NESSoS Network of Excellence on Engineering Secure Future Internet Software Services and Systems Fabio Martinelli (CNR) 28 June, 2012 Outline Lo scenario Missione ed obiettivi della rete NESSoS Consorzio Highlights Contatti 2 Cyber-security Purtroppo tutti abbiamo esperienze di attacchi informatici ai nostri In May 2010 an incident made headlines around the world. BBC News reported that evening: PC: The computer systems used to control modern cars are very vulnerable to attack, say experts. An investigation by security researchers found the systems to be " SPAM Phishing Virus Spyware … Adesso anche ai nostri smart-phones … …. ed ai sistemi informatici di compagnie e industrie 3 Cyber security - auto In May 2010 an incident made headlines around the world. BBC News reported that evening: The computer systems used to control modern cars are very vulnerable to attack, say experts. An investigation by security researchers found the systems to be " Nel 2010 un attacco informatico a bloccato centinaia di auto. 4 Cyber Security – impianti industriali As Reuters [Reuters, 2010] reported, the virus exploits standard operating systems software and Stuxnet, un virus attacca i sistemi industriali in Iran (2010) 5 Cyber Security - aerei "The proposed architecture of the 787," the FAA stated, "allows new kinds of passenger connectivity to previously isolated data networks connected to systems 6 E’ meglio prevenire che curare Molti degli approcci attuali per la protezione dei sistemi e servizi sono basano sulla scoperta di un attacco e la definizione di un rimedio (e.g. antivirus) In questo modello i difensoni sono sempre indietro agli attaccanti Esistono altri approcci: Prevedere i nuovi modi di attaccare (essere davanti ai cattivi con gli stessi mezzi dei cattivi). Ridurre le vulnerabilita’ ed il rischio in maniera sistematica e razionale nei sistemi coinvolti E’ quindi utile un approccio all’ingegneria dei sistemi e servizi software che consideri la sicurezza (nelle sue varie accezioni, inclusa la privacy) sin dalle prime fasi del ciclo di sviluppo 7 La necessita’ ed opportunita’ E’ evidente quindi la necessita’ ed opportunita’ di definire un processo di ingegneria dei sistemi e servizi che sia: In grado di resistere agli attacchi che emergono nei nuovi scenari; Dimostrare con evidenza verificabile da terzi il livello di sicurezza dei servizi e sistemi; Gestire gli aspetti di costo e rischio durante lo sviluppo e l’operativita’ di tali servizi e sistemi; A titolo di esempio: Microsoft con il suo SDL ha drasticamente ridotto le vulnerabilita’ nel suo software Adesso il bersaglio degli hackers sono anche altri sistemi iOS, Android, etc.. 8 Obiettivi della rete NESSoS Creazione di una comunita’ di ricerca Europea nel tema della ingegneria dei sistemi e servizi software sicuri (NESSoS) Creazione di un base di conoscenza comune Integrazione delle agende di ricerca Integrazione delle infrastrutture e degli strumenti Valorizzazione delle risorse umane Contribuzione all’accrescimento della conoscenza e della consapevolezza sulle problematiche delle sicurezza infromatica Riduzione del gap attuale tra le best practices industriali e la ricerca accademica 9 Obiettivi specifici di ricerca Sviluppo di una disciplina per l’ingegneria dei servizi e sistemi sicuri: Ingegneria dei requisiti di sicurezza Sviluppo di architetture e metodi di progetto per servizi sicuri Ambienti di programmazione e middleware per l’esecuzione sicura dei servizi Meccanismi di validazione, prova ed analisi composizionali, modulari e scalabili Estensione del ciclo di vita della progettazione a servizi con modelli di rischio e costo adeguati 10 Consorzio 7 Paesi Europei Ketil Stølen, … 12 partners SINTEF Norvegia 80 ricercatori LMU Martin Wirsing , … SIEMENS Jorge Cuellar, … UDE Maritta Heisel, … Germania Italia KUL Belgio Wouter Joosen, … Francia INRIA Valérie Issarny, … 28 June, 2012 CNR Fabio Martinelli, UNITN Fabio Massacci, Bruno Crispo… Svizzera ETH Spagna ATOS IMDEA UMA David Basin, … Aljosa Pasic, … Manuel Clavel, … Javier Lopez, … 11 Highlights al mese 18 di 42 Risultati previsti al mese 42 Mese 18 Creazione di una conferenza di rilevanza internazionale nel settore ESSoS # Pubblicazioni: 210 130 # Studenti di dottorato che conseguono il titolo: 20 6 Workshops tematici organizzati : 3 5 Seminari aperti industria/ricerca: 3 1 Strumenti integrati nel NESSoS Tool Workbench: 15 11 Scambi di visite tra ricercatori (media-durata) 25 17 Number of material for courses on the discipline of Secure Software and 3 Services Engineering: greater than or equal to 17 Scuola di dottorate estive/invernali 3 3 Partecipanti alla comunita’ NESSoS 254 12 Contatti www.nessos-project.eu [email protected] Dr. Fabio Martinelli, IIT-CNR (Coordinatore del progetto) [email protected] 13