latter try to seek them out. In this thesis we present Mirage, a malware sandbox architecture for Android focused on dynamic analysis evasion attacks. We designed the components of Mirage to be extensible via software modules, in order to build specific countermeasures against such attacks. To the best of our knowledge, Mirage is the first modular sandbox architecture that is robust against sandbox detection techniques. As a representative case study, we present a proof of concept implementation of Mirage with a module that tackles evasion attacks based on sensors API return values.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Stefano Cristalli (Dipartimento di Informatica, Università degli Studi di Milano)
"Memory tracing techniques for defeating spraying attacks"
Link esterno al gruppo di ricerca: http://security.di.unimi.it
Stefano Cristalli (Dipartimento di Informatica, Università degli Studi di Milano)
"Memory tracing techniques for defeating spraying attacks"
(Relatore: Andrea Lanzi).
Il lavoro di tesi è stato svolto sulle vulnerabilità di memory overflow, nello specifico sugli attacchi basati sullo heap spraying.
Questa tecnica consiste nella copia ripetuta di codice maligno su vaste porzioni di memoria, così che un eventuale successivo exploit di una vulnerabilità possa consentire all’attaccante di modificare il flusso del programma attaccato per eseguire il codice iniettato.
Protezioni standard non sono efficaci contro questo tipo di attacco, dato che l’operazione di scrittura di dati in memoria è molto spesso legittima, e solo la presenza di una vulnerabilità concretizza la minaccia. In particolare, una protezione come ASLR risulta pressoché inutile nel caso descritto, in quanto la replica del codice su una vasta porzione di memoria aumenta considerevolmente le probabilità di riuscita di un buffer overflow.
Nel lavoro di tesi viene presentato un framework (Graffiti) per far fronte a questo tipo di minaccia, con lo scopo di individuare gli attacchi di tipo heap spraying a runtime.
Il framework, frutto anche di precedenti lavori di tesi, è strutturato come hypervisor caricato a runtime, e agnostico rispetto al sistema operativo.
Graffiti consente il monitoraggio di uno o più processi, e a livello di hypervisor tiene sotto controllo gli accessi alla memoria per individuare tramite particolari euristiche gli attacchi di memory spraying.
Il lavoro di tesi porta due principali contributi al framework: lo studio di un problema di performance con l’implementazione di un miglioramento del framework come tentativo di risoluzione, e l’estensione delle euristiche del framework per la detection degli attacchi con due nuovi strumenti. Il lavoro inoltre porta altri contributi minori alla progettazione del framework e all’implementazione.
Il problema di performance è dovuto a un fenomeno di trashing in memoria, osservato quando vengono protetti più processi in contemporanea, dovuto a operazioni su pagine di memoria condivise. Nel lavoro di tesi viene descritta l’implementazione di un sandbox di memoria virtuale per ogni processo protetto, chiamata microvirtualizzazione, allo scopo di rendere scalabili le performance del framework rispetto al numero di processi protetti.
L’estensione delle euristiche presentata ha due componenti. La prima, studiata sia a livello teorico, sia nell’implementazione pratica, si basa sullo studio del rapporto di compressione di insiemi di pagine di memoria per riconoscere le pagine possibilmente affette da un attacco di heap spraying, sotto l’assunzione che lo stesso codice maligno sia replicato più volte in memoria, o che contenga più volte lo stesso pattern.
La seconda componente, studiata nel lavoro di tesi solo a livello teorico, sfrutta il machine learning al fine di individuare pattern di maggiore complessità, utile nel caso l’attaccante prenda delle misure per difendersi da altri tipi di analisi.
Link esterno al gruppo di ricerca: http://security.di.unimi.it
Mauro Deiana (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Classificazione e rilevazione di malware Android basata sull’analisi del traffico HTTP"
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/
Mauro Deiana (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Classificazione e rilevazione di malware Android basata sull’analisi del traffico HTTP"
(Relatore: Prof. Giorgio Giacinto).
La diffusione dei dispositivi mobile ha oramai raggiunto il suo apice, e gli smartphone offrono una ampia varietà di funzionalità, dalla semplice consultazione dei siti social alle operazioni di home-banking. Android si conferma nel 2016 la piattaforma mobile più diffusa sul mercato, ed insieme alla sua diffusione abbiamo un crescente aumento del numero di software malevoli (malware) che colpiscono questa piattaforma, anche grazie alla facilità con cui è possibile produrre e divulgare un’applicazione Android. In questo contesto, lo sviluppo di soluzioni per la rilevazione e classificazione dei malware Android rappresenta dunque un'area di ricerca di notevole interesse. Fra i vari approcci proposti, vi sono quelli basati sull'analisi del traffico di rete che i malware producono una volta violato il sistema, fra i quali rientra anche l'approccio proposto in questa tesi. Più precisamente, la tesi si prefigge di utilizzare algoritmi di apprendimento non supervisionato per effettuare il raggruppamento (clustering) di malware che esibiscono caratteristiche simili. In particolare, ci si è focalizzati sull'analisi del traffico HTTP, essendo il protocollo HTTP quello più ampiamente utilizzato dalle applicazioni Android. Nell'ambito del lavoro, è stato collezionato un dataset di circa 5000 malware, di cui sono stati catturati i primi minuti di traffico HTTP. L’esigenza di lavorare con un numero elevato di campioni ha portato alla scelta di un algoritmo di clustering ottimizzato per dataset di grandi dimensioni. L’analisi del traffico HTTP generato dai malware ha consentito di scegliere le features da utilizzare per l’algoritmo di clustering, con lo scopo di riuscire a generare dei cluster contenenti malware appartenenti alla stessa famiglia. L'algoritmo proposto consente inoltre di estrarre, per ogni cluster di malware, delle signatures (firme) che consentono di rilevare non solo i malware appartenenti al cluster, ma anche nuovi campioni appartenenti alla medesima famiglia.
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/
Luca Fulchir (Università degli Studi di Udine, Dipartimento di Scienze Matematiche, Informatiche e Fisiche)
"Fenrir: a verified protocol for federated authentication and authorization"
(Relatore: Marino Miculan).
This dissertation proposes a new formally verified, federated, token-based authentication protocol, that spans multiple
OSI layers and does not require clock synchronization.
The main objective of this protocol is the simplification of the application security, from the perspective
of both the end user and the developer.
The protocol design forces a strict decoupling of the application
and its user, handshake and token management, thus simplifying the application development.
The user only needs to login once, as subsequent authentications are handled with only a give confirmation.
The formal verification of the protocol assures the safety of the user data from attacks ranging from
replays, forgery and up to a compromised authentication server, which will not be able to impersonate its users
on services where the user has logged in at least once.
The token based nature of the protocol lets it work without any clock synchronization.
Different authorization levels can be attached to each token, so that an application
can be forced by the protocol to work with a limited authorization, without relying on it self-limiting.
Finally, the from-scratch approach of the protocol grants both compatibility with the
existing infrastructure and support for previously complex data transport modes, with support for
anything ordered or unordered, reliable or unreliable, datastream or datagram delivery.
Link esterno alla tesi: https://fenrirproject.org/Fenrir/Thesis/wikis/home
Link esterno al gruppo di ricerca: https://fenrirproject.org/
Alberto Giaretta (Università degli Studi di Padova)
"Bio-Nanomachines: There’s Plenty of Weakness at the Bottom"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Alberto Giaretta (Università degli Studi di Padova)
"Bio-Nanomachines: There’s Plenty of Weakness at the Bottom"
(Relatore: Prof. Mauro Conti).
Nanotechnology is growing faster than ever, and the advancements in the field of molecular communication, along with the outstanding discoveries in synthetic biology, make possible to build futuristic biologic nanonetworks. Even though deep investigations about bio-nanonetworks have been (and still are) done, very little attention has been paid to the related security issues: this lack of investigations could lead to serious problems, such as new forms of bioterrorism. In this thesis we first provide an overview of nanomachines and molecular communication technologies, as well as a summary of the state of the art in nanonetworks security and privacy issues. Then, we propose two new types of attacks, specific to bio-nanonetworks, which aim to the signalling sub-layer of the physical layer. Moreover, we propose two different kinds of countermeasures that rely on a threshold-based decision process and a Bayes’ rule decision process, respectively. We ran a thorough set of simulations, in order to asses the feasibility of our countermeasures and evaluate their potential collateral disruptiveness. Results show that our attacks are feasible and that the countermeasures are capable to effectively mitigate the danger.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Daniele Lain (Università degli Studi di Padova)
"Don’t Skype & Type: Keyboard Acoustic Eavesdropping Through Voice Over IP Applications"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Daniele Lain (Università degli Studi di Padova)
"Don’t Skype & Type: Keyboard Acoustic Eavesdropping Through Voice Over IP Applications"
(Relatore: Prof. Mauro Conti).
Acoustic emanations of computer keyboards represent a serious privacy issue.
As demonstrated in prior work, physical properties of keystroke sounds might reveal what a user is typing.
However, previous attacks assumed relatively strong adversary models that are not very practical in many real-world settings. Such strong models assume: (i) adversary's physical proximity to the victim, (ii) precise profiling of the victim's typing style and keyboard, and/or (iii) significant amount of victim's typed information (and its corresponding sounds) available to the adversary.
This thesis presents and explores a new keyboard acoustic eavesdropping attack that involves Voice-over-IP (VoIP), while avoiding prior strong adversary assumptions. This work is motivated by the simple observation that people often engage in secondary activities (including typing) while participating in VoIP calls. As expected, VoIP software acquires and faithfully transmits all sounds, including emanations of pressed keystrokes, which can include passwords and other sensitive information.
We show that one very popular VoIP software (Skype) conveys enough audio information to reconstruct the victim's input -- keystrokes typed on the remote keyboard. Our results demonstrate that, given some knowledge on the victim's typing style and keyboard model, the attacker attains
top-5 accuracy of 91.7% in guessing a random key pressed by the victim. (Accuracy goes down to still alarming 41.89% if the attacker is oblivious to both the typing style and the keyboard -- a novel and powerful attack scenario).
Furthermore, we demonstrate that our attack is robust to various VoIP issues (e.g., Internet bandwidth fluctuations and presence of voice over keystrokes), thus confirming the feasibility of this attack. Finally, we give some insights on possible transparent countermeasures, in order to prevent this and other attacks that leverage acoustic emanations of keyboards.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Davide Maiorca (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli Studi di Cagliari)
"Design and Implementation of Robust Systems for Secure Malware Detection"
Link esterno alla tesi: http://veprints.unica.it/1268/
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it/
Davide Maiorca (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli Studi di Cagliari)
"Design and Implementation of Robust Systems for Secure Malware Detection"
(Relatore: Giorgio Giacinto).
Malicious software (malware) have significantly increased in terms of number and effectiveness during the past years. Until 2006, such software were mostly used to disrupt network infrastructures or to show coders’ skills. Nowadays, malware constitute a very important source of economical profit, and are very difficult to detect. Thousands of novel variants are released every day, and modern obfuscation techniques are used to ensure that signature-based anti-malware systems are not able to detect such threats. This tendency has also appeared on mobile devices, with Android being the most targeted platform. To counteract this phenomenon, a lot of approaches have been developed by the scientific community that attempt to increase the resilience of anti-malware systems. Most of these approaches rely on machine learning, and have become very popular also in commercial applications. However, attackers are now knowledgeable about these systems, and have started preparing their countermeasures. This has lead to an arms race between attackers and developers. Novel systems are progressively built to tackle the attacks that get more and more sophisticated. For this reason, a necessity grows for the developers to anticipate the attackers’ moves. This means that defense systems should be built proactively, i.e., by introducing some security design principles in their development. The main goal of this work is showing that such proactive approach can be employed on a number of case studies. To do so, I adopted a global methodology that can be divided in two steps. First, understanding what are the vulnerabilities of current state-of-the-art systems (this anticipates the attacker’s moves). Then, developing novel systems that are robust to these attacks, or suggesting research guidelines with which current systems can be improved. This work presents two main case studies, concerning the detection of PDF and Android malware. The idea is showing that a proactive approach can be applied both on the X86 and mobile world. The contributions provided on this two case studies are multifolded. With respect to PDF files, I first develop novel attacks that can empirically and optimally evade current state-of-the-art detectors. Then, I propose possible solutions with which it is possible to increase the robustness of such detectors against known and novel attacks. With respect to the Android case study, I first show how current signature-based tools and academically developed systems are weak against empirical obfuscation attacks, which can be easily employed without particular knowledge of the targeted systems. Then, I examine a possible strategy to build a machine learning detector that is robust against both empirical obfuscation and optimal attacks. Finally, I will show how proactive approaches can be also employed to develop systems that are not aimed at detecting malware, such as mobile fingerprinting systems. In particular, I propose a methodology to build a powerful mobile fingerprinting system, and examine possible attacks with which users might be able to evade it, thus preserving their privacy. To provide the aforementioned contributions, I co-developed (with the cooperation of the researchers at PRALab and Ruhr-Universität Bochum) various systems: a library to perform optimal attacks against machine learning systems (AdversariaLib), a framework for automatically obfuscating Android applications, a system to the robust detection of Javascript malware inside PDF files (LuxOR), a robust machine learning system to the detection of Android malware, and a system to fingerprint mobile devices. I also contributed to develop Android PRAGuard, a dataset containing a lot of empirical obfuscation attacks against the Android platform. Finally, I entirely developed Slayer NEO, an evolution of a previous system to the detection of PDF malware. The results attained by using the aforementioned tools show that it is possible to proactively build systems that predict possible evasion attacks. This suggests that a proactive approach is crucial to build systems that provide concrete security against general and evasion attacks.
Link esterno alla tesi: http://veprints.unica.it/1268/
Link esterno al gruppo di ricerca: http://pralab.diee.unica.it/
Alessandro Medda (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Studio e Sviluppo di un Analizzatore Avanzato per la Rilevazione di Attacchi Flash"
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/
Alessandro Medda (Dipartimento di Ingegneria Elettrica ed Elettronica - Università degli studi di Cagliari)
"Studio e Sviluppo di un Analizzatore Avanzato per la Rilevazione di Attacchi Flash"
(Relatore: Giorgio Giacinto).
Al giorno d’oggi, esistono diverse soluzioni che consentono di effettuare la distinzione tra file Flash malevoli e non. Tali soluzioni sono tuttavia poco efficienti per quanto concerne l'analisi del file Flash e l'estrazione delle relative informazioni per la classificazione. In particolare, queste soluzioni hanno in comune una ridotta velocità di analisi ed una limitata robustezza, dato che è possibile evaderne l'analisi attraverso modifiche mirate al file. In questo lavoro di tesi, l'obiettivo è stato quello di progettare un nuovo modulo di analisi di file Flash, integrabile con un sistema di analisi e classificazione progettato dall'Università di Cagliari. Lo sviluppo di tale modulo si è basato sull'ottimizzazione di tre aspetti: velocità, flessibilità, e robustezza. L'analizzatore, interamente scritto in C++, è progettato per estrarre in maniera rapida ed efficiente il bytecode ActionScript contenuto nel file, e di predisporre tutti gli elementi necessari per la classificazione del file. I risultati ottenuti dall'analisi di 2133 files, sia maligni che benigni, mostrano che l’analizzatore è in grado di analizzare i files Flash con un incremento di velocità anche dell’80%. Inoltre, il sistema tratta ora correttamente diversi files che riuscivano ad evadere i sistemi di analisi precedenti. Questi risultati mostrano come uno sviluppo orientato alla sicurezza e all'efficienza possa portare notevoli benefici alla rilevazione di applicazioni malevole.
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/
Luca Monni (Università degli Studi di Cagliari)
"Information Security e Social Engineering: tipologie di attacco ed evoluzioni future"
(Relatore: Prof. Ing. Giorgio Giacinto).
Il presente lavoro di tesi effettua un’approfondita analisi della moderna “Social Engineering”, branca relativa alla sicurezza informatica, concentrandosi in particolare sulle tecniche di cui un attaccante si avvale durante la fase di Information Gathering, ovvero la fase preparatoria all’attacco nel corso del quale vengono raccolte le informazioni circa un determinato target che saranno propedeutiche alla realizzazione dell’attacco vero e proprio. L’obiettivo di questo lavoro è quello di ricavare un quadro completo relativo a metodologie e scenari d’attacco, focalizzato sulle tecniche passate e moderne usate dagli attaccanti. Viene fornita un’analisi di alcuni casi reali che pone le basi per la creazione di attacchi veri e propri che ricalcano le metodologie utilizzate dagli utenti malintenzionati che oggigiorno sfruttano le tecniche di Social Engineering per realizzare gli attacchi informatici, tenendo anche conto fra gli altri, dei fattori psicologici che stanno alla base di questo tipo di attacchi. Sono stati in particolare ideati e modellati alcuni possibili scenari, nell’ambito dei quali sono stati impiegati alcuni software di comune utilizzo quali Maltego, Foca, e Recon-ng. Al fine di facilitare l’analisi dei dati raccolti sono stati inoltre sviluppati, a partire da alcune funzioni di libreria pre-esistenti, alcuni moduli software in Python che consentono di rappresentare graficamente le informazioni raccolte. Infine, l’ultima parte dell’elaborato approfondisce le contromisure applicabili in ingegneria sociale, dando importanza alle metriche di sicurezza e quelli che saranno i risvolti futuri in materia, affiancando un’ampia analisi relativa alle normative europee.
Link esterno alla tesi: https://drive.google.com/open?id=0B39PJ0vnthIGVTNKU3Z3cURucW8
Link esterno al gruppo di ricerca: https://pralab.diee.unica.it/
Marco Negro (Dipartimento di Matematica dell'Università degli studi di Padova)
"Tamper with the flow: Modern Control-Flow Integrity Implementations and their weaknesses"
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Marco Negro (Dipartimento di Matematica dell'Università degli studi di Padova)
"Tamper with the flow: Modern Control-Flow Integrity Implementations and their weaknesses"
(Relatore: Mauro Conti).
Protecting the run-time behaviour of an application is a critical task that is threatened by the large amount of bugs found in software. Development errors can lead to vulnerabilities exploitable by malicious users, who in turns can hijack the program and reuse the code for malicious purposes.rnThroughout the history of the run-time attacks, the types of vulnerabilities exploited by the attackers changed greatly, while the common feature is still the memory corruption. Many types of mechanisms has been proposed to prevent the misuse of applications. The most recent type aims to protect the control-flow of the application and it is called \gls{cfi}. A significant amount of work has been done in this file up until now. However, it is still difficult to find a sound solution, and performance and efficiency are the most debated aspects of these schemes.rnIn this thesis we study a number of proposed solution which we deemed the most important and we assessed their usability and actual efficiency. We then focus on one particular scheme, selected for its possible actual usage on commercial applications and for the security it grants, showing that the problem of run-time attacks is still not solved. We present an attack, described on a trivial application, and we apply it to a modern complex application. Finally, we propose a solution to patch the studied method and we asses again its performance.
Link esterno al gruppo di ricerca: http://spritz.math.unipd.it/
Andrea Palanca (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"A Stealth, Selective, Link-layer Denial-of-Service Attack Against Automotive Networks"
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/126393
Andrea Palanca (Dipartimento di Elettronica, Informazione e Bioingegneria, Politecnico di Milano)
"A Stealth, Selective, Link-layer Denial-of-Service Attack Against Automotive Networks"
(Relatore: Stefano Zanero).
Modern vehicles incorporate tens of electronic control units (ECUs), driven by, according to estimates, as much as 100,000,000 lines of code. They are tightly interconnected via internal networks, mostly based on the CAN bus standard. Past research showed that, by obtaining physical access to the network or by remotely compromising a vulnerable ECU, an attacker could control even safety-critical inputs such as throttle, steering or brakes. In order to secure current CAN networks from cyberattacks, detection and prevention approaches based on the analysis of transmitted frames have been proposed, and are generally considered the most time- and cost-effective solution, to the point that companies have started promoting aftermarket products for existing vehicles. This thesis presents a selective denial-of-service attack against the CAN standard which doesn’t involve the transmission of any frames for its execution, and thus would be undetectable via frame-level analysis. As the attack is based on CAN protocol weaknesses, all CAN bus implementations by all manufacturers are vulnerable, even outside of the automotive world. Moreover, the attack can also be performed completely remotely under easily achievable assumptions. In order to precisely investigate the time, money and expertise needed, an experimental proof-of-concept against a modern, unmodified vehicle is implemented and it is proved that the barrier to entry is extremely low. Finally, this paper presents a discussion of the threat analysis, and proposes possible countermeasures for detecting and preventing such an attack. Unfortunately, since the attack is rooted on design weaknesses, the viable countermeasures are far from a «plug-and-secure» approach. Instead, they imply significant changes in how CAN networks are typically deployed. The hope is that future generation CAN networks will be designed taking into account the possibility of attacks such as the one that it is presented.
Link esterno alla tesi: https://www.politesi.polimi.it/handle/10589/126393
Leonardo Preti (Politecnico di Milano - Dipartimento di Elettronica, Informazione e Bioingegneria)
"Detecting Android malware campaigns via application similarity analysis"
Link esterno alla tesi: http://hdl.handle.net/10589/119402
Link esterno al gruppo di ricerca: http://necst.it/
Leonardo Preti (Politecnico di Milano - Dipartimento di Elettronica, Informazione e Bioingegneria)
"Detecting Android malware campaigns via application similarity analysis"
(Relatore: Stefano Zanero).
Due to the increasing detection of Android malware and the ever growing worldwide market share of Google's mobile operating system, which reached 84.7% in Q3 2015, the tools used to identify malicious applications must be kept updated and they need to offer a fast way to have the most reliable overview on the malware scene. As part of the effort to mitigate this threat, we present an approach and tool that allow the security analysts to perform accurate searches on the analysed applications and find correlations between them, grouping malicious applications into clusters of similarity. Our work is based on the notion that the most valuable asset that a malware can steal is the user's data and that, in order to retrieve them, the application must connect to an endpoint (e.g., a server, a phone) controlled by the criminal. Performing a static analysis of the source code and then comparing the information gathered with third-party dynamic tools, we obtain the list of endpoints contained in the application; if some of them are categorized as malicious, we can conclude that the application is a threat. In order to achieve this goal, we collect general information about the application (e.g. the package name, the Android version required, the usage of Google Cloud Messaging); the components of the application (i.e., the activities, services, broadcast receivers and content providers which the application is composed of); textual information contained in the application (e.g. the strings, the URLs, the phone numbers). We enriched the collected static data by classifying the endpoints according to their maliciousness and by localising the geographical area targeted by the malware, though a deeper investigation on the strings. The comparison between applications, in order to find correlations, is performed both on the information gathered and on the similarity of the packages: if two applications are connected to the same malicious endpoint, they are under control of the same treat agent; similarly, if two applications follow the suggested guidelines and have similar package names, they have likely been developed by the same company or generated by the same crimeware kit. The final result of our work is a web application based on Elasticsearch, a service which offers both the functionalities of an online database and of a full-text indexed search engine. Its flexibility allows us to perform queries on the samples stored and discover the clusters of similarity to which a malware belongs to in almost real-time.
Link esterno alla tesi: http://hdl.handle.net/10589/119402
Link esterno al gruppo di ricerca: http://necst.it/
Claudio Zanasi (Dipartimento di ingegneria "Enzo Ferrari", Universita degli studi di Modena e Reggio Emilia)
"Sistema di storage distribuito basato su tecnologia Blockchain"
Claudio Zanasi (Dipartimento di ingegneria "Enzo Ferrari", Universita degli studi di Modena e Reggio Emilia)
"Sistema di storage distribuito basato su tecnologia Blockchain"
(Relatore: Michele Colajanni).
In questa tesi sono esplorate alcune possibili applicazioni della tecnologia blockchain in ambito di storage decentralizzato. Si intende realizzare un sistema con funzionalità paragonabili a quelle offerte da servizi di cloud storage come Dropbox o Google Drive impiegando esclusivamente tecnologie decentralizzate. I servizi di cloud storage sono ormai utilizzatissimi per via dei grandi vantaggi che offrono ai loro utenti quali: possibilità di accedere ai propri dati da qualsiasi terminale connesso ad internet e disponibilità di uno spazio di memoria protetto da perdite dati dovute a malfunzionamenti hardware, poichè è presente una gestione automatica dei backup. Tuttavia la presenza di una entità centrale che gestisce questi servizi (il cloud provider) comporta rischi per la privacy e per la riservatezza dei dati degli utenti. Grazie alla tecnologia blockchain è possibile eliminare le entità di controllo tradizionali e realizzare un sistema totalmente distribuito di tipo trustless. In questa tesi viene proposta una piattaforma per la compravendita di storage peer to peer in cui ogni utente ha la possibilità sia di acquistare sia di vendere spazio di storage remoto. Il sistema realizzato sfrutta degli smartcontract per regolamentare le interazioni che avvengono tra gli utenti, gestire i pagamenti ed assicurare che ogni partecipante si comporti seguendo le regole. La gestione e la distribuzione effettiva dei dati è affidata ad una rete peer to peer che, oltre alle alte prestazioni, offre resistenza a tentativi di censure e ad attacchi di tipo denial of service. Tutti i dati immessi nel sistema sono cifrati lato client per garantire la massima riservatezza, in questo modo solo l'effettivo proprietario di un file è in grado di accedere al reale contenuto, a differenza di ciò che avviene in un servizio di cloud storagein cui il provider ha pieno accesso ai dati che sono caricati sui suoi server.
BACHECA TESI EDIZIONI PASSATE
Edizione 2022
Edizione 2022
Edizione 2021
Edizione 2020
Edizione 2019
Edizione 2018
Edizione 2017
Edizione 2016
Edizione 2015
Edizione 2014
Edizione 2013
Edizione 2012
Edizione 2011
Edizione 2010
Edizione 2009
Edizione 2008
Edizione 2007
Il Premio Tesi è realizzato in collaborazione e con il sostegno di: