FOCARDI Riccardo

Position	Full Professor
Telephone	041 234 8438
E-mail	focardi@unive.it
Website	www.unive.it/persone/focardi (personal record) http://www.dsi.unive.it/~focardi
Office	Department of Environmental Sciences, Informatics and Statistics Sito web struttura: http://www.unive.it/dep.dais Where: Campus scientifico via Torino Room: office Z.B07 (Zeta B building)

Dati relazione

Periodo di riferimento	24/12/2014 - 01/09/2017
Afferenza	Dipartimento di Scienze Ambientali, Informatica e Statistica
Ruolo	Professori associati

Attività didattica

A.A.	Insegnamento	Codice	Voto (max 4)	Voto medio area (max 4)
2014/2015	SECURITY OF COMPUTER SYSTEMS	CM0228	3.1	3.1
2014/2015	SISTEMI OPERATIVI	CT0125	3.2	3.1
2015/2016	SECURITY	CM0475	3.4	3.1
2015/2016	SISTEMI OPERATIVI	CT0125	3.2	3.1
2016/2017	SECURITY	CM0475	3.3	3.1
2016/2017	SISTEMI OPERATIVI	CT0125	3.1	3.1

Tesi

Anno solare	Tipologia	Tesi Relatore
2014	Corso di dottorato	1
2014	Corso di laurea	3
2014	Corso di laurea magistrale	3
2014	Corso di laurea specialistica	1
2015	Corso di laurea	4
2015	Corso di laurea magistrale	2
2016	Corso di laurea	1
2016	Corso di laurea magistrale	5

Finanziamenti

Client-side Security Enforcement for Mobile and Web Applications
EUTYPES - 2016
Security Horizons
Sicurezza delle informazioni nel territorio veneto

Ricerche sviluppate e in corso

Analisi di Protocolli Crittografici
Crittografia
Security APIs
Sicurezza Web
Sicurezza delle reti
Sicurezza di smartcard e dispositivi RFID

Pubblicazioni realizzate nel triennio

Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo (2017), Formal methods for web security in THE JOURNAL OF LOGICAL AND ALGEBRAIC METHODS IN PROGRAMMING, vol. 87, pp. 110-126 (ISSN 2352-2216) (Articolo su rivista)
Calzavara, Stefano; Focardi, Riccardo; Squarcina, Marco; Tempesta, Mauro (2017), Surviving the Web: A Journey into Web Session Security in ACM COMPUTING SURVEYS, vol. 50 (ISSN 0360-0300) (Articolo su rivista)
Focardi, Riccardo; Luccio, Flaminia; Wahsheh, Heider (2017), Security Threats and Solutions for Two-Dimensional Barcodes: A Comparative Study in Kevin Daimi, Computer and Network Security Essentials, Springer, pp. 207-219 (ISBN 978-3-319-58424-9) (Articolo su libro)
Focardi, Riccardo; Squarcina, Marco (2017), Run-Time Attack Detection in Cryptographic APIs , 2017 IEEE 30th Computer Security Foundations Symposium (CSF), IEEE Computer Society, pp. 176-188, Convegno: CSF 2017, 21-25 Aug. 2017 (ISBN 978-1-5386-3217-8) (Articolo in Atti di convegno)
(a cura di) Armando, Alessandro; Baldoni, Roberto; Focardi, Riccardo (2017), First Italian Conference on Cybersecurity in Alessandro Armando, Roberto Baldoni, Riccardo Focardi in CEUR WORKSHOP PROCEEDINGS, CEUR-WS, vol. 1816 (ISSN 1613-0073) (Curatela)
Bozzato, Claudio; Focardi, Riccardo; Palmarini, Francesco; Steel, Graham (2016), APDU-level attacks in PKCS#11 devices , 19th International Symposium on Research in Attacks, Intrusions, and Defenses in LECTURE NOTES IN COMPUTER SCIENCE, Springer Verlag, vol. 9854, pp. 97-117, Convegno: RAID 2016, 2016 (ISBN 9783319457185; 9783319457185) (ISSN 0302-9743) (Articolo in Atti di convegno)
Shantanu Das; Riccardo Focardi; Flaminia Luccio; Euripides Markou; Davide Moro; Marco Squarcina (2016), Gathering of Robots in a Ring with Mobile Faults , ICTCS 2016, CEUR, vol. 1720, pp. 122-135, Convegno: 17th Italian Conference on Theoretical Computer Science (ICTCS 2016), September 7-9 2016 (Articolo in Atti di convegno)
Adão, Pedro; Focardi, Riccardo; Guttman, Joshua D.; Luccio, Flaminia (2016), Localizing firewall security policies , Proceedings - IEEE Computer Security Foundations Symposium, IEEE Computer Society, pp. 194-209, Convegno: 29th IEEE Computer Security Foundations Symposium, CSF 2016, 2016 (ISBN 9781509026074) (Articolo in Atti di convegno)
Calzavara, Stefano; Focardi, Riccardo; Grimm, Niklas; Maffei, Matteo (2016), Micro-policies for Web Session Security , IEEE 29th Computer Security Foundations Symposium, CSF 2016, IEEE Computer Society, pp. 179-193, Convegno: IEEE 29th Computer Security Foundations Symposium (ISBN 978-1-5090-2607-4) (Articolo in Atti di convegno)
Pedro, Adao; Riccardo, Focardi; Joshua, Guttman; Flaminia, Luccio (2016), Localizing Security for Distributed Firewalls , 4th Workshop on Hot Issues in Security Principles and Trust, Pubblicazione informale, Convegno: 4th Workshop on Hot Issues in Security Principles and Trust (HotSpot 2016), April, 2016 (Abstract in Atti di convegno)
Bugliesi, Michele; Calzavara, Stefano; Focardi, Riccardo; Khan, Wilayat (2015), CookiExt: Patching the browser against session hijacking attacks in JOURNAL OF COMPUTER SECURITY, vol. 23, pp. 509-537 (ISSN 0926-227X) (Articolo su rivista)
Chiara, Bodei; Linda, Brodo; Riccardo, Focardi (2015), Static Evidences for Attack Reconstruction in Chiara Bodei, Linda Brodo, Riccardo Focardi:, Programming Languages with Applications to Biology and Security 2015, Springer, vol. 9465, pp. 162-182 (ISBN 978-3-319-25526-2) (Articolo su libro)
Gkaniatsou, Andriana; Mcneill, Fiona; Bundy, Alan; Steel, Graham; Focardi, Riccardo; Bozzato, Claudio (2015), Getting to know your card: Reverse-engineering the smart-card application protocol data unit in Andriana Gkaniatsou; Fiona McNeill; Alan Bundy; Graham Steel; Riccardo Focardi; Claudio Bozzato, ACM International Conference Proceeding Series, Association for Computing Machinery, pp. 441-450, Convegno: 31st Annual Computer Security Applications Conference, ACSAC 2015, 2015 (ISBN 9781450336826; 9781450336826) (Articolo in Atti di convegno)
Focardi, Riccardo; Tempesta, Mauro (2015), Development of security extensions based on Chrome APIs , 8th International Workshop on Analysis of Security APIs (ASA-8), no formal editor, Convegno: 8th International Workshop on Analysis of Security APIs (ASA-8), 13/07/2015 (Abstract in Atti di convegno)
Caiazza, Gianluca; Focardi, Riccardo; Squarcina, Marco (2015), Run-time analysis of PKCS#11 attacks , 8th International Workshop on Analysis of Security APIs (ASA-8), no formal editor, Convegno: 8th International Workshop on Analysis of Security APIs (ASA-8), 13/07/2015 (Abstract in Atti di convegno)
(a cura di) Riccardo, Focardi; Andrew, C. Myers (2015), Principles of Security and Trust - 4th International Conference, POST 2015 in Riccardo Focardi; Andrew C. Myers in LECTURE NOTES IN COMPUTER SCIENCE, Springer, vol. 9036 (ISBN 978-3-662-46665-0) (ISSN 1611-3349) (Curatela)

Partecipazione a comitati editoriali di riviste/collane scientifiche

Journal of Computer Security (JCS) - IOS Press - member of the Editorial Board

Descrizione dell'attività di ricerca svolta nel triennio e gli obiettivi futuri

In questi tre anni l'attività di ricerca di Riccardo Focardi si è focalizzata su: analisi di Security API, Sicurezza delle reti e del Web:

- Analisi di Security APIs

Le Security APIs (Application Programming Interfaces) sono interfacce di programmazione per dispositivi sicuri, quali smart-card e token di autenticazione, in grado di svolgere operazioni crittografiche su dati sensibili. In questo triennio l'attività di ricerca si è focalizzata sullo studio della sicurezza della parte implementativa delle APIs (APDUs) e di meccanismi per l'individuazione, a tempo di esecuzione, di possibili attacchi. La ricerca ha portato alla pubblicazione di tre lavori a convegni internazionali. Gli obiettivi futuri sono lo studio di metodologie di attacco basate su generazioni di errori (fault injection) e estrazione di firmware.
Questo filone di ricerca è strettamente collegato all'attività dello spin-off Cryptosense: http://cryptosense.com/

- Sicurezza delle reti

Mignis è un software per la configurazione di firewall basato su una semantica formale. Permette di specificare regole di firewall in modo estremamente leggibile e intuitivo. Le specifiche dichiarative vengono compilate in regole Netfilter (iptables) che possono essere eseguite su un qualsiasi sistema Linux. In questo triennio abbiamo continuato la ricerca su sicurezza delle reti estendendo Mignis alla configurazioni di reti multi-firewall, in cui più di un nodo può filtrare il traffico o effettuare Network Address Translation (NAT). Il lavoro è stato presentato a un workshop e a un convegno internazionale di riferimenti del settore. Per il futuro intendiamo studiare tecniche per analizzare configurazioni esistenti, che possa scalare su diversi linguaggi per la configurazione di firewall.

- Sicurezza del Web

Il Web è estremamente flessibile e complesso e, di conseguenza, molto difficile da proteggere. In questo triennio abbiamo proseguito la ricerca su estensioni del browser Chrome basate su uno studio formale della sicurezza Web. Tali estensioni implementano meccanismi lato client che permettono di migliorare la sicurezza del Web per l'utente finale. CookieExt, già poresentato al IEEE Computer Security Foundation Symposium nel 2014, è stato pubblicato su rivista internazionale. Inoltre abbiamo realizzato una nuova estensione del browser che permette di imporre delle "micro-policies" di sicurezza durante la navigazione. Il lavoro è stato presentato al IEEE 29th Computer Security Foundations Symposium. Abbiamo inoltre pubblicato un survey sulla sicurezza delle sessioni Web nella prestigiosa rivista internazionale ACM COMPUTING SURVEYS. Per il futuro intendiamo continuare lo studio della sicurezza web considerando anche la sicurezza lato server delle applicazioni e delle comunicazioni.

Relazioni invitate presso convegni o workshops

Presentazioni:

- Development of security extensions based on Chrome APIs , 8th International Workshop on Analysis of Security APIs (ASA-8) 2015

- Localizing Security for Distributed Firewalls , 4th Workshop on Hot Issues in Security Principles and Trust, Pubblicazione informale, Convegno: 4th Workshop on Hot Issues in Security Principles and Trust (HotSpot 2016)

Relazioni invitate:

- Moderatore della sessione Cyber Security. Internet Governance Forum (IGF) Italia 2016. Il futuro di Internet: regole, economia e società. Novembre 2016

Seminari su invito tenuti presso altre Università, Centri di Ricerca, Aziende, etc.

- A Declarative Language for Network Security. Distinguished Lecture presso Center for IT-Security, Privacy and Accountability (short: CISPA). 20 ottobre 2016

- Configurazione dichiarativa di firewall. Relazione invitata presso la terza conferenza sulla Sicurezza Applicativa :Application Security Progettare la Cybersecurity. ISACA Venice chapter. Ottobre 2015

- Crittografia e Sicurezza Informatica. Seminario su invito all'interno di un corso specialistico ISACA. Padova, giugno 2016

Altre attività scientifiche

Program Committee Chair

- 4th International Conference on Principles of Security and Trust (POST) 2015
- 8th International Workshop on Analysis of Security APIs (ASA8), workshop satellite di IEEE CSF 2015.
- 1st Italian Conference on Cybersecurity (ITASEC). Venezia 17-20 Gennaio 2017

General Chair

- 1st Italian Conference on Cybersecurity (ITASEC). Venezia 17-20 Gennaio 2017

Program Committees

- European Symposium on Research in Computer Security (ESORICS) 2016, 2017
- International Conference on Principles of Security and Trust (POST) 2016

Altre attività didattiche

- da settembre 2016, 1 modulo da 10 ore del corso di dottorato "Advances in Autonomous, Distributed and Pervasive Systems", University Ca' Foscari, Venice

- laboratori di orientamento su sicurezza e crittografia per le scuole superiori (tutto il triennio)

- responsabile dell'unità di Venezia per la cyberchallenge (www.cyberchallenge.it) nel 2018

Incarichi accademici e attività organizzative

Chair del IFIP Working Group 1.7 "Theoretical Foundations of Security Analysis and Design", dal 2016

Componente di Collegi didattici, Comitati e Commissioni di Dipartimento, Commissioni di Ateneo

Coordinatore del Dottorato in Informatica di Ca' Foscari (dal 2012 fino ad oggi)

Attività e incarichi esterni

Co-fondatore e "chief scientist" di Cryptosense (spin-off di Ca' Foscari e INRIA)

Type	Name	Sender (Domain)	Description	Duration	Policy
Essential	_ga	Google (unive.it)	Registers a unique ID used to generate static data on how the visitor uses the website.	2 years	Information
Essential	_gat[*]	Google (unive.it)	Used by Google Analytics to limit the frequency of requests.	1 day	Information
Essential	_gid	Google (unive.it)	Registers a unique ID used to generate static data on how the visitor uses the website.	1 day	Information
Essential	NID	Google (google.com)	Used by Google for storing user preferences	6 months	Information
Essential	_idp[*]	Unive.it (idp.unive.it)	Authentication management and SingleSignOn	session	Information
Essential	_shibsession[], _shibsstate[]	Unive.it (www.unive.it)	Maintains the session data of the SingleSignOn	session	Information
Essential	cookie[*]	Unive.it (www.unive.it)	Stores user preferences on cookies.	1 month	Information
Essential	fe_typo_user	Unive.it (www.unive.it)	Unique user identifier for the reserved area of the website	session	Information
Essential	PHPSESSID	Unive.it (www.unive.it)	Unique user identifier for the website applications	session	Information
Third party	NID	Google (google.com)	Used by Google for storing user preferences	6 months	Information
Third party	IDE	Google (doubleclick.net)	Used by Google DoubleClick to record and produce reports on the actions of the user on the site after viewing or clicking one of the advertiser ads in order to measure the effectiveness of an ad and display targeted advertising to the user.	1 year	Information
Social Networks	lang	Twitter (cdn.syndication.twimg.com)	Language settings	session	Information
Social Networks	personalization_id, guest_id	Twitter (twitter.com)	Allows content to be shared on Twitter.	2 years	Information
Social Networks	gt	Twitter (twitter.com)	Twitter session cookie	session	Information
Social Network	_fbp	Facebook Pixel (facebook.com)	Advertising and analytics	3 months	Informativa