BACHECA TESI
Edizione 2008
Michele Barletta (Dipartimento di Informatica - Universita' degli Studi di Verona)
"Studio di meccanismi di attacco e difesa delle reti wireless"
Link esterno alla tesi: http://www.di.univr.it/dol/main?ent=persona&id=5054#cv
Link esterno al gruppo di ricerca: http://www.avantssar.eu/
"Studio di meccanismi di attacco e difesa delle reti wireless"Link esterno alla tesi: http://www.di.univr.it/dol/main?ent=persona&id=5054#cv
Link esterno al gruppo di ricerca: http://www.avantssar.eu/
Michele Barletta (Dipartimento di Informatica - Universita' degli Studi di Verona)
"Studio di meccanismi di attacco e difesa delle reti wireless"
(Relatore: Prof. Roberto Segala).
La sicurezza nelle comunicazioni wireless rappresenta uno scoglio, con il quale i ricercatori si sono dovuti confrontare, a causa del mezzo di trasporto fisico utilizzato: le onde radio. Le tecniche gia' impiegate per le reti cablate si sono dimostrate inapplicabili per questo tipo di tecnologia. Da qui'l'idea alla base della tesi, di analizzare alcuni tra i piu' diffusi meccanismi di difesa delle reti wireless, per individuarne le problematiche e dimostrare con esempi pratici il sottile equilibrio tra sicurezza e prestazioni. Si vuole mettere in risalto la semplicita' con cui possono essere carpite informazioni nell’etere per eludere sofisticati congegni hardware e software di controllo degli accessi e di sicurezza dei dati nelle reti senza fili. Vengono descritti dettagliatamente algoritmi implementati nei dispositivi commerciali, e successivamente descritte le vulnerabilita' che li caratterizzano per arrivare alla dimostrazione che l’idea di sicurezza assoluta rimane solo un utopia teorica. Grazie ad una serie di test effettuati con esito positivo, la tesi portera' ad alcune considerazioni di carattere generale, volte a sensibilizzare l’opinione pubblica sul delicato tema della sicurezza e della privacy delle proprie informazioni.
Link esterno alla tesi: http://www.di.univr.it/dol/main?ent=persona&id=5054#cv
Link esterno al gruppo di ricerca: http://www.avantssar.eu/
"Studio di meccanismi di attacco e difesa delle reti wireless"(Relatore: Prof. Roberto Segala).
La sicurezza nelle comunicazioni wireless rappresenta uno scoglio, con il quale i ricercatori si sono dovuti confrontare, a causa del mezzo di trasporto fisico utilizzato: le onde radio. Le tecniche gia' impiegate per le reti cablate si sono dimostrate inapplicabili per questo tipo di tecnologia. Da qui'l'idea alla base della tesi, di analizzare alcuni tra i piu' diffusi meccanismi di difesa delle reti wireless, per individuarne le problematiche e dimostrare con esempi pratici il sottile equilibrio tra sicurezza e prestazioni. Si vuole mettere in risalto la semplicita' con cui possono essere carpite informazioni nell’etere per eludere sofisticati congegni hardware e software di controllo degli accessi e di sicurezza dei dati nelle reti senza fili. Vengono descritti dettagliatamente algoritmi implementati nei dispositivi commerciali, e successivamente descritte le vulnerabilita' che li caratterizzano per arrivare alla dimostrazione che l’idea di sicurezza assoluta rimane solo un utopia teorica. Grazie ad una serie di test effettuati con esito positivo, la tesi portera' ad alcune considerazioni di carattere generale, volte a sensibilizzare l’opinione pubblica sul delicato tema della sicurezza e della privacy delle proprie informazioni.
Link esterno alla tesi: http://www.di.univr.it/dol/main?ent=persona&id=5054#cv
Link esterno al gruppo di ricerca: http://www.avantssar.eu/
Roberto Capizzi (Politecnico di Milano)
"Preventing Information Leaks through Shadow Execution"
"Preventing Information Leaks through Shadow Execution"Roberto Capizzi (Politecnico di Milano)
"Preventing Information Leaks through Shadow Execution"
(Relatore: Stefano Zanero).
A concern about personal information confidentiality arises when any desktop application communicates to the external network, for example, to its producer’s server to obtain software version updates. We address this confidentiality concern of end users by an approach called shadow execution. A key property of shadow execution is that it allows applications to successfully communicate over the network while disallowing any information leaks. We describe the design and implementation of this approach for Windows applications. Experiments with our prototype implementation indicate that shadow execution allows applications to execute without inhibiting any behaviors, has acceptable performance overheads while preventing any information leaks.
"Preventing Information Leaks through Shadow Execution"(Relatore: Stefano Zanero).
A concern about personal information confidentiality arises when any desktop application communicates to the external network, for example, to its producer’s server to obtain software version updates. We address this confidentiality concern of end users by an approach called shadow execution. A key property of shadow execution is that it allows applications to successfully communicate over the network while disallowing any information leaks. We describe the design and implementation of this approach for Windows applications. Experiments with our prototype implementation indicate that shadow execution allows applications to execute without inhibiting any behaviors, has acceptable performance overheads while preventing any information leaks.
Davide Cavalca (Università degli studi di Pavia - Facoltà di Ingegneria - Dipartimento di informatica e sistemistica)
"Sviluppo di una piattaforma distribuita per il monitoraggio del malware in Internet"
Link esterno alla tesi: http://netlab-mn.unipv.it/thesis/MSc/Cavalca_Thesis.pdf
Link esterno al gruppo di ricerca: http://netlab-mn.unipv.it
"Sviluppo di una piattaforma distribuita per il monitoraggio del malware in Internet"Link esterno alla tesi: http://netlab-mn.unipv.it/thesis/MSc/Cavalca_Thesis.pdf
Link esterno al gruppo di ricerca: http://netlab-mn.unipv.it
Davide Cavalca (Università degli studi di Pavia - Facoltà di Ingegneria - Dipartimento di informatica e sistemistica)
"Sviluppo di una piattaforma distribuita per il monitoraggio del malware in Internet"
(Relatore: Giuseppe Federico Rossi).
Le honeynet sono un importante strumento per ricercatori ed operatori di rete. Ciononostante, la mancanza di un modello dei dati unificato ne ha compromesso l'efficacia, portando alla creazione di un gran numero di archivi di dati in formati proprietari. Inoltre, l'installazione e la gestione di una honeynet è un'attività impegnativa in termini di tempo e l'interpretazione dei dati raccolti è tutt'altro che banale. Questo lavoro presenta HIVE (Honeynet Infrastructure in Virtualized Environment), un'architettura altamente scalabile per la raccolta e l'analisi automatica del malware. HIVE fa uso della virtualizzazione per semplificare la gestione e l'installazione delle honeypot, integrando sistemi ad alta e bassa interazione in un'infrastruttura comune. La memorizzazione dei dati in un database relazionale premette di eseguire la loro analisi in modo rapido e dettagliato. Sono infine presentate alcune tecniche integrate in HIVE per il monitoraggio attivo delle botnet centralizzate.
Link esterno alla tesi: http://netlab-mn.unipv.it/thesis/MSc/Cavalca_Thesis.pdf
Link esterno al gruppo di ricerca: http://netlab-mn.unipv.it
"Sviluppo di una piattaforma distribuita per il monitoraggio del malware in Internet"(Relatore: Giuseppe Federico Rossi).
Le honeynet sono un importante strumento per ricercatori ed operatori di rete. Ciononostante, la mancanza di un modello dei dati unificato ne ha compromesso l'efficacia, portando alla creazione di un gran numero di archivi di dati in formati proprietari. Inoltre, l'installazione e la gestione di una honeynet è un'attività impegnativa in termini di tempo e l'interpretazione dei dati raccolti è tutt'altro che banale. Questo lavoro presenta HIVE (Honeynet Infrastructure in Virtualized Environment), un'architettura altamente scalabile per la raccolta e l'analisi automatica del malware. HIVE fa uso della virtualizzazione per semplificare la gestione e l'installazione delle honeypot, integrando sistemi ad alta e bassa interazione in un'infrastruttura comune. La memorizzazione dei dati in un database relazionale premette di eseguire la loro analisi in modo rapido e dettagliato. Sono infine presentate alcune tecniche integrate in HIVE per il monitoraggio attivo delle botnet centralizzate.
Link esterno alla tesi: http://netlab-mn.unipv.it/thesis/MSc/Cavalca_Thesis.pdf
Link esterno al gruppo di ricerca: http://netlab-mn.unipv.it
Davide Ceolin (Dipartimento di Informatica - Università Ca' Foscari)
"Control Flow Analysis for Cryptographic and Security APIs"
"Control Flow Analysis for Cryptographic and Security APIs"Davide Ceolin (Dipartimento di Informatica - Università Ca' Foscari)
"Control Flow Analysis for Cryptographic and Security APIs"
(Relatore: Cortesi Agostino).
La tesi si pone l'obiettivo di trovare un punto di contatto tra i metodi formali per la sicurezza (tra cui gli Strand Spaces, le algebre di processo per la sicurezza e i type systems per la sicurezza) e quelli per l'analisi generica di applicazioni (quali Control Flow, Data Flow ed Information Flow Analysis, unificate dalla più generica Interpretazione Astratta), al fine di permettere un'analisi Control Flow di applicazioni facenti uso di API crittografiche. Dopo aver introdotto questi metodi formali, viene presentata una serie di analisi che costituisce il risultato ultimo dell'elaborato. Queste, basate su Interpretazione Astratta (e pensate per poter essere implementate mediante l'analizzatore statico per Java “Checkmate”), estendono la semantica di riferimento, ove necessario, basandosi su Strand Spaces. Esse costituiscono, dunque, un traguardo rispetto agli obiettivi iniziali dell'elaborato e aprono la strada al raffinamento, all'espansione e all'implementazione di queste analisi.
"Control Flow Analysis for Cryptographic and Security APIs"(Relatore: Cortesi Agostino).
La tesi si pone l'obiettivo di trovare un punto di contatto tra i metodi formali per la sicurezza (tra cui gli Strand Spaces, le algebre di processo per la sicurezza e i type systems per la sicurezza) e quelli per l'analisi generica di applicazioni (quali Control Flow, Data Flow ed Information Flow Analysis, unificate dalla più generica Interpretazione Astratta), al fine di permettere un'analisi Control Flow di applicazioni facenti uso di API crittografiche. Dopo aver introdotto questi metodi formali, viene presentata una serie di analisi che costituisce il risultato ultimo dell'elaborato. Queste, basate su Interpretazione Astratta (e pensate per poter essere implementate mediante l'analizzatore statico per Java “Checkmate”), estendono la semantica di riferimento, ove necessario, basandosi su Strand Spaces. Esse costituiscono, dunque, un traguardo rispetto agli obiettivi iniziali dell'elaborato e aprono la strada al raffinamento, all'espansione e all'implementazione di queste analisi.
Lorenzo Cignini (INFOCOM Dept. - TLC Engineering - University of Rome )
"Ottimizzazione adattiva della configurazione delle policy di sicurezza in dispositivi di rete basata sull’analisi di log di traffico con vincoli di assenza di conflitti"
"Ottimizzazione adattiva della configurazione delle policy di sicurezza in dispositivi di rete basata sull’analisi di log di traffico con vincoli di assenza di conflitti"Lorenzo Cignini (INFOCOM Dept. - TLC Engineering - University of Rome )
"Ottimizzazione adattiva della configurazione delle policy di sicurezza in dispositivi di rete basata sull’analisi di log di traffico con vincoli di assenza di conflitti"
(Relatore: Chiar.mo Prof, Andrea Baiocchi).
Security rules management in firewall and security gateway is a hard and error prone task as administrators must correctly implement and update a large amount of policies especially when rapid changing occurs due to new security needs. The challenge to address in multi-firewall and security gateway environment is to implement conflict-free policies, necessary to avoid security inconsistency, and to optimize, at the same time, performances in term of average filtering time, in order to make firewalls stronger against DoS and DDoS attacks. Additionally the approach should be real time, based on the characteristics of network traffic. There is a vast amount of literature on security policy conflict detection and resolution and on device rule set shaping to improve policy implementation performance. This work defines an algorithm to find conflict free optimized device rule sets in real time, by relying on information gathered from traffic analysis. We show results obtained from our test environment confirming that operational costs of devices could be improved based on traffic analysis via log files of the security device. We demonstrate computational power savings up to 24% with fully conflict free device policies.
"Ottimizzazione adattiva della configurazione delle policy di sicurezza in dispositivi di rete basata sull’analisi di log di traffico con vincoli di assenza di conflitti"(Relatore: Chiar.mo Prof, Andrea Baiocchi).
Security rules management in firewall and security gateway is a hard and error prone task as administrators must correctly implement and update a large amount of policies especially when rapid changing occurs due to new security needs. The challenge to address in multi-firewall and security gateway environment is to implement conflict-free policies, necessary to avoid security inconsistency, and to optimize, at the same time, performances in term of average filtering time, in order to make firewalls stronger against DoS and DDoS attacks. Additionally the approach should be real time, based on the characteristics of network traffic. There is a vast amount of literature on security policy conflict detection and resolution and on device rule set shaping to improve policy implementation performance. This work defines an algorithm to find conflict free optimized device rule sets in real time, by relying on information gathered from traffic analysis. We show results obtained from our test environment confirming that operational costs of devices could be improved based on traffic analysis via log files of the security device. We demonstrate computational power savings up to 24% with fully conflict free device policies.
Alessandro Colantonio (Dipartimento di Informatica - Università La Sapienza)
"Un approccio al role engineering basato sui costi di amministrazione"
"Un approccio al role engineering basato sui costi di amministrazione"Alessandro Colantonio (Dipartimento di Informatica - Università La Sapienza)
"Un approccio al role engineering basato sui costi di amministrazione"
(Relatore: Roberto Di Pietro).
Negli ultimi anni il controllo degli accessi basato sui ruoli (Role-Based Access Control, RBAC) si è enormemente diffuso fra le aziende e le organizzazioni di medie e grandi dimensioni. Tuttavia le organizzazioni mostrano ancora una certa difficoltà nel processo di migrazione verso questo modello, principalmente a causa della complessità correlata all’identificazione di un insieme di ruoli che meglio rispecchiano le reali esigenze organizzative. Nessuna delle metodologie di ingegneria dei ruoli finora descritte in letteratura offre una metrica per misurare la “bontà” dei ruoli candidati proposti. Questa tesi presenta un approccio innovativo fondato sul concetto di misurazione del costo di amministrazione del modello RBAC risultante. Viene illustrato l’algoritmo RBAM (Role-Based Association-rule Mining) in grado di sfruttare la metrica definita per una particolare organizzazione al fine di identificare un insieme di ruoli aventi un costo di amministrazione il più basso possibile.
"Un approccio al role engineering basato sui costi di amministrazione"(Relatore: Roberto Di Pietro).
Negli ultimi anni il controllo degli accessi basato sui ruoli (Role-Based Access Control, RBAC) si è enormemente diffuso fra le aziende e le organizzazioni di medie e grandi dimensioni. Tuttavia le organizzazioni mostrano ancora una certa difficoltà nel processo di migrazione verso questo modello, principalmente a causa della complessità correlata all’identificazione di un insieme di ruoli che meglio rispecchiano le reali esigenze organizzative. Nessuna delle metodologie di ingegneria dei ruoli finora descritte in letteratura offre una metrica per misurare la “bontà” dei ruoli candidati proposti. Questa tesi presenta un approccio innovativo fondato sul concetto di misurazione del costo di amministrazione del modello RBAC risultante. Viene illustrato l’algoritmo RBAM (Role-Based Association-rule Mining) in grado di sfruttare la metrica definita per una particolare organizzazione al fine di identificare un insieme di ruoli aventi un costo di amministrazione il più basso possibile.
Pierre Falda (Università degli studi di Milano)
"Studio e sviluppo di un framework per l'analisi dinamica di codice maligno in ambiente virtualizzato"
"Studio e sviluppo di un framework per l'analisi dinamica di codice maligno in ambiente virtualizzato"Pierre Falda (Università degli studi di Milano)
"Studio e sviluppo di un framework per l'analisi dinamica di codice maligno in ambiente virtualizzato"
(Relatore: prof. Danilo Bruschi).
Contesto: L'analisi del malware è il processo atto a determinare lo scopo e le funzionalità di un dato codice maligno (come un virus, un worm od un cavallo di Troia). Questo processo è un passo necessario per sviluppare tecniche efficaci di rilevamento di codice maligno ed un importante prerequisito per lo sviluppo di strumenti di rimozione del malware da una macchina infetta. Tradizionalmente, l'analisi del malware è stato un un processo manuale estremamente lungo e tedioso. Sfortunatamente, il numero di campioni da analizzare quotidianamente dalle aziende operanti nel settore è in costante crescita. Questo testimonia chiaramente la necessità di strumenti in grado di rendere il processo quanto più possibile automatico. Problema: Il problema consiste nel progettare ed integrare nell'emulatore QEMU un'infrastruttura estremamente flessibile, prestazionalmente efficiente e di facile utilizzo che consenta il monitoraggio e la manipolazione di un qualsiasi flusso esecutivo all'interno dell'ambiente virtuale. All'interno dell'ambiente non deve essere percepibile nessuna delle azioni compiute al suo esterno tramite il framework per non influenzare direttamente od indirettamente il comportamento del malware in esame. Articolazione della ricerca, metodologia: Dopo l'analisi dei requisiti, il lavoro è stato suddiviso in tre macro-aree: personalizzazione, monitoraggio e manipolazione. Per permettere un alto livello di personalizzazione è stata realizzata un'infrastruttura che permetta l'espansione delle funzionalità e/o la modifica dei comportamenti di QEMU e del framework stesso tramite plug-in. Per poter monitorare un flusso esecutivo è stato introdotto un sistema di callback che possono venire attivate in un qualsiasi punto, sia per analizzare funzioni o dati con cui il codice sta lavorando, sia per modificarli. L'infrastruttura di manipolazione invece è stata realizzata tramite un dirottamento della MMU virtuale per far si che fosse possibile iniettare del codice arbitrario all'interno di un flusso esecutivo nell'ambiente. Per facilitare ulteriormente questo aspetto, è stato realizzato anche un convertitore che dato un qualsiasi file sorgente in un linguaggio ad alto livello si occupa di generare il codice macchina pronto per essere iniettato.
"Studio e sviluppo di un framework per l'analisi dinamica di codice maligno in ambiente virtualizzato"(Relatore: prof. Danilo Bruschi).
Contesto: L'analisi del malware è il processo atto a determinare lo scopo e le funzionalità di un dato codice maligno (come un virus, un worm od un cavallo di Troia). Questo processo è un passo necessario per sviluppare tecniche efficaci di rilevamento di codice maligno ed un importante prerequisito per lo sviluppo di strumenti di rimozione del malware da una macchina infetta. Tradizionalmente, l'analisi del malware è stato un un processo manuale estremamente lungo e tedioso. Sfortunatamente, il numero di campioni da analizzare quotidianamente dalle aziende operanti nel settore è in costante crescita. Questo testimonia chiaramente la necessità di strumenti in grado di rendere il processo quanto più possibile automatico. Problema: Il problema consiste nel progettare ed integrare nell'emulatore QEMU un'infrastruttura estremamente flessibile, prestazionalmente efficiente e di facile utilizzo che consenta il monitoraggio e la manipolazione di un qualsiasi flusso esecutivo all'interno dell'ambiente virtuale. All'interno dell'ambiente non deve essere percepibile nessuna delle azioni compiute al suo esterno tramite il framework per non influenzare direttamente od indirettamente il comportamento del malware in esame. Articolazione della ricerca, metodologia: Dopo l'analisi dei requisiti, il lavoro è stato suddiviso in tre macro-aree: personalizzazione, monitoraggio e manipolazione. Per permettere un alto livello di personalizzazione è stata realizzata un'infrastruttura che permetta l'espansione delle funzionalità e/o la modifica dei comportamenti di QEMU e del framework stesso tramite plug-in. Per poter monitorare un flusso esecutivo è stato introdotto un sistema di callback che possono venire attivate in un qualsiasi punto, sia per analizzare funzioni o dati con cui il codice sta lavorando, sia per modificarli. L'infrastruttura di manipolazione invece è stata realizzata tramite un dirottamento della MMU virtuale per far si che fosse possibile iniettare del codice arbitrario all'interno di un flusso esecutivo nell'ambiente. Per facilitare ulteriormente questo aspetto, è stato realizzato anche un convertitore che dato un qualsiasi file sorgente in un linguaggio ad alto livello si occupa di generare il codice macchina pronto per essere iniettato.
Alessandro Frossi (Politecnico di Milano - Dipartimento di Elettronica e Informazione)
"A Statistical Model For Automata Based Intrusion Detection Systems"
"A Statistical Model For Automata Based Intrusion Detection Systems"Alessandro Frossi (Politecnico di Milano - Dipartimento di Elettronica e Informazione)
"A Statistical Model For Automata Based Intrusion Detection Systems"
(Relatore: Stefano Zanero).
La tesi si pone come obiettivo lo studio, l’implementazione e il testing di un IDS host-based partendo da due differenti sistemi, uno di tipo statistico e uno di tipo deterministico. Sono stati proposti tre nuovi modelli atti a sostituire quelli utilizzate nei due sistemi: uno per gli argomenti passati a un nuovo processo, uno per i nomi di file e infine uno per il controllo di flusso. Tutte le metriche proposte lavorano su base statistica stimando distribuzioni (e relativi intervalli di validità tramite percentili) o rappresentazioni dati (si tratta di Self-Organizing Maps modificate per modellizzare paths) che meglio si adattano alle informazioni contenute nel training set, per poter così ridurre i falsi positivi e negativi mantenendo però un’alta Detection Rate. Tali dati sono poi aggiunti ad un automa a stati finiti con la funzione di controllare il flusso di esecuzione del programma. Il risultato è un nuovo IDS, chiamato Hybrid IDS, di cui si propongono i risultati di un’estensiva fase di test.
"A Statistical Model For Automata Based Intrusion Detection Systems"(Relatore: Stefano Zanero).
La tesi si pone come obiettivo lo studio, l’implementazione e il testing di un IDS host-based partendo da due differenti sistemi, uno di tipo statistico e uno di tipo deterministico. Sono stati proposti tre nuovi modelli atti a sostituire quelli utilizzate nei due sistemi: uno per gli argomenti passati a un nuovo processo, uno per i nomi di file e infine uno per il controllo di flusso. Tutte le metriche proposte lavorano su base statistica stimando distribuzioni (e relativi intervalli di validità tramite percentili) o rappresentazioni dati (si tratta di Self-Organizing Maps modificate per modellizzare paths) che meglio si adattano alle informazioni contenute nel training set, per poter così ridurre i falsi positivi e negativi mantenendo però un’alta Detection Rate. Tali dati sono poi aggiunti ad un automa a stati finiti con la funzione di controllare il flusso di esecuzione del programma. Il risultato è un nuovo IDS, chiamato Hybrid IDS, di cui si propongono i risultati di un’estensiva fase di test.
Antonio Gerardo Galante (Politecnico di Milano)
"BlueBat: towards a practical Bluetooth honeypot "
"BlueBat: towards a practical Bluetooth honeypot "Antonio Gerardo Galante (Politecnico di Milano)
"BlueBat: towards a practical Bluetooth honeypot "
(Relatore: Stefano Zanero).
It is still difficult to assess the real danger posed by Bluetooth-propagated malware. This thesis describes the design and implementation of a first prototype of honeypot, focusing on Bluetooth worms propagating over the OBEX Push service. The aim is to build and deploy a practical honeypot for capturing in-the-wild samples and empirically study malware prevalence. We develop and perform initial field testing of different types of sensors, in order to achieve an optimal collection capability. We demonstrate various design constraints, and analyse the results of the field tests. As a result of our experiments, we obtained various observations that seemingly contradict common assumptions on the viability of this attack vector. We report on these observations and use them to build a more accurate and realistic model of Bluetooth worm propagation, which can help to assess better the level of risk associated with this type of malware.
"BlueBat: towards a practical Bluetooth honeypot "(Relatore: Stefano Zanero).
It is still difficult to assess the real danger posed by Bluetooth-propagated malware. This thesis describes the design and implementation of a first prototype of honeypot, focusing on Bluetooth worms propagating over the OBEX Push service. The aim is to build and deploy a practical honeypot for capturing in-the-wild samples and empirically study malware prevalence. We develop and perform initial field testing of different types of sensors, in order to achieve an optimal collection capability. We demonstrate various design constraints, and analyse the results of the field tests. As a result of our experiments, we obtained various observations that seemingly contradict common assumptions on the viability of this attack vector. We report on these observations and use them to build a more accurate and realistic model of Bluetooth worm propagation, which can help to assess better the level of risk associated with this type of malware.
Antonio Longo (Politecnico di Milano)
"Preventing Information Leaks through Shadow Execution"
"Preventing Information Leaks through Shadow Execution"Antonio Longo (Politecnico di Milano)
"Preventing Information Leaks through Shadow Execution"
(Relatore: Prof. Stefano Zanero).
A concern about personal information confidentiality arises when any desktop application communicates to the external network, for example, to its producer’s server to obtain software version updates. We address this confidentiality concern of end users by an approach called shadow execution. A key property of shadow execution is that it allows applications to successfully communicate over the network while disallowing any information leaks. We describe the design and implementation of this approach for Windows applications. Experiments with our prototype implementation indicate that shadow execution allows applications to execute without inhibiting any behaviors, has acceptable performance overheads while preventing any information leaks.
"Preventing Information Leaks through Shadow Execution"(Relatore: Prof. Stefano Zanero).
A concern about personal information confidentiality arises when any desktop application communicates to the external network, for example, to its producer’s server to obtain software version updates. We address this confidentiality concern of end users by an approach called shadow execution. A key property of shadow execution is that it allows applications to successfully communicate over the network while disallowing any information leaks. We describe the design and implementation of this approach for Windows applications. Experiments with our prototype implementation indicate that shadow execution allows applications to execute without inhibiting any behaviors, has acceptable performance overheads while preventing any information leaks.
Michele Messori (Dipartimento di Ingegneria dell'Informazione - Università degli studi di Modena e Reggio Emilia)
"Architettura peer-to-peer per la rilevazione e la prevenzione dal malware"
Link esterno al gruppo di ricerca: http://weblab.ing.unimo.it
"Architettura peer-to-peer per la rilevazione e la prevenzione dal malware"Link esterno al gruppo di ricerca: http://weblab.ing.unimo.it
Michele Messori (Dipartimento di Ingegneria dell'Informazione - Università degli studi di Modena e Reggio Emilia)
"Architettura peer-to-peer per la rilevazione e la prevenzione dal malware"
(Relatore: Prof. Michele Colajanni).
Lo stato dell'arte per la protezione dei sistemi in rete è rappresentato da architetture distribuite che collaborano a livello gerarchico. Gli schemi esistenti sono caratterizzati da due problemi: uno scarso bilanciamento del carico e la presenza di single point of failure che comprometterebbero il funzionamento dell'intero sistema. La tesi presenta un'architettura cooperativa di nuova generazione, nella quale per la prima volta si propone l'utilizzo di una rete peer-to-peer per la raccolta, l'analisi e la difesa dal malware. L'architettura proposta risolve i maggiori problemi dei sistemi attuali garantendo cinque vantaggi: -elevata tolleranza ai guasti -bilanciamento del carico tra i nodi -utilizzo efficiente dello spazio di storage -ottima scalabilità -adattabilità a scenari e topologie architetturali variabili L'architettura cooperativa progettata è stata implementata e testata in un contesto reale. Le sperimentazioni hanno confermato le caratteristiche e i vantaggi attesi.
Link esterno al gruppo di ricerca: http://weblab.ing.unimo.it
"Architettura peer-to-peer per la rilevazione e la prevenzione dal malware"(Relatore: Prof. Michele Colajanni).
Lo stato dell'arte per la protezione dei sistemi in rete è rappresentato da architetture distribuite che collaborano a livello gerarchico. Gli schemi esistenti sono caratterizzati da due problemi: uno scarso bilanciamento del carico e la presenza di single point of failure che comprometterebbero il funzionamento dell'intero sistema. La tesi presenta un'architettura cooperativa di nuova generazione, nella quale per la prima volta si propone l'utilizzo di una rete peer-to-peer per la raccolta, l'analisi e la difesa dal malware. L'architettura proposta risolve i maggiori problemi dei sistemi attuali garantendo cinque vantaggi: -elevata tolleranza ai guasti -bilanciamento del carico tra i nodi -utilizzo efficiente dello spazio di storage -ottima scalabilità -adattabilità a scenari e topologie architetturali variabili L'architettura cooperativa progettata è stata implementata e testata in un contesto reale. Le sperimentazioni hanno confermato le caratteristiche e i vantaggi attesi.
Link esterno al gruppo di ricerca: http://weblab.ing.unimo.it
Fabrizio Monticelli (Politecnico di Milano)
"Creation and Evaluation of SQL Injection Attacks Security Tools"
Link esterno alla tesi: http://lersse-dl.ece.ubc.ca/search.py?recid=167&ln=en
Link esterno al gruppo di ricerca: https://lersse.ece.ubc.ca/tiki-index.php
"Creation and Evaluation of SQL Injection Attacks Security Tools"Link esterno alla tesi: http://lersse-dl.ece.ubc.ca/search.py?recid=167&ln=en
Link esterno al gruppo di ricerca: https://lersse.ece.ubc.ca/tiki-index.php
Fabrizio Monticelli (Politecnico di Milano)
"Creation and Evaluation of SQL Injection Attacks Security Tools"
(Relatore: Prof. Stefano Zanero).
This work summarizes our research on the topic of the creation and evaluation of security tools against SQL injection attacks (SQLIAs). We introduce briefly the key concepts and problems of information security and we present the major role that SQL Injection is playing in this scenario. Based on the above analysis and on today’s computer security state-of-the-art, we focus our research on the specific field of SQLIAs, which are still one of the most exploited and dangerous intrusion techniques used to access web applications. More exactly we address both the problems of (1) how to completely evaluate SQLIAs security systems in order to achieve useful results and subsequently a better level of security by proposing a novel evaluation methodology, and (2) how to be safe from SQLIAs by creating and presenting, as a case study of our evaluation procedure, an effective tool for detecting and preventing known as well as new SQL injection attacks. The proposal evaluation methodology is general and adaptable to any security tools for detection or prevention of SQLIAs. It is a complete step-by-step procedure which provides a guideline to test and value important characteristics such as efficiency, effectiveness, stability, flexibility and performance and achieves usable and comparable results to properly judge the tested tool. In addiction, as a case study of our methodology, we present the evaluation of our tool we have named SQLPrevent which dynamically detects SQL injection attacks using a heuristics approach, and blocks the corresponding SQL statements from being submitted to the back-end database. In our experiments, SQLPrevent produced no false positives or false negatives, it has 100% detection and prevention rate measured on different types of SQLIAs, is environment independence, and imposed on average of 0.3% performance overhead.
Link esterno alla tesi: http://lersse-dl.ece.ubc.ca/search.py?recid=167&ln=en
Link esterno al gruppo di ricerca: https://lersse.ece.ubc.ca/tiki-index.php
"Creation and Evaluation of SQL Injection Attacks Security Tools"(Relatore: Prof. Stefano Zanero).
This work summarizes our research on the topic of the creation and evaluation of security tools against SQL injection attacks (SQLIAs). We introduce briefly the key concepts and problems of information security and we present the major role that SQL Injection is playing in this scenario. Based on the above analysis and on today’s computer security state-of-the-art, we focus our research on the specific field of SQLIAs, which are still one of the most exploited and dangerous intrusion techniques used to access web applications. More exactly we address both the problems of (1) how to completely evaluate SQLIAs security systems in order to achieve useful results and subsequently a better level of security by proposing a novel evaluation methodology, and (2) how to be safe from SQLIAs by creating and presenting, as a case study of our evaluation procedure, an effective tool for detecting and preventing known as well as new SQL injection attacks. The proposal evaluation methodology is general and adaptable to any security tools for detection or prevention of SQLIAs. It is a complete step-by-step procedure which provides a guideline to test and value important characteristics such as efficiency, effectiveness, stability, flexibility and performance and achieves usable and comparable results to properly judge the tested tool. In addiction, as a case study of our methodology, we present the evaluation of our tool we have named SQLPrevent which dynamically detects SQL injection attacks using a heuristics approach, and blocks the corresponding SQL statements from being submitted to the back-end database. In our experiments, SQLPrevent produced no false positives or false negatives, it has 100% detection and prevention rate measured on different types of SQLIAs, is environment independence, and imposed on average of 0.3% performance overhead.
Link esterno alla tesi: http://lersse-dl.ece.ubc.ca/search.py?recid=167&ln=en
Link esterno al gruppo di ricerca: https://lersse.ece.ubc.ca/tiki-index.php
Daniele Ricci (Università degli Studi di Milano, Dipartimento di Tecnologie dell'Informazione)
"Progettazione e sviluppo dell'IDMEF Logical Correlation Engine (ILCE) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza"
"Progettazione e sviluppo dell'IDMEF Logical Correlation Engine (ILCE) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza"Daniele Ricci (Università degli Studi di Milano, Dipartimento di Tecnologie dell'Informazione)
"Progettazione e sviluppo dell'IDMEF Logical Correlation Engine (ILCE) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza"
(Relatore: Marco Cremonini).
L'eterogeneità dei formati di log penalizza e rallenta il processo di log auditing che, causa la sua complessità, deve essere compiuto la maggior parte delle volte in modo manuale e attraverso tool proprietari che mediano l'accesso alle informazioni contenute nei log impedendone un accesso diretto.In uno scenario fortemente disomogeneo quale è l'Intrusion Detection, lo scopo di questa tesi è quello di proporre una soluzione che garantisca univocità di formato e ne sfrutti i vantaggi per automatizzare i processi di log auditing e reazione. A tal proposito è stato progettato e sviluppato l'IDMEF Logical Correlation Engine (ILCE), un motore di correlazione le cui caratteristiche principali sono il supporto allo standard IDMEF (IETF - RFC 4765) come formato unico di log e l'utilizzo di un sistema di firme multi-step per la correlazione e la reazione ad eventi tramite un meccanismo di query-response. ILCE può essere impiegato su un dataset statico in un contesto di data-mining, oppure può essere utilizzato in modalità live tramite la sua integrazione in un sistema di Intrusion Detection distribuito come il Distributed IDMEF Logical Correlation Architecture (DILCA) basato su di esso.
"Progettazione e sviluppo dell'IDMEF Logical Correlation Engine (ILCE) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza"(Relatore: Marco Cremonini).
L'eterogeneità dei formati di log penalizza e rallenta il processo di log auditing che, causa la sua complessità, deve essere compiuto la maggior parte delle volte in modo manuale e attraverso tool proprietari che mediano l'accesso alle informazioni contenute nei log impedendone un accesso diretto.In uno scenario fortemente disomogeneo quale è l'Intrusion Detection, lo scopo di questa tesi è quello di proporre una soluzione che garantisca univocità di formato e ne sfrutti i vantaggi per automatizzare i processi di log auditing e reazione. A tal proposito è stato progettato e sviluppato l'IDMEF Logical Correlation Engine (ILCE), un motore di correlazione le cui caratteristiche principali sono il supporto allo standard IDMEF (IETF - RFC 4765) come formato unico di log e l'utilizzo di un sistema di firme multi-step per la correlazione e la reazione ad eventi tramite un meccanismo di query-response. ILCE può essere impiegato su un dataset statico in un contesto di data-mining, oppure può essere utilizzato in modalità live tramite la sua integrazione in un sistema di Intrusion Detection distribuito come il Distributed IDMEF Logical Correlation Architecture (DILCA) basato su di esso.
Gian Luigi Rizzo (Dipartimento di Elettronica ed informazione Politecnico di Milano)
"A Statistical Model for Automata Based Intrusion Detection Systems"
"A Statistical Model for Automata Based Intrusion Detection Systems"Gian Luigi Rizzo (Dipartimento di Elettronica ed informazione Politecnico di Milano)
"A Statistical Model for Automata Based Intrusion Detection Systems"
(Relatore: Prof. Stefano Zanero).
La tesi si pone come obiettivo lo studio, l'implementazione e il testing di un IDS host-based partendo da due differenti sistemi, uno di tipo statistico e uno di tipo deterministico. Sono stati proposti tre nuovi modelli atti a sostituire quelli utilizzate nei due sistemi: uno per gli argomenti passati a un nuovo processo, uno per i nomi di file e infine uno per il controllo di flusso. Tutte le metriche proposte lavorano su base statistica stimando distribuzioni (e relativi intervalli di validità tramite percentili) o rappresentazioni dati (si tratta di Self-Organizing Maps modificate per modellizzare paths) che meglio si adattano alle informazioni contenute nel training set, per poter così ridurre i falsi positivi e negativi mantenendo però un'alta Detection Rate. Tali dati sono poi aggiunti ad un automa a stati finiti con la funzione di controllare il flusso di esecuzione del programma. Il risultato è un nuovo IDS, chiamato Hybrid IDS, di cui si propone un'estensiva fase di test.
"A Statistical Model for Automata Based Intrusion Detection Systems"(Relatore: Prof. Stefano Zanero).
La tesi si pone come obiettivo lo studio, l'implementazione e il testing di un IDS host-based partendo da due differenti sistemi, uno di tipo statistico e uno di tipo deterministico. Sono stati proposti tre nuovi modelli atti a sostituire quelli utilizzate nei due sistemi: uno per gli argomenti passati a un nuovo processo, uno per i nomi di file e infine uno per il controllo di flusso. Tutte le metriche proposte lavorano su base statistica stimando distribuzioni (e relativi intervalli di validità tramite percentili) o rappresentazioni dati (si tratta di Self-Organizing Maps modificate per modellizzare paths) che meglio si adattano alle informazioni contenute nel training set, per poter così ridurre i falsi positivi e negativi mantenendo però un'alta Detection Rate. Tali dati sono poi aggiunti ad un automa a stati finiti con la funzione di controllare il flusso di esecuzione del programma. Il risultato è un nuovo IDS, chiamato Hybrid IDS, di cui si propone un'estensiva fase di test.
Luca Saccagi (Università degli studi di Milano, Dipartimento Tecnologie dell'Informazione)
" Progettazione e sviluppo della Distributed IDMEF Logical Correlation Architecture (DILCA) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza "
" Progettazione e sviluppo della Distributed IDMEF Logical Correlation Architecture (DILCA) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza "Luca Saccagi (Università degli studi di Milano, Dipartimento Tecnologie dell'Informazione)
" Progettazione e sviluppo della Distributed IDMEF Logical Correlation Architecture (DILCA) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza "
(Relatore: Dott. Marco Cremonini).
Vista la crescente importanza dei sistemi di Intrusion Detection e i loro limiti attuali questa tesi, sfruttando il trend di sviluppo che porta verso IDS distribuiti, si propone di creare un sistema di correlazione e reazione automatizzata agli eventi che possa attingere agli alert creati dai vari IDS e da altri apparati di sicurezza. Per garantire l'interoperabilità verranno utilizzati un formato e un protocollo standard creati da IETF proprio per permettere l'esistenza di sistemi di questo tipo. Il lavoro si conclude con un'analisi del funzionamento del sistema sviluppata tramite dei casi di studio.
" Progettazione e sviluppo della Distributed IDMEF Logical Correlation Architecture (DILCA) per un sistema distribuito ed automatizzato di correlazione e reazione di eventi di sicurezza "(Relatore: Dott. Marco Cremonini).
Vista la crescente importanza dei sistemi di Intrusion Detection e i loro limiti attuali questa tesi, sfruttando il trend di sviluppo che porta verso IDS distribuiti, si propone di creare un sistema di correlazione e reazione automatizzata agli eventi che possa attingere agli alert creati dai vari IDS e da altri apparati di sicurezza. Per garantire l'interoperabilità verranno utilizzati un formato e un protocollo standard creati da IETF proprio per permettere l'esistenza di sistemi di questo tipo. Il lavoro si conclude con un'analisi del funzionamento del sistema sviluppata tramite dei casi di studio.
Daniele Somma (Informatica - Università degli Studi di Milano-Bicocca)
"Sviluppo di un sistema per il trasporto dei dati, resistente all'analisi del traffico"
"Sviluppo di un sistema per il trasporto dei dati, resistente all'analisi del traffico"Daniele Somma (Informatica - Università degli Studi di Milano-Bicocca)
"Sviluppo di un sistema per il trasporto dei dati, resistente all'analisi del traffico"
(Relatore: Prof. Claudio Ferretti).
Ad oggi esistono efficaci tecnologie di cifratura per rendere inaccessibili le informazioni a coloro che non posseggono la chiave di cifratura. Un attaccante può però con facilità, analizzando la rete, individuare i pacchetti dati contenenti informazioni e su questi concentrare i propri attacchi. Si è ideato un sistema che trasmettesse pacchetti dati in una rete, offuscandone però al contempo la loro stessa esistenza con l’obiettivo principale di rendere il flusso dati interno allo stesso, resistente all’analisi del traffico. Questa caratteristica per un attaccante rappresenta un’ulteriore complicazione, poiché non è più in grado di individuare con facilità e sicurezza il flusso dati contenente le informazioni reali, obiettivo dell’attacco. Il sistema si inserisce in modo trasparente in una tradizionale rete a stella e costituisce un’opportuna rete logica di cui faranno parte solo i nodi della rete che voglio effettivamente comunicare per mezzo di esso.
"Sviluppo di un sistema per il trasporto dei dati, resistente all'analisi del traffico"(Relatore: Prof. Claudio Ferretti).
Ad oggi esistono efficaci tecnologie di cifratura per rendere inaccessibili le informazioni a coloro che non posseggono la chiave di cifratura. Un attaccante può però con facilità, analizzando la rete, individuare i pacchetti dati contenenti informazioni e su questi concentrare i propri attacchi. Si è ideato un sistema che trasmettesse pacchetti dati in una rete, offuscandone però al contempo la loro stessa esistenza con l’obiettivo principale di rendere il flusso dati interno allo stesso, resistente all’analisi del traffico. Questa caratteristica per un attaccante rappresenta un’ulteriore complicazione, poiché non è più in grado di individuare con facilità e sicurezza il flusso dati contenente le informazioni reali, obiettivo dell’attacco. Il sistema si inserisce in modo trasparente in una tradizionale rete a stella e costituisce un’opportuna rete logica di cui faranno parte solo i nodi della rete che voglio effettivamente comunicare per mezzo di esso.
Alfredo Speranza (Dipartimento di Tecnologie dell'Informazione, Università di Milano.)
"Studio e implementazione di un sistema distribuito di “rilevamento delle intrusioni”, basato sul formato IDMEF. "
"Studio e implementazione di un sistema distribuito di “rilevamento delle intrusioni”, basato sul formato IDMEF. "Alfredo Speranza (Dipartimento di Tecnologie dell'Informazione, Università di Milano.)
"Studio e implementazione di un sistema distribuito di “rilevamento delle intrusioni”, basato sul formato IDMEF. "
(Relatore: prof. Cremonini.).
Un sistema di rilevamento delle intrusioni distribuito è generalmente composto di più IDS che cooperano tra loro, orchestrati da una stazione manager. In virtù di questa cooperazione le attività di monitoraggio della sicurezza e di analisi degli incidenti sono facilitate, perché forniscono agli analisti una visione complessiva sullo stato dei sistemi e della rete in modo più veloce e dettagliato rispetto a quanto si potrebbe ottenere considerando singolarmente gli stessi sistemi IDS. Scopo della presente tesi è stato approfondire la conoscenza delle tecnologie disponibili riguardo ai sistemi IDS e quindi progettare e realizzare un sistema IDS distribuito per l’azienda Boehringer Ingelheim S.p.A., stabilimento di produzione farmaceutica di Reggello (FI).
"Studio e implementazione di un sistema distribuito di “rilevamento delle intrusioni”, basato sul formato IDMEF. "(Relatore: prof. Cremonini.).
Un sistema di rilevamento delle intrusioni distribuito è generalmente composto di più IDS che cooperano tra loro, orchestrati da una stazione manager. In virtù di questa cooperazione le attività di monitoraggio della sicurezza e di analisi degli incidenti sono facilitate, perché forniscono agli analisti una visione complessiva sullo stato dei sistemi e della rete in modo più veloce e dettagliato rispetto a quanto si potrebbe ottenere considerando singolarmente gli stessi sistemi IDS. Scopo della presente tesi è stato approfondire la conoscenza delle tecnologie disponibili riguardo ai sistemi IDS e quindi progettare e realizzare un sistema IDS distribuito per l’azienda Boehringer Ingelheim S.p.A., stabilimento di produzione farmaceutica di Reggello (FI).
Pasquale Stirparo (III Facoltà di ingegneria, Politecnico di Torino)
"NADIA: eNhancing vulnerability Analysis and intrusion Detection using Itinerant Agents"
"NADIA: eNhancing vulnerability Analysis and intrusion Detection using Itinerant Agents"Pasquale Stirparo (III Facoltà di ingegneria, Politecnico di Torino)
"NADIA: eNhancing vulnerability Analysis and intrusion Detection using Itinerant Agents"
(Relatore: Prof. Antonio Lioy, Prof. Sead Muftic).
La continua crescita delle dimensioni delle reti ed il sempre più diffuso utilizzo d’Internet negli ultimi anni, hanno portato come risultato un vasto numero di minacce alla sicurezza dei sistemi informatici, grazie anche al fatto che tipologie e modalità d’attacco sono diventate sempre più complesse e sofisticate. Si è passati dai semplici “passwords tracing”, “vulnerabilities exploiting”, “social engineering” al “protocol flaws exploitation”, “denial of service” ed attacchi distribuiti. In passato sono emerse diverse soluzioni che hanno provato a fornire sicurezza sia a livello di host che a livello di rete. Soluzioni tradizionali, come antivirus, firewall, anti spy-ware, e meccanismi d’autenticazione, forniscono forme di sicurezza parziali. Anche soluzioni interessanti come IDS/IPS presentano dei problemi, come il rilevare le intrusioni e rispondere in tempo reale, perché la maggior parte di questi sistemi richiede l’intervento umano da parte dei system administrators. Si è portati, quindi, a credere di esser riusciti nell’intento di proteggere gli host applicando un approccio reattivo. Approccio che però non rappresenta una soluzione valida, visto che il numero di violazioni dei sistemi è cresciuto esponenzialmente negli ultimi anni. Il principale problema di un approccio reattivo è che la protezione del sistema è attivata solo una volta che la violazione della sicurezza si è verificata. Per questo motivo, c’è la necessità di sviluppare una strategia che usi il supporto dei “Mobile Agents” per poter agire in modo reattivo e, principalmente, proattivo. Un Mobile Agent può essere visto come del codice mobile che è in grado di spostarsi da un host all’altro nella rete in maniera autonoma, al fine di portare a termine il compito che gli è stato assegnato. L’idea guida principale di questo lavoro è che non bisognerebbe aspettare di essere attaccati per iniziare a difendersi, bensì cercare di prevenire i possibili attacchi. Dagli studi effettuati, è chiaro che uno dei fattori cruciali nell’ambito della difesa dagli attacchi informatici è il tempo. Tempo che il sysAdmin impiegherebbe a controllare gli immensi file di log prodotti dagli IDS, tempo che impiegherebbe a rispondere una volta identificato l’attacco, tempo che impiegherebbe ad analizzare tutti gli hosts presenti nella rete ed aggiornarli quando necessario. E proprio il fattore tempo è il vantaggio principale apportato dai MAs. L’approccio include quattro aspetti principali: I. Rilevamento autonomo delle vulnerabilità presenti in diversi hosts (in una rete distribuita) prima che un “attacker” possa sfruttarle; II. Una volta che una vulnerabilità è scoperta, procedere con installazione automatica della relativa patch qualora presente; III. Protezione degli hosts grazie al rilevamento di tentativi d’intrusione; IV. Esecuzione di compiti riguardante la parte di gestione e manutenzione. Per raggiungere tale scopo comprendente i quattro punti sopra citati, è stato proposto il design di un Intrusion Prevention System innovativo, ponendo particolare enfasi nelle attività di “pre-attack analysis”, concernente la rilevazione delle vulnerabilità e l’applicazione delle relative patches in tempi utili. Infine, è stato implementato un prototipo di tale sistema utilizzando una piattaforma per Mobile Agents (MAgNet – Mobile Agents Network) per dimostrare la validità di quanto detto sopra. Essendo la “pre-attack analysis” una delle principali parti di questo lavoro, è stato progettato e realizzato un vulnerability database (denominato Comprehensive Vulnerabilità DataBase, CVDB) che contiene le informazioni necessarie per l’interazione di quest’ultimo con i MAs. In questo modo un MA, una volta ottenuto un profilo dell’host desiderato, è in grado di confrontare queste informazioni con i dati contenuti nel CVDB, al fine di trovare potenziali vulnerabilità. Il database contiene anche, per ogni vulnerabilità, informazioni relative ad eventuali patch esistenti, così da poter, una volta individuata una vulnerabilità e la relativa patch, scaricare quest’ultima ed inviarla all’host desiderato dove sarà installata dall’agent. Dopo aver progettato il CVDB, è stato sviluppato un modulo software che consente il fetch dei dati da diverse fonti: database in formato xml per le quali è fornita anche la struttura in formato xsd e il vulnerability database on-line di SecurityFocus, così da poter avere un vulnerability database il più esaustivo possibile in termini di quantità e qualità dei dati. La seconda fase di questo lavoro si è basata nella scelta di tools esterni da integrare con la piattaforma MAgNet. Le scelte sono ricadute su Nessus come vulnerability scanner, Snort come IDS ed Osiris come Host Integrity Monitor. Infine, si è proceduto allo sviluppo vero e proprio di MAs che interaggissero con la piattaforma e con i tools sopra citati. Sono stati sviluppati 6 diversi MAs, più 3 precedentemente sviluppati da altri che sono stati integrati nel design del sistema. La parte di progetto implementata non copre completamente il design del sistema e la proposta di tesi iniziale presentata, che copriva il progetto di un intero IPS basato su Mobile Agents. Questo a causa di ovvi limiti temporali. Quanto sviluppato permette, in breve, di: • Caricare dati nel CVDB da due tipi di fonte differenti: o Qualunque db in formato xml per cui è fornita la struttura in formato xsd; o Vulnerability database on-line di SecurityFocus. • Eseguire “vulnerability scanning” di uno o più hosts remoti simultaneamente, inviando Agent_Host_Scanning che lancia Nessus daemon in background e, una volta terminato lo scanning, manda il report prodotto da Nessus al sysAdmin tramite Agent_Scan_Report che provvederà anche a notificare il numero di vulnerabilità eventualmente rilevate; • Gestire le patches: visualizzare i link relativi a vulnerabilità che si riferiscono a patch da scaricare, visualizzare le patches già scaricate e disponibili sul server locale con la possibilità di inviarle ed installarle su uno o più hosts remoti tramite Agent_Patch_Installer; • Eseguire la “manutenzione” dei tools esterni. Tramite Agent_Snort_Update e Agent_Nessus_Update è possibile aggiornare, sugli host remoti, rispettivamente le Snort rules e i plugin di Nessus. Tutto ciò con un risparmio notevole nel tempo di reazione del sysAdmin, il che porta una migliore espressione del concetto di proattività, ed una distribuzione dell’utilizzo delle risorse. Con i MAs, infatti, si passa dal concetto di “portare i dati alle capacità computazionali” a quello di “portare le capacità computazionali ai dati”.
"NADIA: eNhancing vulnerability Analysis and intrusion Detection using Itinerant Agents"(Relatore: Prof. Antonio Lioy, Prof. Sead Muftic).
La continua crescita delle dimensioni delle reti ed il sempre più diffuso utilizzo d’Internet negli ultimi anni, hanno portato come risultato un vasto numero di minacce alla sicurezza dei sistemi informatici, grazie anche al fatto che tipologie e modalità d’attacco sono diventate sempre più complesse e sofisticate. Si è passati dai semplici “passwords tracing”, “vulnerabilities exploiting”, “social engineering” al “protocol flaws exploitation”, “denial of service” ed attacchi distribuiti. In passato sono emerse diverse soluzioni che hanno provato a fornire sicurezza sia a livello di host che a livello di rete. Soluzioni tradizionali, come antivirus, firewall, anti spy-ware, e meccanismi d’autenticazione, forniscono forme di sicurezza parziali. Anche soluzioni interessanti come IDS/IPS presentano dei problemi, come il rilevare le intrusioni e rispondere in tempo reale, perché la maggior parte di questi sistemi richiede l’intervento umano da parte dei system administrators. Si è portati, quindi, a credere di esser riusciti nell’intento di proteggere gli host applicando un approccio reattivo. Approccio che però non rappresenta una soluzione valida, visto che il numero di violazioni dei sistemi è cresciuto esponenzialmente negli ultimi anni. Il principale problema di un approccio reattivo è che la protezione del sistema è attivata solo una volta che la violazione della sicurezza si è verificata. Per questo motivo, c’è la necessità di sviluppare una strategia che usi il supporto dei “Mobile Agents” per poter agire in modo reattivo e, principalmente, proattivo. Un Mobile Agent può essere visto come del codice mobile che è in grado di spostarsi da un host all’altro nella rete in maniera autonoma, al fine di portare a termine il compito che gli è stato assegnato. L’idea guida principale di questo lavoro è che non bisognerebbe aspettare di essere attaccati per iniziare a difendersi, bensì cercare di prevenire i possibili attacchi. Dagli studi effettuati, è chiaro che uno dei fattori cruciali nell’ambito della difesa dagli attacchi informatici è il tempo. Tempo che il sysAdmin impiegherebbe a controllare gli immensi file di log prodotti dagli IDS, tempo che impiegherebbe a rispondere una volta identificato l’attacco, tempo che impiegherebbe ad analizzare tutti gli hosts presenti nella rete ed aggiornarli quando necessario. E proprio il fattore tempo è il vantaggio principale apportato dai MAs. L’approccio include quattro aspetti principali: I. Rilevamento autonomo delle vulnerabilità presenti in diversi hosts (in una rete distribuita) prima che un “attacker” possa sfruttarle; II. Una volta che una vulnerabilità è scoperta, procedere con installazione automatica della relativa patch qualora presente; III. Protezione degli hosts grazie al rilevamento di tentativi d’intrusione; IV. Esecuzione di compiti riguardante la parte di gestione e manutenzione. Per raggiungere tale scopo comprendente i quattro punti sopra citati, è stato proposto il design di un Intrusion Prevention System innovativo, ponendo particolare enfasi nelle attività di “pre-attack analysis”, concernente la rilevazione delle vulnerabilità e l’applicazione delle relative patches in tempi utili. Infine, è stato implementato un prototipo di tale sistema utilizzando una piattaforma per Mobile Agents (MAgNet – Mobile Agents Network) per dimostrare la validità di quanto detto sopra. Essendo la “pre-attack analysis” una delle principali parti di questo lavoro, è stato progettato e realizzato un vulnerability database (denominato Comprehensive Vulnerabilità DataBase, CVDB) che contiene le informazioni necessarie per l’interazione di quest’ultimo con i MAs. In questo modo un MA, una volta ottenuto un profilo dell’host desiderato, è in grado di confrontare queste informazioni con i dati contenuti nel CVDB, al fine di trovare potenziali vulnerabilità. Il database contiene anche, per ogni vulnerabilità, informazioni relative ad eventuali patch esistenti, così da poter, una volta individuata una vulnerabilità e la relativa patch, scaricare quest’ultima ed inviarla all’host desiderato dove sarà installata dall’agent. Dopo aver progettato il CVDB, è stato sviluppato un modulo software che consente il fetch dei dati da diverse fonti: database in formato xml per le quali è fornita anche la struttura in formato xsd e il vulnerability database on-line di SecurityFocus, così da poter avere un vulnerability database il più esaustivo possibile in termini di quantità e qualità dei dati. La seconda fase di questo lavoro si è basata nella scelta di tools esterni da integrare con la piattaforma MAgNet. Le scelte sono ricadute su Nessus come vulnerability scanner, Snort come IDS ed Osiris come Host Integrity Monitor. Infine, si è proceduto allo sviluppo vero e proprio di MAs che interaggissero con la piattaforma e con i tools sopra citati. Sono stati sviluppati 6 diversi MAs, più 3 precedentemente sviluppati da altri che sono stati integrati nel design del sistema. La parte di progetto implementata non copre completamente il design del sistema e la proposta di tesi iniziale presentata, che copriva il progetto di un intero IPS basato su Mobile Agents. Questo a causa di ovvi limiti temporali. Quanto sviluppato permette, in breve, di: • Caricare dati nel CVDB da due tipi di fonte differenti: o Qualunque db in formato xml per cui è fornita la struttura in formato xsd; o Vulnerability database on-line di SecurityFocus. • Eseguire “vulnerability scanning” di uno o più hosts remoti simultaneamente, inviando Agent_Host_Scanning che lancia Nessus daemon in background e, una volta terminato lo scanning, manda il report prodotto da Nessus al sysAdmin tramite Agent_Scan_Report che provvederà anche a notificare il numero di vulnerabilità eventualmente rilevate; • Gestire le patches: visualizzare i link relativi a vulnerabilità che si riferiscono a patch da scaricare, visualizzare le patches già scaricate e disponibili sul server locale con la possibilità di inviarle ed installarle su uno o più hosts remoti tramite Agent_Patch_Installer; • Eseguire la “manutenzione” dei tools esterni. Tramite Agent_Snort_Update e Agent_Nessus_Update è possibile aggiornare, sugli host remoti, rispettivamente le Snort rules e i plugin di Nessus. Tutto ciò con un risparmio notevole nel tempo di reazione del sysAdmin, il che porta una migliore espressione del concetto di proattività, ed una distribuzione dell’utilizzo delle risorse. Con i MAs, infatti, si passa dal concetto di “portare i dati alle capacità computazionali” a quello di “portare le capacità computazionali ai dati”.
Paolo Tagliaferri (Politecnico di Milano - Dipartimento di Elettronica e Informazione)
"Un framework web per la supervisione di sistemi IDS"
"Un framework web per la supervisione di sistemi IDS"Paolo Tagliaferri (Politecnico di Milano - Dipartimento di Elettronica e Informazione)
"Un framework web per la supervisione di sistemi IDS"
(Relatore: Stefano Zanero).
Il presente lavoro propone al lettore un nuovo framework utilizzato in ambito di sicurezza informatica, per fornire ausilio al monitoraggio di una rete di calcolatori in ambito di prevenzione intrusioni. Lo scopo della tesi è quello di valutare lo stato dell’arte e gli strumenti già esistenti in questo settore, per proporre infine un prototipo evolutivo di una nuova applicazione in grado di superare i problemi esistenti nei software già presenti. Il lavoro ha portato alla definizione e alla successiva implementazione di un framework prototipale di ausilio al monitoraggio di un sistema IDS Snort, basata sul web. In conclusione ad esso si valutano i risultati raggiunti e si indicano le future direzioni di sviluppo del software proposto.
"Un framework web per la supervisione di sistemi IDS"(Relatore: Stefano Zanero).
Il presente lavoro propone al lettore un nuovo framework utilizzato in ambito di sicurezza informatica, per fornire ausilio al monitoraggio di una rete di calcolatori in ambito di prevenzione intrusioni. Lo scopo della tesi è quello di valutare lo stato dell’arte e gli strumenti già esistenti in questo settore, per proporre infine un prototipo evolutivo di una nuova applicazione in grado di superare i problemi esistenti nei software già presenti. Il lavoro ha portato alla definizione e alla successiva implementazione di un framework prototipale di ausilio al monitoraggio di un sistema IDS Snort, basata sul web. In conclusione ad esso si valutano i risultati raggiunti e si indicano le future direzioni di sviluppo del software proposto.
BACHECA TESI EDIZIONI PASSATE
Edizione 2022Edizione 2022
Edizione 2021
Edizione 2020
Edizione 2019
Edizione 2018
Edizione 2017
Edizione 2016
Edizione 2015
Edizione 2014
Edizione 2013
Edizione 2012
Edizione 2011
Edizione 2010
Edizione 2009
Edizione 2008
Edizione 2007
