CLUSIT home page Calendario seminari Registrarsi Faculty Brochure Iscrizione mailinglist Contatti Privacy   Con la Collaborazione di

Cod. Seminario Date Milano Date Roma Durata Seminari Clusit Education a tutto in 2005. Per il calendaro in corso andare alla voce "CalendarioSeminari" PI01 Sicurezza Informatica per la piccola impresa 01/12/2005 15/12/2005 pomeriggio   240 KB* SF01 Sicurezza Fisica 08/11/2005 22/11/2005 pomeriggio   2.4 MB* CF01 Elementi probatori negli illeciti 04/10/2005 25/10/2005 giornata intera   730KB* PS01 Posta elettronica 13/09/2005 27/09/2005 pomeriggio   560KB* CO01 Controllo dei lavoratori 05/07/2005 19/07/2005 pomeriggio   160KB* HP01 Honeypot 03/05/2005 31/05/2005 pomeriggio 2.3 MB* DR01 Digital Right Management 19/04/2005 10/05/2005 pomeriggio   1.1 MB* RF01 RFID 22/03/2005 12/04/2005 pomeriggio   4 MB* VL01 Sicurezza VLAN e LAN 22/02/2005 15/03/2005 pomeriggio   670KB* BI01 Tecniche biometriche  25/01/2005 15/02/2005 pomeriggio   10.5MB* WF01 Reti WiFi 14/12/2004 18/01/2005 pomeriggio   6.6MB* CQ01 Crittografia Quantistica 23/11/2004 07/12/2004 pomeriggio   1.7MB* DE01 Documento Elettronico 19/10/2004 16/11/2004 pomeriggio   330KB* VP01 Voice-over-IP 21/09/2004 12/10/2004 pomeriggio 1.9MB* CR01 Principi di Crittografia 22/06/2004 13/07/2004 pomeriggio 670KB* * Il download delle presentazioni in formato elettronico è consentito ai soli Soci CLUSIT,  autenticandosi con user name e password di accesso all'area riservata.

CR01 Principi di Crittografia

Programma

1. 
1.1 generalità sulla crittografia e suoi utilizzi
1.2 principi di funzionamento: chiavi, testi, numeri casuali, algoritmi, protocolli 
1.3 algoritmi più semplici: One-Time-Pad, Cifrario di Cesare
1.4 crittoanalisi del Cifrario di Cesare
1.5 algoritmi Simmetrici, Asimmetrici e Hash

2. 
2.1 algoritmi simmetrici: blocchi, stream
2.2 noti algoritmi Simmetrici
2.3 breve rassegna dei principi di funzionamento di DES
2.4 cenni su AES

3.
3.1 algoritmi Asimmetrici: principi generali
3.2 introduzione alla matematica di RSA
3.3 uso delle chiavi pubbliche e private
3.4 algoritmi di Hash e MAC

4. 
4.1 cifrare con algoritmi Simmetrici
4.2 cifrare con algoritmi Asimmetrici
4.3 firma digitale ed autenticazione
4.4 utilizzo congiunto dei protocolli
4.5 PKI (RA/CA)
4.6 il certificato digitale

| inizio |  

VP01 Voice-over-IP

Programma

Introduzione alla VoIP

Considerazioni su QoS

Protocolli Voce:

• H.323

• SIP

• Gateway decomposition

Considerazioni di sicurezza:

• Address translation

• Firewall

• Cifratura IPSec e cifratura alternativa

• Rischi, minacce e vulnerabilitá generiche

Considerazioni sul deployment, disponibilitá, integrazione, gestione e monitoraggio:

• Convergenza ed IP Telephony: scenari e ruoli tecnologici

• Architetture disponibili: pro e contro

• IP Telephony: i punti di controllo

• Percorsi e problematiche della migrazione

Conslusioni, Q&A

| inizio |  

DE01 Documento Elettronico

Programma

1. Definizioni e normative; uso del documento elettronico nelle aziende
1.1 Dal documento cartaceo al documento informatico: brevi cenni
1.2 Cosa è il documento informatico: il D.P.R. 445/2000.
1.3 La validità legale del documento informatico
1.4 Il documento informatico sottoscritto: l'impatto delle normative comunitarie sulla disciplina nazionale

2. Il documento elettronico nella Pubblica Amministrazione, nei servizi al cittadino e alle imprese; stato attuale 
2.1 L'evoluzione della tecnologia nei rapporti tra il cittadino/impresa e la Pubblica Amministrazione
2.2 Documenti amministrativi e atti pubblici
2.3 Copie di atti e documenti pubblici
2.4 Cenni alla disciplina della carta d'identità elettronica e del protocollo informatico

3. Problemi tecnici: i formati dei documenti elettronici 
3.1 Open Source e P.A.:formati proprietari e non proprietari
3.2 Vantaggi derivanti dall'utilizzo di programmi open source
3.3 Il decreto del Ministro per l'Innovazione e le Tecnologie del 31 ottobre 2002 sull'open source nella pubblica amministrazione
3.4 Immodificabilità del documento elettronico: attenzione ai contenuti attivi

4. Impatto dell'evoluzione normativa sui processi, sull'attività e sui processi aziendali
4.1 Integrazione del documento elettronico nei flussi documentali
4.2 L'archiviazione e la conservazione digitale dei documenti
4.3 Originale e copia nel mondo digitale
4.4 La fattura elettronica
4.5 Brevi cenni sulla privacy e sulla sicurezza dei dati

| inizio |  

CQ01 Crittografia Quantistica

Programma

1.
1.1 cosa vuol dire QC e QKD (Quantum Key Distribution)
1.2 storia, stato attuale e futuro di QC
1.3 implementazioni di QC e paragone con le tecnologie classiche
1.4 le principali leggi fisiche su cui si basa
1.5 i vari protocolli proposti

2.
2.1 il protocollo BB84 in dettaglio
2.2 dalla teoria alla pratica: gli errori
2.3 tipi di "eavesdropping"
2.4 teoria dell'informazione, leggi di Shannon ed informazione quantistica
2.5 come distinguere gli errori dall'eavesdropping

3.
3.1 vari tipi di implementazioni, in aria ed in fibra e loro problemi
3.2 sistemi a Faint Laser Pulses
3.3 sistemi a photon pairs ed entanglement
3.4 attacchi contro le implementazioni

4.
4.1 descrizione del sistema Plug&Play
4.2 caratteristiche tecniche del sistema Plug&Play
4.3 altri modelli sul mercato e prospettive future
4.4 dimostrazione pratica

| inizio |  

WF01 Reti WiFi

Programma

1 -Introduzione alle evoluzioni dello standard 802.11x

• Cenni all’evoluzione negli standard 802.11

• Implementazioni in sicurezza WI-FI, dal WEP all'802.11i

• Regolamentare il traffico WPA (WI-FI Protected AREA)

2 - Problemi e rischi in azienda leagti all'uso una rete WiFi

• Accesso ed utilizzo illegale della rete aziendale

• Fuga ed intercettazione di informazini aziendali sensibili

• Attacchi e situazioni non desiderate, la loro probabilità e come mitigarne il rischio:

• Policy di sicurezza Aziendale:

• Implementazione della security policy:

3 - Case Study: Wireless LAN distribuita

• Un tipico setup complesso:

• Gli elementi architetturali:

• Ridondanza degli elementi

• 802.1x Metodi a confronto (Sicurezza versus complessità)

• Alternative all'802.1x: metodi a confronto:

• Cifratura (roadmap)

4 - Le operazioni di Auditing su reti Wi-Fi secondo la metodologia OSSTMM

• OSSTMM, metodologia ed ambito di applicazione

• Valutare le necessità di business, le policies e gli usi.

• Testare hardware firmware e updates degli apparati

• Valutare i controlli di accesso, la sicurezza perimetrale, e la possibilità di intercettare ed interferire con le comunicazioni

• Valutare le possibilità di accedere a device Wireless con utenze di Amministrazione

• Valutare Configurazioni dinamiche di Autenticazione e Cifratura di una rete Wireless

• Valutare la sicurezza dei Client di una rete Wireless

| inizio |  

BI01 Tecniche biometriche

Programma

1- Introduzione ai sistemi biometrici

• Definizioni, modalità di riconoscimento, tipologie di applicazioni, misura delle prestazioni

• Panorama delle caratteristiche biometriche, parametri di valutazione

• Tecnologie biometriche (con particolare riferimento a volto e impronta digitale)

2- Progettare un sistema biometrico

• Studio di fattibilità e pianificazione

• Aspetti tecnologici

• Aspetti organizzativi

• Sistemi biometrici e privacy

3- Valutazione delle prestazioni di un sistema biometrico

• Come eseguire la valutazione

• Valutazione di algoritmi per il riconoscimento di impronte digitali

• Valutazione di algoritmi per il riconoscimento del volto

4- Sistemi biometrici basati su impronte digitali: aspetti implementativi

• Perché le impronte digitali

• Caratteristiche dei lettori di impronte, prestazioni

• Enroll: caratteristiche dei template, criticità, soglia di riconoscimento

• Riconoscimento: gestione del dispositivo, utenti problematici, verifica e identificazione

5- Applicazioni

• Sicurezza logica: logon a sistemi, accesso a risorse critiche, esempi

• Scanner stand alone: firma digitale

• Cenni sulla sicurezza fisica

• Considerazioni sulla privacy

6- Impronte e SmartCard

• Gli standard, i vantaggi e i limiti

• Match on card

7- Sistemi di sviluppo

• Un esempio: FX3 SDK

| inizio |  

VL01 Sicurezza VLAN e LAN

Programma

1 - Introduzione

• Modello OSI

• Standard Ethernet

• Standard VLAN (802.1q)

• ARP

2 - Principi di funzionamento degli apparati di livello 2

• CAM table

• Address Learning

• Autoconfigurazione : DHCP

3 - Attacchi e Contromisure

• CAM Table e CAM Overflow (DEMO)

• ARP Poisoning, Gratuitous ARP (DEMO)

• VLAN Hopping

• Switch Port Stealing (DEMO)

• Spanning Tree Protocol (STP)

• DHCP Spoofing

4 - Conclusioni

• Encryption

• 802.1x e Admission Control

• Best Practices

• Questions and Answers

| inizio |  

RF01 RFID

Programma

Cosa sono, loro storia, utilizzi

• Che cos'è RFID

• La storia del RFID: dalla Seconda Guerra Mondiale a Walmart 

• I transponder sulle cose e i transponder sulla persona

• Dal RFID alla Ubiquitous Society

I vari tipi di transponder

• Transponder passivi, semiattivi e attivi

• Transponder magnetici e elettrici

• Le frequenze del RFID

• Convergenza tra M2M e RFID: il caso Zigbee

Architetture Software e sicurezza

• Il modello ISO/OSI del RFID

• L'architettura degli standard ISO ed EPC: similitudini, differenze e convergenze

• Riservatezza, Integrità ed autenticità

• La sicurezza informatica: dall'immobiliser al Mifare ed oltre

• Metodi per garantire la scelta di privacy dell'utente

Applicazioni del RFID

• Il settore dell'auto: dalla produzione all'accesso autostradale

• I servizi di ticketing (on net/off net): da Dolomiti Skipass a Calipso

• Monetica: principi ed applicazioni

• Sicurezza informatica: costi/benefici

• I beni di largo consumo: dai pallet ai prodotti finiti

• Un'esperienza diretta: il magazzino di parti di ricambio di Inet

| inizio |  

DR01 Digital Right Management

Programma

Introduzione

• La nascita del problema e la prima idea di soluzione

• Sicurezza o opportunita' di business ?

Le soluzioni DRM

• Architettura di un tipico sistema DRM

• I principali standard e linguaggi per l'espressione dei diritti

• DRM & Conditional Access

• Il DRM in ambito mobile

Il mercato del DRM

• Casi reali di implementazione

• Fattori critici per la diffusione delle tecnologie DRM

Il quadro giuridico

• Inquadramento giuridico dei DRMs e "compatibilità" con la legge sul diritto d'autore 22 aprile 1941 n. 633 e successive modifiche;

• Problemi di uniformità dei DRMs e connessa tutela dei consumatori nel quadro europeo;

• Problemi connessi alla privacy (si veda ad es. la consultazione pubblica recentemente disposta dal Gruppo dei Garanti europei per la privacy)

• Problemi di interconnessione tra i DRMs e i prodotti distribuiti con altre tipologie di licenze (creative commons, open source, free software)

| inizio |  

HP01 HONEYPOT

Programma

1. Generalità sulle honeypot
1.1 Lo scenario moderno della sicurezza e le sue nuove esigenze
1.2 Un paradigma di individuazione, analisi e reazione
1.3 Definizione di Honeypot e Honeynet
1.4 Honeypot e honeynet come una forma di anomaly detection

2. Honeypot: caratteristiche e implementazione
2.1 Interattività vs. Controllabilità
2.2 Uso di honeyd
2.3 Implementazione di honeypot altamente interattive
2.4 Honeytoken

3. Honeynet
3.1 Una rete di honeypot: problematiche e vantaggi
3.2 Architetture per le honeynet
3.3 Contenimento e analisi: honeywall e IDS
3.4 Indistinguibilità e individuazione delle honeypot
3.5 Attacchi (non voluti) alle honeypot

4. Forense e problematiche legali
4.1 Analisi forense di una honeypot compromessa
4.2 Presentazione tecnico-legale di prove (cenni)
4.3 Problematiche legali connesse alla honeypot

| inizio |

AU01 Sicurezza delle reti miste: Autenticazione e condivisione di risorse in reti locali miste

Programma

• Autenticazione di utenti e processi in reti locali, single-sign-on

• Integrazione Kerberos-Ldap-Active Directory

• Samba e reti miste

• Progettazione di una rete locale mista ed integrata

| inizio |

CO01 Controllo dei lavoratori: Utilizzo delle strumentazioni informatiche e telematiche in azienda e il controllo sui lavoratori

Programma

• Aspetti giuridici sottesi all'utilizzo delle strumentazioni informatiche e telematiche da parte dei lavoratori

• Gli abusi da parte dei lavoratori

• Casistica esemplificativa

• Diritti e doveri del lavoratore

• Diritti e doveri del datore di lavoro

• Principi giuridici applicabili

  • i principi del codice civile

  • i prinicipi dello Statuto dei Lavoratori

  • i prinicipi stabiliti dalle normative in materia di riservatezza

  • i prinicipi in tema di segretezza della corrispondenza

• Limiti e poteri di controllo da parte del datore di lavoro

  • il potere disciplinare

  • i controlli difensivi

• I controlli specifici:

  • la posta cartacea

  • la posta elettronica

  • l'uso di internet

  • il contenuto del pc

• L'assunzione degli elementi probatori

• La funzione delle policy interne:

  • cosa prevedere

  • come negoziarle

• L'esperienza della Fondazione Centro San Raffaele del Monte Tabor

| inizio |

PS01 Posta elettronica: Progettare un servizio di posta elettronica sicuro

Programma

1. Introduzione al problema degli abusi della posta elettronica
1.1 Definizioni; motivazioni economiche; evoluzione del fenomeno nel tempo
1.2 I costi dello spam
1.3 Rapido sommario del quadro legislativo in Italia e nel mondo
1.4 Tipologie di spam (per contenuti/scopi)
1.5 Truffe via spam e educazione dell'utenza
1.6 Strategie per contrastare il fenomeno e ridurre il suo impatto
1.7 Aiutare la causa: invio di segnalazioni, archiviazione pubblica

2. SMTP e abusi email
2.1 Il protocollo SMTP (RFC2821) e sue implicazioni (falsificazioni)

2.2 Passaggio attraverso catene di server e generazione di notifiche DSN
2.3 Informazioni dall'header (RFC2822)
2.4 SMTP AUTH e Message Submission (RFC2476)
2.5 Panoramica dei metodi di trasmissione dello spam; sorgenti pure e miste
2.6 Metodi anti-falsificazione (SPF, Sender ID, DKIM)

3. Riduzione della posta abusiva entrante
3.1 Definizione delle politiche di filtraggio/blocco
3.2 Metodi di notifica di mancate consegne
3.3 Analisi pre-DATA: dominio mittente, HELO, IP, rDNS
3.4 I database di Spamhaus, e altre liste di blocco pubbliche
3.5 Analisi post-DATA: pattern particolari in header
3.6 Analisi post-DATA o dopo l'accettazione: filtri sul contenuto 
3.7 Whitelist e apertura di passaggi garantiti
3.8 Tipologie particolari: truffe nigeriane; phishing; virus; 'backscatter'
3.9 Nota sui metodi 'Challenge/Response'

4. Eliminazione della posta abusiva uscente
4.1 Definizione delle politiche di uso accettabile e di sicurezza email
4.2 Filtri sulla porta 25, e il problema degli utenti fuori sede
4.3 Identificazione e chiusura dei punti potenzialmente vulnerabili e abusabili da spammers
4.4 Riduzione al minimo del backscatter
4.5 Acquisire segnalazioni di posta abusiva emessa dalla propria rete

| inizio |

CF01 Elementi probatori negli illeciti: Raccolta e mantenimento degli elementi probatori negli illeciti informatici.

Programma

Mattina - 9.10 - 13.00

Docente: Bruno Fiammella

• attività illecita attraverso l'uso delle tecnologie informatiche

• problematiche giuridiche legate agli insider (dipendenti infedeli)

• aspetti sostanziali e processuali della prova

• la computer forensic ed il valore probatorio degli elementi raccolti

• il ruolo delle policy aziendali nella prevenzione degli illeciti

• il rapporto con la polizia giudiziaria durante l'attività d'indagine

• la responsabilità dell'azienda per il reato del dipendente (aspetti civili e penali)

Pomeriggio - 14.10 - 18.00

Docente: Andrea Ghirardini

• computer forensics: una nuova disciplina della polizia scientifica

• computer forensics: l'arte di avanzare con fantasia e una legislazione vacante

• computer forensics: sequestro, catena della custodia, presentazione delle prove

• regole di comportamento nell'assunzione della prova informatica

• le attività propedeutiche

• le regole da rispettare

• gli errori più comuni

• alcuni esempi pratici

| inizio |

SF01 Sicurezza Fisica

Programma

1. Introduzione alla Security
1.1 L'evoluzione della Security
1.2 Interrelazioni tra la Security e le varie funzioni aziendali
1.3 I nuovi rischi di Security con particolare riferimento all'ICT
1.4 La norma UNI 10459

2. Il processo di gestione dei rischi
2.1 Analisi dei rischi
2.2 Identificazione dei rischi
2.3 Valutazione dei rischi e delle vulnerabilità
2.4 Gestione dei rischi
2.5 Analisi costi-benefici

3. La sicurezza fisica degli immobili
3.1 Il sistema di security integrata
3.2 Il sottosistema di sicurezza passiva 
3.3 Il sottosistema di sicurezza attiva

4. Il controllo degli accessi
4.1 Il servizio di sorveglianza
4.2 I sistemi automatici di controllo degli accessi
4.2.1 Sistema di controllo con carta d'identificazione a banda magnetica
4.2.2 Sistema di controllo con carta d'identificazione con microchip
4.2.3 Sistema di controllo di prossimità di tipo passivo
4.2.4 Sistemi di lettura biometrica
4.2.5 Sistemi di lettura ottica
4.3 Il sistema TV-CC
4.4 La Centrale operativa multifunzione

| inizio |

 PI01 Sicurezza Informatica per la piccola impresa

Programma

Introduzione

• peculiarità delle piccole imprese

• obbiettivi della sicurezza

• tutela del patrimonio aziendale

• requisiti di legge

• supporto alle attività dell'azienda

Principi generali

• conoscere i propri sistemi

• controllo accessi

• il monitoraggio

Protezione del sistema e dei dati

• la workstation

• il server

• la protezione dei dati

• i backup

Protezione della rete locale

• la condivisione di risorse

• la centralizzazione dei servizi

• reti wireless

• monitoraggio ed alert

• l'accesso a Internet

Aspetti organizzativi

• i requisiti di legge

• contratti, outsourcing, assistenza

| inizio |