Collaborations

Description

In today’s complex, distributed systems, effective monitoring is essential for understanding system behavior, identifying performance bottlenecks, and troubleshooting issues. This thesis aims to design, implement, and evaluate a robust metrics, logs, and traces ingestion pipeline within a Kubernetes environment, leveraging popular open-source tools.

Le nuove tecnologie edge, cloud e ibride stanno rivoluzionando il modo in cui le organizzazioni gestiscono le proprie risorse informatiche. La flessibilità e l’elasticità offerte dai servizi cloud permettono di ridurre i costi e di aumentare l’efficienza, ma al contempo introducono nuove sfide in termini di sicurezza e compliance. In questo contesto, la security assurance, ovvero la verifica continua di proprietà non funzionali, e la certificazione dei servizi cloud, ovvero il rilascio di certificati di conformità in seguito al superamento di opportune verifiche, diventano sempre più importanti per garantire la sicurezza e la privacy dei dati degli utenti. Si rendono quindi necessarie nuove metodologie e strumenti per valutare e certificare la sicurezza dei servizi cloud, on-premise e ibridi, al fine di garantire la conformità alle normative vigenti e la protezione dei dati sensibili. In tal senso, Moon Cloud offre una piattaforma di assurance per la valutazione e certificazione della sicurezza dei servizi e delle infrastrutture ICT. L’obiettivo di questa tesi è quello di modernizzare l’infrastruttura di Moon Cloud esistente per supportare la security assurance e la certificazione dei servizi in qualsiasi modalità di deployment, dal cloud, all’on-premise e ibridi. La nuova infrastruttura di Moon Cloud è stata progettata per garantire la sicurezza e la privacy dei dati degli utenti, offrendo una piattaforma sicura e un ambiente di lavoro sicuro e affidabile per la certificazione dei servizi e dei sistemi. La tesi descrive le criticità del sistema esistente e gli obiettivi, vincoli e azioni che hanno guidato la migrazione verso la nuova infrastruttura. Vengono illustrate le scelte progettuali e le soluzioni implementative adottate per la realizzazione e validazione. Viene presentato un caso di studio reale che ne dimostra un flusso di funzionamento completo. Vengono infine presentati degli esperimenti condotti per valutare le prestazioni della nuova infrastruttura e confrontarle con quelle dell’architettura precedente.

Le moderne architetture distribuite, caratterizzate da decentralizzazione e dalla suddivisione in microservizi, pongono sfide rilevanti nella valutazione del comportamento del sistema.

Data la complessità introdotta da tali architetture, vengono richiesti sistemi di monitoraggio avanzati in grado di verificare Proprietà Non-Funzionali per valutare il comportamento dell’infrastruttura. Le soluzioni attuali, sebbene efficaci nella valutazione di performance, risultano limitate quando si tratta di fornire una valutazione olistica e continua di tali sistemi, basata sulla verifica di proprietà non funzionali tramite contratti formali e specifici. 'E sorta quindi la necessità di sistemi di monitoraggio sempre più sofisticati, che possano raccogliere informazioni su molteplici aspetti del sistema in modo da garantire il soddisfacimento di specifiche proprietà.

Distributed systems have become one of the pillars of modern computing, creating the backbone for technologies like cloud computing and the Internet of Things, while supporting many of the services that run on the Internet. However, with the use of this type of systems a unique set of challenges arises, particularly about ensuring properties such as their scalability, performances, reliability, and the detection of issues that could lead to system failures. Effective monitoring of such systems in complex environments is essential to maintain these properties.

The advent of 5G networks has revolutionized wireless communication, offering unprecedented speed, reliability, and capacity. This advancement enables transformative use cases, such as Internet of Things (IoT) applications and satellite-based 5G communication, which extend connectivity into remote and rural areas. However, the increasing complexity of 5G network infrastructures introduces significant challenges in monitoring and securing these networks. This thesis focuses on addressing these challenges by designing, implementing, and evaluating a comprehensive monitoring and security system tailored for 5G networks. The proposed system leverages open-source tools, including Free5GC, Prometheus, and Grafana, to monitor the performance of Network Functions (NFs). Additionally, it integrates an OAuth2 and SIM card-based authentication mechanism to enhance security by providing reliable user and device identity verification. The modifications to Free5GC enable the collection of detailed network metrics, while the authentication system ensures robust protection against unauthorized access. A series of experiments evaluated the system’s performance, scalability, and security. Results demonstrated that the monitoring system introduces minimal resource overhead, with only a modest increase in CPU and memory usage. The authentication mechanism was proven to be secure and effective, significantly enhancing the overall security posture of the 5G network. This thesis proposes solutions to critical challenges in 5G network monitoring and security, offering a scalable and adaptable approach to meet the demands of modern networks. Future work includes developing a high-availability monitoring setup, expanding user equipment (UE) metrics, deploying the system in real-world scenarios, and integrating it with edge computing architectures to ensure optimal performance in distributed environments.

In the constantly evolving landscape of continuously integrated cloud-native applications, the process of security assurance has a consistently increasing importance. In order to ensure that systems are secure and behave as expected, the assurance process has to be included in the whole software lifecycle, from development to operations.

Il progetto definito da questa tesi appunta uno specifico obiettivo da raggiungere, ovvero determinare la fattibilità di utilizzare un modello di linguaggio per generare configurazioni o variabili da utilizzare all’interno di una configurazione. In particolare, per questa tesi, si considera come obiettivo la generazione di configurazioni dette “Malleable C2 Profile” per il tool di red teaming “Cobalt Strike”. Tali configurazioni determinano una variazione nel malware generato dal software in base al valore dei parametri utilizzati, determinando quindi la generazione di malware polimorfico.

Nel contesto attuale della sicurezza informatica, si osserva un costante incremento degli attacchi informatici, con Ransomware e Trojan tra i più diffusi. Una caratteristica comune di questi attacchi è l’inclusione di una shellcode all’interno del loro payload. La shellcode rappresenta un elemento fondamentale del malware, e in questa sperimentazione si mostra la semplicità nel crearla ed usarla per effettuare un attacco di “Arbitrary Code Execution” con scalata dei privilegi. Precisamente si crea un’exploit per sfruttare la vulnerabilità nota col nome DirtyCow identificata dalla “CVE-2016-5195”, nel kernel Unix, che rappresenta una problematica di “Race Condition” tra thread nell’implementazione della copia in scrittura durante la modifica di una pagina mappata in memoria. È importante sottolineare che il kernel Linux è il software Open-Source più diffuso al mondo, utilizzato dal 96.3% dei server globali e dal 85% dei dispositivi mobili. Sorprendentemente, questa vulnerabilità è rimasta presente nel Kernel dalla versione 2.x del 2007 fino alla sua correzione nel 2018, con un periodo di undici anni in cui è rimasta latente. Una caratteristica cruciale di questa vulnerabilità è il suo funzionamento completamente in memoria, il che significa che non vengono lasciate tracce nei log di sistema, rendendo gli attacchi praticamente indistinguibili da altre attività normali.

Durante il periodo di tirocinio è stato sviluppato un tool per la rilevazione delle vulnerabilità di tipo web cache deception. Parallelamente allo sviluppo sono state studiate varianti di web cache deception specifiche, alcune delle quali mai discusse prima in letteratura, la cui metodologia di ricerca è stata implementata nel tool. Successivamente allo sviluppo, il tool è stato testato su più di 100 domini, dove è stato in grado di rilevare diverse vulnerabilità. Infine sono stati studiati nuovi vettori d’attacco per le web cache deception, ponendo principalmente l’attenzione sui web mail client. È stato dimostrato come sia possibile utilizzare alcuni web mail client come vettori d’attacco per le web cache deception, aspetto che non è mai stato discusso in letteratura.