Corso di studi: “Sicurezza informatica: infrastrutture ed applicazioni” (Laurea magistrale)

Denominazione: “Sicurezza informatica: infrastrutture ed applicazioni”
Facoltà: SCIENZE MATEMATICHE, FISICHE E NATURALI
Classe di appartenenza: LM-66 SICUREZZA INFORMATICA
Interateneo: No
Interfacoltà: No
Obiettivi formativi: I laureati magistrali devono:
- conoscere gli aspetti scientifici relativi alle fondamenta della progettazione, realizzazione, verifica e manutenzione di infrastrutture e sistemi informatici sicuri e protetti
- conoscere le metodologie e gli strumenti tecnologici attraverso i quali si progettano, realizzano, verificano e mantengono infrastrutture e sistemi informatici sicuri e protetti, con attenzione sia alle tecniche formali che sperimentali
- conoscere gli aspetti relativi alla organizzazione del lavoro ed alle problematiche di carattere psicologico e sociale come elementi critici rispetto alla sicurezza delle infrastrutture e dei sistemi informatici ed alla protezione dei dati informatici, nonché gli aspetti giuridici relativi al trattamento sicuro e riservato dei dati informatici e quelli bio-sanitari e bio-etici relativi alle tecniche biometriche ed al trattamento, conservazione e trasmissione dei dati sensibili riguardanti la salute
- essere capaci di comunicare efficacemente, in forma scritta e orale, in almeno una lingua dell'Unione Europea, oltre l'italiano, anche con riferimento ai lessici disciplinari
- possedere gli strumenti cognitivi di base per l'aggiornamento continuo delle proprie conoscenze
- essere in grado di lavorare con ampia autonomia, anche assumendo responsabilità di progetti e strutture, ed evidenziando capacità relazionali e decisionali.

I principali sbocchi occupazionali e professionali dei laureati magistrali di questa classe sono negli ambiti della sicurezza di infrastrutture e sistemi informatici e del trattamento di dati sensibili per imprese, aziende di servizi, enti della pubblica amministrazione e, più in generale, per qualunque organizzazione utilizzi sistemi informatici complessi.

Ai fini indicati, i curricula del corso di studio:
- prevedono lezioni ed esercitazioni di laboratorio oltre ad attività progettuali autonome e attività individuali in laboratorio per non meno di 10 crediti;
- prevedono, in relazione a obiettivi specifici, attività esterne come tirocini formativi presso aziende, strutture della pubblica amministrazione e laboratori, oltre a soggiorni di studio presso altre università italiane ed europee, anche nel quadro di accordi internazionali.

In considerazione della valenza sia scientifica che professionalizzante di questo percorso formativo, l'ammissione ai corsi di laurea magistrale della classe richiede il possesso di requisiti curriculari che prevedano, comunque, un'adeguata padronanza di metodi e contenuti scientifici propedeutici a quelli di almeno uno degli ambiti disciplinari caratterizzanti l'ordinamento della presente classe di laurea magistrale. Obiettivo specifico del corso di laurea “Sicurezza informatica: infrastrutture ed applicazioni” è quello di formare laureati che sappiano applicare le conoscenze e competenze dei laureati della classe a tutti i sistemi informatici ed in particolare quelli per il controllo, il governo e la gestione di infrastrutture critiche, ad esempio quelle per la distribuzione della energia elettrica o di beni materiali. Questa è la ragione della particolare attenzione prestata a temi quali le infrastrutture logistiche, la sicurezza fisica di sistemi di elaborazione e trasmissione delle informazioni, i componenti di tipo Radio Frequency Identification (RFID) per l’identificazione ed il monitoraggio attivo e passivo della sicurezza e dell’integrità di merci e container. La specificità del corso di laurea è fortemente correlata alle specificità del territorio spezzino che ha un forte interesse alla sicurezza ed alla logistica cosi come evidenziato dalle attività del nascente Distretto Ligure delle Tecnologie Marine che avrà un ruolo privilegiato per la collaborazione mediante tesi ed attività di ricerca sulle problematiche su cui il corso di studi è focalizzato.
Numero programmato: Non programmato
Numero stimato immatricolati: 50
Requisiti di ammissione: Ammissione per i laureati triennali delle classi:
- Scienze matematiche: classe 32, classe L-35
- Scienze e tecnologie fisiche: classe 25, classe L-30
- Scienze e tecnologie informatiche: classe 26, classe L-31
- Ingegneria dell'informazione: classe 9, classe L-8
Potranno essere comunque ammessi laureati triennali in altre classi che abbiamo acquisito i seguenti crediti nei seguenti settori
1. Conoscenze informatiche di base: 24 CFU
2.Conoscenze matematiche di base: 24 CFU
3. Architetture, Sistemi operativi: 12 CFU
4. Reti e programmazione di rete: 18 CFU
5. Metodologie di programmazione ed ingegneria del software: 24 CFU

Tutti gli studenti che non soddisfano i precedenti requisiti dovranno sostenere un colloquio che accerti l'adeguatezza della preparazione. Nel caso di colloquio non superato verranno suggerite le modalità per colmare le lacune evidenziate.
Specifica CFU: 17/25 studio individuale 8/25 attivita' in aula
Modalità determinazione voto di Laurea: Voto di laurea in 110-esimi. Il voto viene determinato sommando alla media degli esami, pesata rispetto al numero di CFU, la valutazione della discussione della tesi. Questa valutazione, compresa tra 0 e 11 punti, viene data sulla base di criteri stabiliti dal Consiglio di Corso di Studi.
Attività di ricerca rilevante: Nel dipartimento di informatica sono attivi da tempo gruppi di ricerca che si occupano di
- algoritmi di compressione ed encryption
- infrastrutture per il trasporto di beni materiali ed immateriali
- metodologie e strumenti formali per lo sviluppo e l'analisi di software con elevati requisiti di robustezza
- estrazione di conoscenza da grandi basi di dati preservando la privacy degli individui
-analisi del rischio di infrastrutture informatica.

Inoltre da tempo il dipartimento collabora con enti di ricerca ed enti pubblici e privati su temi di sicurezza. Quest'insieme di attività e di persone garantisce un forte collegamento tra le attività di ricerca ed i temi su cui il corso di laurea magistrale è focalizzato
Docenti referenti: Bernasconi Anna, RU, INF/01, 9 CFU
Montangero Carlo, PO, INF/01, 9 CFU
Bonuccelli Maurizio, PO, INF/01, 9 CFU
Gadducci Fabio, PA, INF/01, 6 CFU
Frangioni Antonio, PA, MAT/09, 6 CFU
Ricci Laura, RU, INF/01, 9 CFU
Levi Francesca, PA, INF/01, 6 CFU
Baiardi Fabrizio, PO, INF/01, 9 CFU
Greco Tommaso, PA, IUS/20, 6 CFU
Percorso di eccellenza: scuola superiore di informatica
Rapporto con il mondo del lavoro: Il rapporto conil mondo del lavoro è garantito da un lato dai rapporti di collaborazione tra i gruppi di ricerca del dipartimento di informatica ed enti pubblici e privati interessati al tema della sicurezza informatica. Da un altro lato i forti rapporti del polo G.Marconi di La Spezia con il distretto tecnologico delle tecnologie marine garantiscono un contatto privilegiato con la realtà locale che ha da anni un fortissimo interesse ai temi della sicurezza e della logistica.
Informazioni aggiuntive: Dato la novità della classe ed il numero ridotto di corsi di studio attivati ad essa appartenenti il corso si propone di attrarre studenti da una vasta area che copre la Liguria, la Toscana e parte dell'Emilia.

DECRETO RETTORALE DEL 04/08/2009 N. 11064

Curriculum: PIANO DI STUDIO Generale

Primo anno (63 CFU)

Insegnamento	CFU
Sviluppo di software sicuro	6
Metodi e Strumenti per la sicurezza informatica	9
Fondamenti di sicurezza ed analisi dei rischi	12
Sicurezza in sistemi wireless	9
Confidenzialità ed integrità di basi di dati	6
Crittografia	9
Complementi di Programmazione Distribuita	12

Secondo anno (57 CFU)

Insegnamento	CFU
Sicurezza delle Infrastrutture Logistiche	6
Protocolli e politiche di sicurezza: modelli formali	9
Prova finale	18
Libera scelta	12
Gruppo: GR1	12

Gruppi per attività a scelta nel CDS “Sicurezza informatica: infrastrutture ed applicazioni”

Gruppo GR1 (12 CFU)

Descrizione: complementari di sicurezza

Attività contenute nel gruppo

Nome	CFU
Analisi delle vulnerabilità e delle contromisure	6
Biometria per autenticazione	6
Certificazione di componenti e sistemi	6
Crittografia avanzata	6
Gestione di Incidenti	6
Infrastrutture per il governo elettronico	6
Legislazione su sicurezza e privacy	6
Metodi e Strumenti per Penetration Test	6
Metodi formali avanzati	6
Privacy e Anonimato	6
Problemi di sicurezza in applicazioni web	6
Problemi di sicurezza in social networks	6
Protezione di reti per controllo di impianti industriali	6
Sicurezza di cloud computing	6
Sicurezza di infrastrutture informatiche	12
Sicurezza e macchine virtuali	6
Sicurezza fisica	12
Sicurezza Logistica: RFID	6
Soft computing per la sicurezza	6
Strumenti per la protezione dei diritti sui contenuti	6

Attività formative definite nel CDS “Sicurezza informatica: infrastrutture ed applicazioni”

Analisi delle vulnerabilità e delle contromisure (6 CFU)

Obiettivi formativi: Obiettivo del corso è la discussione delle metodologie e delle best practices per l'individuazione delle vulnerabilità a tutti i iivelli di astrazione e di implementazione e di tutti i tipi. Si considera anche la scelta delle contromisure da adottare per ridurre il rischio generato dalle vulnerabilità
Vengono discussi anche gli strumenti automatici per l'individuazione delle vulnerabilità
Modalità di verifica finale: voto in trentesimi

Biometria per autenticazione (6 CFU)

Obiettivi formativi: Il corso introduce i principali principi di biometria e la possibilità di autenticare gli utenti a partire da caratteristiche biometriche.
Sono discusse le varie caratteristiche biometriche, gli strumenti tecnologici che possono essere utilizzati ed i tassi di falsi positivi e negativi che essi generano.
Vengono infine discussi i problemi che l'adozione di biometria pone rispetto alla privacy degli utenti ed approcci rispettosi della privacy.
Propedeuticità: no-no
Modalità di verifica finale: voto in trentesimi

Certificazione di componenti e sistemi (6 CFU)

Obiettivi formativi: Il corso illustra i principi base della certificazione ed i principali standard internazionali sulla certificazione. Sarà considerata sia la certificazione di processo che quella di componenti.
Standard considerati
BS7799
Common Criteria
Famiglia ISO 27000
AS 4360
Modalità di verifica finale: voto in trentesimi

Complementi di Programmazione Distribuita (12 CFU)

Obiettivi formativi: Il corso intende presentare le problematiche principali relative alla progettazione di applicazioni ad alte prestazioni di tipo peer to peer.
Nella prima parte vengono introdotti i problemi relativi alla progettazione di sistemi distribuiti ad alte prestazioni. La seconda
parte riguarda l'analisi di acune applicazioni P2P esistenti, sia applicazioni commerciali come Napster, Gnutella, Freenet, che
proposte di ricerca (Chord, CAN, Tapestry). Nell'ultima parte del corso verra' introdotta la piattaforma JXTA, come
supporto per la realizzazione di sistemi peer to peer
Programma
Prima Parte. Sistemi Distribuiti: Fondamenti

* Concetti Introduttivi
* Naming di entita' in un ambiente distribuito, localizzazione di entita' mobili}
* Sincronizzazione: Clock logici, Clock fisici, il protocollo NTP
* Consistenza e Replicazione: Modelli di consistenza, Consistenza in applicazioni distribuite ed in applicazioni real-time

Seconda Parte: Sistemi Peer to Peer

* Concetti introduttivi, applicazioni peer-to-peer, evoluzione
* Sistemi peer to peer puri ed ibridi
* Sistemi P2P non Strutturati: Gnutella, Kazaa, Freenet
* Distributed Hash Tables, algoritmi
* Sistemi P2P Strutturati: Chord, Tapestry, CAN, Pastry
* P2P Multiplayer Games: strutture di comunicazione e sincronizzazione in ambiente real time
* Parallel Computing su Desktop Grids
* P2P middleware:Overlay Networks, Application Level Multicast, Sistemi Publish Subscribe
* JXTA
Modalità di verifica finale: voto in trentesimi

Computer forensics (6 CFU)

Obiettivi formativi: Il corso descrive i problemi posti da una analisi di tipo legale di un sistema informatico per provare eventuali dellitti o reati commessi tramite il sistema stesso. Vengono descritti le metodologie di analisi e gli strumenti informatici per implementarle.
Modalità di verifica finale: voto in trentesimi

Confidenzialità ed integrità di basi di dati (6 CFU)

Obiettivi formativi: Scopo del corso è quello di illustrare i principali problemi e meccanismi di sicurezza per la protezione di basi di dati

* 1 Requisiti di protezione
* 2 Controlli di sicurezza
* 3 Politiche di autorizzazione
* 4 Protezione a basi di dati governative e commerciali
* 5 Modelli di sicurezza
* 6 Problemi di sicurezza in basi di dati distribuite federate
* 7 Distribuzione e sicurezza
* 8 Sicurezza nella basi di dati on-line su Web
Modalità di verifica finale: voto finale in trentesimi

Crittografia (9 CFU)

Obiettivi formativi: Introduzione: crittografia e crittoanalisi. Cenni sui cifrari storici
Richiami di complessitˆ di calcolo, algorimi randomizzati e generazione di numeri pseudo-casuali.
Cifrari perfetti: definizione e proprietˆ; il cifrario One-time pad.
Cifrari a chiave simmetrica: DES, Triple-DES e AES
Cifrari a chiave pubblica: funzioni one-way trapdoor e RSA.
Identificazione, Autenticazione e Firma digitale.
Il sistema SSL.
Elementi di crittografia ellittica.
Elementi di crittografia quantistica.
Elementi di steganografia.
Complementi: smartcard; sicurezza di APIs; attacchi su Internet.
Modalità di verifica finale: esame

Crittografia avanzata (6 CFU)

Obiettivi formativi: Vengono illustrati algoritmi e metodi avanzati per la protezione delle informazioni e per l'ingegnerizzazione degli algoritmi.
Modalità di verifica finale: esame scritto e orale

Fondamenti di sicurezza ed analisi dei rischi (12 CFU)

Obiettivi formativi: Il corso introduce i principali concetti e gli strumenti metodologi per analizzare un sistema informatico dal punto di vista della sicurezza e per aumentare il livello di sicurezza offerto dal sistema stesso. Il corso adotta un approccio sistemico alla sicurezza vista come una proprietà del sistema informatico complessivo a partire dal livello del sistema operativo.

1 Concetti di Base
1.1 Attributi di sicurezza e relazione con altri attributi di un sistema
1.1.1 Confidenzialità
1.1.2 Integrità
1.1.3 Disponibilità
1.2 Vulnerabilità
1.3 Minaccia
1.4 Attacco
1.4.1 Attacchi elementari
1.4.2 Attacchi complessi
1.5 Contromisura
1.6 Rischio
2 Analisi delle Vulnerabilità
3 Analisi delle Minacce
4 Analisi delle Contromisure
4.1 Contromisure a livello hardware/firmware
4.2 Contromisure a livello di nucleo del sistema operativo
4.3 Contromisure a livello delle applicazioni
4.4 Contromisure a livello di rete
4.5 Sviluppo di software sicuro
4.6 Strumenti per la rilevazione delle intrusioni
4.6.1 Firewall
4.6.2 Intrusion Detection System
4.6.3 Network Intrusion Detection System
4.7 Politica di Sicurezza
5 Analisi del Rischio
5.1 Approcci qualitativi
5.2 Approcci quantitativi
5.3 Approcci ibridi
Modalità di verifica finale: voto in trentesimi

Gestione di Incidenti (6 CFU)

Obiettivi formativi: Il corso descrive processi, metodi e prodotti per la gestione di incidenti informatici anche dal punto di vista dell'acquisizione di dati per attività legali
Modalità di verifica finale: esame scritto e orale

Infrastrutture per il governo elettronico (6 CFU)

Obiettivi formativi: Il corso descrive le infrastrutture informatiche di supporto al governo elettronico. Vengono illustrate in particolare metodologie e strumenti per diffusione dei documenti, autenticazione degli accessi, firma elettronica e creazione di un autorità di certificazione.
Modalità di verifica finale: voto in trentesimi

Legislazione su sicurezza e privacy (6 CFU)

Obiettivi formativi: Il corso intende trasmettere le nozioni principali riguardanti il diritto dell’informatica e della rete, fornendo un quadro delle tematiche giuridiche più rilevanti emerse con l’affermazione della società telematica.
Data la collocazione del modulo nell’ambito della Laurea Magistrale in “Sicurezza informatica: infrastrutture ed applicazioni”, il corso riguarderà in particolare le tematiche della privacy e della tutela dei dati personali, il trattamento dei dati soprattutto da parte della pubblica amministrazione, la sicurezza delle transazioni economiche, la firma digitale, i reati informa-tici.
Considerata inoltre la collocazione esterna al percorso degli studi giuridici, il corso sarà strutturato in modo da fornire preliminarmente gli elementi essenziali necessari alla comprensione del linguaggio e dei concetti giuridici
Modalità di verifica finale: voto in trentesimi

Libera scelta (12 CFU)

Modalità di verifica finale: Prova finale

Metodi e Strumenti per la sicurezza informatica (9 CFU)

Obiettivi formativi: Il corso descrive le principali metodologie per la sicurezza informatica e la loro implementazione da parte di strumenti informatici.
Le metodologie considerate sono quelle basate sul filtraggio di contenuti e la rilevazione di comportamenti anomali sia in singoli sistemi che in reti informatiche. Gli strumenti corrispondenti sono firewall, host e network intrusion detection systems. Vengono inoltre considerate le interfacce e la programmazione di questi strumenti. Infine si considera la fusione dei dati da questi strumenti.
Modalità di verifica finale: Prova finale

Metodi e Strumenti per Penetration Test (6 CFU)

Obiettivi formativi: Questo corso illustra i metodi per condurre test di penetrazione in sistemi ict
Modalità di verifica finale: esame scritto e orale

Metodi formali avanzati (6 CFU)

Obiettivi formativi: Vengono illustrati metodi avanzati per l'analisi formale di strumenti e protocolli per la sicurezza.
Modalità di verifica finale: esame scritto e orale

Modelli e strumenti innovativi per la sicurezza (6 CFU)

Obiettivi formativi: Scopo di questo corso seminariale è quello di illustrare gli ultimi sviluppi nel campo della sicurezza informatica. Il corso si articola in una serie di seminari tenuti da docenti del corso, di altre università o da ricercatori che operano in laboratori aziendali
Modalità di verifica finale: esame finale

Privacy e Anonimato (6 CFU)

Obiettivi formativi: Molte attività, connesse alle reti e all'analisi dei dati raccolti in diverse applicazioni, richiedono una attenta gestione della privacy (protezione dei dati sensibili delle persone) e dell'anonimato (garanzia della non identificabilità delle persone a partire da dati resi pubblici). Il modulo presenta le tecniche e i metodi necessari per garantire tali caratteristiche nei sistemi informatici di condivisione di informazione (es: reti sociali) e di analisi dei dati (es: costruzione di modelli decisionali con metodi di data mining).
Modalità di verifica finale: esame finale

Problemi di sicurezza in applicazioni web (6 CFU)

Obiettivi formativi: Il corso descrive i problemi di sicurezza posti dagli strumenti per lo sviluppo di applicazioni web e le relative contromisures.
Modalità di verifica finale: esame scritto e orale

Problemi di sicurezza in social networks (6 CFU)

Obiettivi formativi: Il corso affronta i problemi di sicurezza posti dagli strumenti per social network
Modalità di verifica finale: esame scritto e orale

Protezione di reti per controllo di impianti industriali (6 CFU)

Obiettivi formativi: Il corso illustra le peculiarità dei sistemi di controllo industriale e presenta ed analizza i principali problemi di sicurezza posti dalla interconnessione in rete di tali sistemi. Vengono illustrati i principali standard per apparecchiature di controllo e gli strumenti informatici sviluppati per la loro protezione. Viene inoltre discussa l'integrazione di reti di sensori nel sistema SCADA.
Modalità di verifica finale: voto in trentesimi

Protocolli e politiche di sicurezza: modelli formali (9 CFU)

Obiettivi formativi: descrizione del corso

il corso introduce i principi della semantica operazionale con riferimento ad un linguaggio imperativo ed ad uno funzionale di ordine superiore. Questi principi sono la base per presentare la semantica osservazionale di due linguaggi di descrizione dei processi, uno semplice, CCS, ed uno più ricco, lo spi-calculus.
Quest'ultimo è particolarmente adatto per la specifica formale e la verifica di politiche e protocolli di sicurezza.

Programma
Introduzione
Sistemi d prova basati su regole di inferenza
Sintassi e semantica operazionale di un semplice linguaggio imperativo (IMP)
Signature e term algebra - Principio di induzine
Sintassi e semantica operazionale lazy di un linguaggio funzionale di ordine superiore (HOL)
Sintassi e semantica di un linguaggio per la descrizione di processi (CCS)
Semantica osservazionale di CCS, simulazione e bisimulazione.
Sintassi e semantica di un linguaggio per la descrizione di processi (spi-calculus)
Semantica osservazionale di (spi-calculus)
Specifica di protocolli di sicurezza mediante spi-calculus, logica di Hennessy-Milner.
Verific di politiche di sicurezza mediante spi-calculus, analsi control flow.
Modalità di verifica finale: voto in trentesimi

Prova finale (18 CFU)

Obiettivi formativi: La prova finale prevede una parte teorica ed una sperimentale che si svolge sotto la supervisione di un docente del corso. Parte della attività può anche essere svolta in una azienda interessata alle tematiche della sicurezza. Tale azienda può essere una utilizzatrice degli sistemi informativi per i propri processi aziendali oppure può essere interessata allo sviluppo di nuovi strumenti informatici per aumentare la sicurezza dei sistemi esistenti. I laboratori utilizzati per la parte sperimentale possono essere quelli del corso di studi, quelli della ditta coinvolta nella prova oppure quelli del distretto tecnologico di La Spezia. Parte dei crediti previsti per la prova finale è dedicata alla stesura della relazione finale.
Modalità di verifica finale: Prova finale

Sicurezza: Analisi dei Rischi e Legislazione (12 CFU)

Obiettivi formativi: Il corso intende trasmettere le nozioni principali riguardanti il diritto correlato all'analisi del rischio, fornendo un quadro delle tematiche giuridiche più rilevanti emerse con l’affermazione della società telematica.
Data la collocazione del modulo nell’ambito della Laurea Magistrale in “Sicurezza informatica: infrastrutture ed applicazioni”, il corso riguarderà in particolare le tematiche della privacy e della tutela dei dati personali, il trattamento dei dati soprattutto da parte della pubblica amministrazione, la sicurezza delle transazioni economiche, la firma digitale, i reati informa-tici.
Considerata inoltre la collocazione esterna al percorso degli studi giuridici, il corso sarà strutturato in modo da fornire preliminarmente gli elementi essenziali necessari alla comprensione del linguaggio e dei concetti giuridici
Modalità di verifica finale: voto in trentesimi

Sicurezza delle Infrastrutture Logistiche (6 CFU)

Obiettivi formativi: Il corso si concentrerà sui principali problemi di progettazione e
gestione di infrastrutture logistiche che necessitano di un elevato
grado di sicurezza, quali le reti di telecomunicazione e trasporto. In
questi casi è necessario progettare fin dall'inizio, e poi gestire, il
sistema in modo tale che possa far fronte a situazioni di
malfunzionamento e/o attacco deliberato. Ciò tipicamente porta a dover
considerare situazioni in cui lo stato presente e futuro del sistema è
soggetto a forte incertezza; a sua volta, questo non permette di
utilizzare le normali tecniche risolutive, che richiedono una stima
accurata dei principali parametri di funzionamento (domande,
capacità, ...). Verranno quindi introdotte le principali metodologie
utilizzate per incorporare informazioni relative all'incertezza nei
corrispondenti modelli matematici, ossia la programmazione robusta e
quella stocastica. Si discuteranno le differenze le analogie tra le
due metodologie, e si presenteranno alcuni tra i principali approcci
algoritmici utilizzabili per sviluppare approcci risolutivi
sufficientemente efficienti per i corrispondenti problemi di
ottimizzazione, che sono tipicamente molto piu' difficili dei
corrispondenti problemi "nominali" (ossia in assenza di incertezza),
insieme con gli strumenti concettuali e teorici necessari per la loro
comprensione.
Modalità di verifica finale: voto in trentesimi

Sicurezza di cloud computing (6 CFU)

Obiettivi formativi: Il corso considera i problemi posti dal cloud computing ed analizza le possibili soluzioni.

Il corso considera i seguenti problemi e discute le possibili soluzioni.

1. Accesso privilegiato ai dati. L'outsourcing di dati genera dei problemi perchè i dipendenti di un altra azienda possono avere un accesso privilegiato a dati critici

2. Compliance rispetto a leggi e regolamenti. La responsabilità finale della sicurezza e intergrità dei dati è chi utilizza il cloud system anche se esso è gestito da altri. In questa situazione audit e certificazione hanno un ruolo critico.

3. Collocazione fisica dei dati. Nel caso di cloud computing è possibile non conoscere la locazione fisica dei dati ma occorre comunque essere garantiti sul rispetto della normativa locale.

4. Segregazione dei dati. Un cloud è tipicamente condiviso tra più utenti. E' necessario garantire il confinamento tra utenti con un uso appropriato della crittografia. Un uso non adeguato della crittografia può provocare la perdita dei dati.

5. Recovery. E' necessario prevedere una politca di disaster recovery

6. Supporto per investigazioni. Le caratteristiche del cloud computing rendono l'investigazione di reati quasi impossibile

7. Accesso a lungo termine ai dati. Come in tutti i casi di outsourcing occorre garantirsi rispetto a modifiche proprietarie o societarie dell'outsourcer.
Modalità di verifica finale: esame finale

Sicurezza di infrastrutture informatiche (12 CFU)

Obiettivi formativi: Il corso è focalizzato sui propietà emergenti e problemi di sicurezza posti da infrastrutture informatiche di elevate dimensioni. Vengono descritte le principali proprietà, i principali i problemi e discusse le metologie che possono essere usate.
Di particolare interesse per il corso sono le vulnerabilità strutturali che nascono dalla interconnessione di componenti che sono corretti se considerati singolarmente e la tecnologia di virtualizzazione.
Modalità di verifica finale: voto finale in trentesimi

Sicurezza di sistemi per il supercalcolo (6 CFU)

Obiettivi formativi: Il corso è focalizzato sui problemi di sicurezza di sistemi per il supercalcolo con particolare attenzione ai sistemi cluste e grid.
Vengono analizzati i problemi di sicurezza con particolare attenzione agli attacchi che un codice malevolo può portare ad un sistema ed alla garanzia della confidenzialità del codice e dei dati eseguiti su sistemi di tipo griglia.
Viene infine considerato il problema della accountability.
Modalità di verifica finale: valutazione in trentesimi

Sicurezza e macchine virtuali (6 CFU)

Obiettivi formativi: Il corso vuole permettere allo studente di padroneggiare l'uso di macchine virtuali per aumentare il livello di sicurezza di un sistema di calcolo o di una rete ICT.
Contenuti
1. Tecnologia di virtualizzazione
2. Supporto hardware alla tecnologia
3. VMM e confinamento
4. Introspezione di macchine virtuali
5. Attestazione del codice
6. Offuscamento del codice
7. Overlay sicuri di macchine virtuali
Modalità di verifica finale: voto in trentesimi

Sicurezza fisica (12 CFU)

Obiettivi formativi: Il corso considera le basi scientifiche e metodologiche dei sistemi per la scoperta di intrusioni fisiche.
I temi considerati sono
1. Riconoscimento di immagini
2. Videosorveglianza
3. Meccanismi di base per reti di sensori
4. Reti di sensori
5. Reti di sensori wireless
Modalità di verifica finale: voto in trentesimi

Sicurezza in sistemi wireless (9 CFU)

Obiettivi formativi: L'obiettivo del corso e' di introdurre gli studenti alle problematiche
relative alla sicurezza in reti wireless, e alle tecniche e politiche
adottate nella pratica per la soluzione di tali problematiche. Inoltre,
si presenteranno metodologie di progetto, pianificazione, installazione
e mantenimento di reti wireless sicure.
Contenuti

-Tecnologia delle reti wireless
-Progetto di reti wireless sicure
-Pianificazione di reti wireless sicure
-Installazione di reti wireless sicure
-Gestione e mantenimento di reti wireless sicure
Modalità di verifica finale: voto in trentesimi

Sicurezza Logistica: RFID (6 CFU)

Obiettivi formativi: Il corso introduce la tecnologia Remote Frequency Identification, RFID, e ne illustra le applicazioni per aumentare la sicurezza del trasporto e dello stoccaggio di container. Vengono inoltre illustrate le principali vulnerabilità della tecnologia e le possibili contromisure.
Modalità di verifica finale: voto finale in trentesimi

Soft computing per la sicurezza (6 CFU)

Obiettivi formativi: Vengono illustrati strumenti di intelligenza artificiale per la rilevazione di attacchi e violazioni. I metodi analizzati comprendono quelli basati su reti neurali, rule based system e algoritmi genetici.
Modalità di verifica finale: esame scritto e orale

Strumenti per la protezione dei diritti sui contenuti (6 CFU)

Obiettivi formativi: Obiettivo di questo corso è fornire allo studente i concetti, le metodologie e gli strumenti per la protezione dei contenuti e la difesa del diritto di autore.
Le due principali tecnologie che sono descritte e presentate sono basate, rispettivamente, sull'approccio del trusted computing group e sul digital watermarking.
Modalità di verifica finale: voto in trentesimi

Sviluppo di software sicuro (6 CFU)

Obiettivi formativi: Lo scopo del corso è di educare gli studenti a considerare gli aspetti legati alla sicurezza fin dall'inizio del processo di sviluppo del software, per poter progettare e realizzare i meccanismi di protezione durante la costruzione del sistema, piuttosto che iniettare soluzioni in un secondo tempo, con costi maggiori e risultati incerti. A tal fine, il corso presenta modelli, metodi e strumenti per trattare gli aspetti di sicurezza nelle principali attività del processo di sviluppo del software. Un caso di studio reale, una stazione di verifiche biometriche della NSA., mostrerà in concreto metodi e tecniche.
Contenuti.

1. Analisi dei requisiti
Metodi per determinare i requisiti di sicurezza: CORAS, anti-modelli in KAOS.
2. Progettazione
Verifica del progetto: UMLsec.
3. Codifica
Realizzazione di software sicuro: SPARK, il metodo e gli strumenti.
4. Caso di studio: Tokener, una stazione di verifiche biometriche della NSA.
Modalità di verifica finale: voto in trentesimi

Curricula definiti nel CDS “Sicurezza informatica: infrastrutture ed applicazioni”

curriculum di base

Descrizione: Il curriculum si propone di fare acquisire tutti gli argomenti fondamentali indispensabili nel bagaglio culturale di un laureato magistrale del settore. A completamento di tale percorso, è prevista l’acquisizione di conoscenze avanzate su alcuni argomenti specialistici di notevole impatto innovativo, che lo studente sceglie in base alle proprie attitudini e ai propri interessi, all’interno di una offerta che valorizza le aree di competenza specifiche dei docenti
In particolare, questo curriculum ha come obeittivo la preparazione di un laureato in grado di individuare i possibili rischi associati all'adozione di sistemi informativi per il supporto e la gestione di attività complesse. Inoltre, il laureato deve anche essere in grado di sviluppare in modo autonomo soluzioni originali per ridurre tale rischio a livelli accettabli con un approccio orientato alla riduzione dei costi provocata dalla riduzione del rischio
Denominazione in Inglese: basic