FOCARDI Riccardo

Qualifica
Professore Ordinario
Telefono
041 234 8438
E-mail
focardi@unive.it
SSD
INFORMATICA [INF/01]
Sito web
www.unive.it/persone/focardi (scheda personale)
 http://www.dsi.unive.it/~focardi
Struttura
Dipartimento di Scienze Ambientali, Informatica e Statistica
Sito web struttura: https://www.unive.it/dais
Sede: Campus scientifico via Torino (edificio Alfa)
Stanza: studio Z.B07 (edificio Zeta B)

Dati relazione

Periodo di riferimento 01/09/2017 - 01/09/2020
Afferenza Dipartimento di Scienze Ambientali, Informatica e Statistica
Ruolo Professori ordinari

Attività didattica

A.A.InsegnamentoCodice VotoVoto medio area
2017/2018SECURITYCM04753.63.2
2017/2018SISTEMI OPERATIVICT01253.53.2
2018/2019SECURITYCM04753.43.2
2018/2019SISTEMI OPERATIVICT01253.33.2
2019/2020ADVANCES IN AUTONOMOUS, DISTRIBUTED AND PERVASIVE SYSTEMSPHD136
2019/2020SECURITYCM04759.37.9
2019/2020SICUREZZACT05398.87.9
2019/2020SISTEMI OPERATIVICT01258.47.9

Tesi

Anno solareTipologiaTesi RelatoreTesi Correlatore
2017Corso di laurea2
2017Corso di laurea magistrale1
2018Corso di dottorato1
2018Corso di laurea2
2018Corso di laurea magistrale4
2019Corso di dottorato2
2019Corso di laurea2
2019Corso di laurea magistrale3

Finanziamenti

  • ADAPT: Accessible Data for Accessible Proto-types in Social Sector
  • ADditive Manifacturing and INdustry 4.0 as innovation Driver (ADMIN4D)
  • Client-side Security Enforcement for Mobile and Web Applications
  • EUTYPES - 2016
  • FilieraSicura: security of national infrastructures
  • Formal Specification for Secured Software System
  • Sistema domotico IoT integrato ad elevata sicurezza informatica per smart building

Ricerche sviluppate e in corso

  • Analisi di Protocolli Crittografici
  • Crittografia
  • Security APIs
  • Sicurezza Web
  • Sicurezza delle reti
  • Sicurezza di smartcard e dispositivi RFID

Pubblicazioni realizzate nel triennio

  • Calzavara S.; Conti M.; Focardi R.; Rabitti A.; Tolomei G. (2020), Machine Learning for Web Vulnerability Detection: The Case of Cross-Site Request Forgery in IEEE SECURITY & PRIVACY, vol. 18, pp. 8-16 (ISSN 1540-7993) (Articolo su rivista)
  • Calzavara S.; Focardi R.; Rabitti A.; Soligo L. (2020), A hard lesson: Assessing the HTTPS deployment of Italian university websites , CEUR Workshop Proceedings in CEUR WORKSHOP PROCEEDINGS, CEUR-WS, vol. 2597, pp. 93-104, Convegno: 4th Italian Conference on Cyber Security, ITASEC 2020, 2020 (ISSN 1613-0073) (Articolo in Atti di convegno)
  • Riccardo Focardi; Flaminia Luccio (2020), Automated Analysis of PUF-based Protocols , Proceedings of the 33rd IEEE Computer Security Foundations Symposium, IEEE, pp. 304-317, Convegno: 33rd IEEE Computer Security Foundations Symposium, June 22-25, 2020 (Articolo in Atti di convegno)
  • Calzavara S.; Focardi R.; Grimm N.; Maffei M.; Tempesta M. (2020), Language-Based Web Session Integrity , Proceedings - IEEE Computer Security Foundations Symposium in PROCEEDINGS IEEE COMPUTER SECURITY FOUNDATIONS SYMPOSIUM, IEEE Computer Society, vol. 2020-, pp. 107-122, Convegno: 33rd IEEE Computer Security Foundations Symposium, CSF 2020, 2020 (ISBN 978-1-7281-6572-1) (ISSN 1940-1434) (Articolo in Atti di convegno)
  • Das, Shantanu; Focardi, Riccardo; Luccio, Flaminia L.*; Markou, Euripides; Squarcina, Marco (2019), Gathering of robots in a ring with mobile faults in THEORETICAL COMPUTER SCIENCE, vol. 764, pp. 42-60 (ISSN 0304-3975) (Articolo su rivista)
  • Claudio Bozzato, Riccardo Focardi, Francesco Palmarini (2019), Shaping the Glitch: Optimizing Voltage Fault Injection Attacks in IACR TRANSACTIONS ON CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS, vol. 2019, pp. 199-224 (ISSN 2569-2925) (Articolo su rivista)
  • Focardi R.; Luccio F.L.; Wahsheh H.A.M. (2019), Usable security for QR code in JOURNAL OF INFORMATION SECURITY AND APPLICATIONS, vol. 48 (ISSN 2214-2126) (Articolo su rivista)
  • Stefano Calzavara; Mauro Conti; Riccardo Focardi; Alvise Rabitti; Gabriele Tolomei (2019), Mitch: A machine learning approach to the black-box detection of CSRF vulnerabilities , Proceedings - 2019 IEEE European Symposium on Security and Privacy, Institute of Electrical and Electronics Engineers Inc., pp. 528-543, Convegno: 4th IEEE European Symposium on Security and Privacy (Articolo in Atti di convegno)
  • Stefano Calzavara; Riccardo Focardi; Matus Nemec; Alvise Rabitti; Marco Squarcina (2019), Postcards from the post-HTTP world: Amplification of HTTPS vulnerabilities in the web ecosystem , Proceedings - 2019 IEEE Symposium on Security and Privacy, Institute of Electrical and Electronics Engineers Inc., vol. 1, pp. 948-965, Convegno: 40th IEEE Symposium on Security and Privacy (Articolo in Atti di convegno)
  • Bodei, Chiara; Degano, Pierpaolo; Focardi, Riccardo; Galletta, Letterio; Tempesta, Mauro; Veronese, Lorenzo (2018), Firewall management with FireWall synthesizer , CEUR Workshop Proceedings, CEUR-WS, vol. 2058, pp. 1-7, Convegno: 2nd Italian Conference on Cyber Security, ITASEC 2018, 2018 (Articolo in Atti di convegno)
  • Chiara Bodei, Pierpaolo Degano, Letterio Galletta, Riccardo Focardi, Mauro Tempesta, Lorenzo Veronese (2018), Language-Independent Synthesis of Firewall Policies , Proceedings of 3rd IEEE European Symposium on Security and Privacy, IEEE Press, pp. 92-106, Convegno: IEEE Euro S&P (ISBN 978-153864227-6) (Articolo in Atti di convegno)
  • R. Focardi, F. Palmarini, G. Steel, M. Squarcina, M. Tempesta (2018), Mind Your Keys? A Security Evaluation of Java Keystores , Proceedings of the Network and Distributed System Security Symposium, The Internet Society, pp. 1-15, Convegno: NDSS 2018 (Articolo in Atti di convegno)
  • Riccardo Focardi ; Flaminia Luccio (2018), Neural-Cryptanalysis of Classical Ciphers , Proceedings of the 19th Italian Conference on Theoretical Computer Science (ICTCS 2018), CEUR, pp. 104-115, Convegno: 19th Italian Conference on Theoretical Computer Science (ICTCS 2018), 18-20 September 2018 (Articolo in Atti di convegno)
  • Chiara Bodei, Pierpaolo Degano, Riccardo Focardi, Letterio Galletta, Mauro Tempesta (2018), Transcompiling Firewalls , Proceedings of 7th International Conference on Principles of Security and Trust in LECTURE NOTES IN COMPUTER SCIENCE, Springer, pp. 303-324, Convegno: POST 2018 (ISBN 978-331989721-9) (ISSN 0302-9743) (Articolo in Atti di convegno)
  • Focardi, Riccardo; Luccio, Flaminia; Wahsheh, Heider (2018), Usable Cryptographic QR Codes , Proceedings of the IEEE International Conference on Industrial Technology (ICIT - IEEE 2018), IEEE, pp. 1664-1669, Convegno: IEEE International Conference on Industrial Technology (IEEE - ICIT 2018), February 20-22, 2018 (ISBN 978-1-5090-5948-5) (Articolo in Atti di convegno)
  • Stefano Calzavara, Riccardo Focardi, Matteo Maffei, Clara Schneidewind, Marco Squarcina, Mauro Tempesta (2018), WPSE: Fortifying Web Protocols via Browser-Side Security Monitoring , Proceedings of the 27th USENIX Security Symposium, USENIX Association, pp. 1493-1510, Convegno: USENIX Security (ISBN 978-1-931971-46-1) (Articolo in Atti di convegno)
  • Calzavara S.; Focardi R.; Squarcina M.; Tempesta M. (2018), Surviving the Web: A Journey into Web Session Security , The Web Conference 2018 - Companion of the World Wide Web Conference, WWW 2018, Association for Computing Machinery, Inc, pp. 451-455, Convegno: 27th International World Wide Web, WWW 2018, 2018 (ISBN 9781450356404) (Abstract in Atti di convegno)
  • Focardi, Riccardo; Luccio, Flaminia; Wahsheh, Heider (2017), Security Threats and Solutions for Two-Dimensional Barcodes: A Comparative Study in Kevin Daimi, Computer and Network Security Essentials, Springer, pp. 207-219 (ISBN 978-3-319-58424-9) (Articolo su libro)

Partecipazione come referee di progetti di ricerca nazionali ed internazionali

È membro del Scientific Advisory Board Internazionale dello Strategic CyberSecurity Research Program in Flanders (https://cybersecurity-research.be/). Review con cadenza annuale.

Partecipazione a comitati editoriali di riviste/collane scientifiche

Journal of Computer Security (JCS) - IOS Press - member of the Editorial Board (fino al 2019)

Descrizione dell'attività di ricerca svolta nel triennio e gli obiettivi futuri

La ricerca in questo periodo si è focalizzata sui seguenti temi:

# Crittografia applicata

Abbiamo continuato la rierca su crittografia aaplicata. In un recente lavoro presentato a NDSS'18 abbiamo trovato vulnerabilità critiche nei keystore Java che hanno portato a tre CVE di Oracle:

- CVE-2018-2794, Oracle Java, punteggio base CVSS 3.0 7.7 (HIGH)
- CVE-2017-10356, Oracle Java, punteggio di base CVSS 3.0 6.2 (MEDIO)
- CVE-2017-10345, Oracle Java, punteggio base CVSS 3.0 3.1 (BASSO)

Inoltre, il nostro lavoro sull'analisi della sicurezza TLS "in the wild" è stato presentato a IEEE S&P 2019 (il più importante convegno di sicurezza informatica mondiale) ed è apparso anche su wired (https://www.wired.com/story/https-isnt-always-as-secure-as-it-seems/).

Abbiamo infine studiato la sicurezza di QR code in termini di qualità della crittografia utilizzata al loro interno. Un limite dei QR code è la loro dimensione che impedisce di utilizzare tecniche crittografiche con chiavi particolarmente grandi (es. RSA). I risultati sono stati presentati a IEEE ICIT 2018 e sono apparsi sul Journal of Information Security and Applications (2019).

# Sicurezza di rete

Mignis è uno strumento basato sulla semantica per la configurazione del firewall. Permette semplici specifiche dichiarative del firewall che vengono compilate in regole reali di Netfilter (iptables). Un teorema garantisce che la traduzione preserva la semantica. I nostri recenti risultati sull'analisi dei firewall sono stati presentati in venue internazionali, tra cui IEEE Euro S&P 2018.

# Sicurezza dei sistemi embedded

L'iniezione di anomalie di tensione è un attacco potente di tipo side-channel che modifica il flusso di esecuzione di un dispositivo creando disturbi sulla linea di alimentazione. Abbiamo proposto una nuova tecnica di iniezione di anomalie di tensione che genera forme d'onda arbitrarie utilizzando apparecchiature standard a basso costo. Per mostrare l'efficacia della nostra tecnica, abbiamo presentato nuovi attacchi di estrazione del firmware inediti su sei microcontrollori di tre principali produttori: STMicroelectronics, Texas Instruments e Renesas Electronics. I risultati sono stati pubblicati in IACR TCHES 2019.

Abbiamo inoltre analizzato la sicurezza di protocolli basati su Physical Unclonable Functions (PUFs), funzioni il cui risultato dipende dalle caratteristiche fisiche del silicio che permettono di ottenere un'impronta unica per ogni dispositivo embedded. L'analisi è stata effettuata tramite tool di verifica automatica e i risultati sono stati presentati a IEEE CSF 2020.

Abbiamo infine studiato algoritmi per robot autonomi in modelli che prevedono un agente malevolo "mobile", in grado di spostarsi assieme ai robot ed intenzionato a impedirne il successo. Il lavoro è stato pubblicato su Theoretical Computer Science (2019).

# Sicurezza Web

Abbiamo introdotto un modello formale per l'integrità delle sessioni Web. Il modello permette di individuare a livello del linguaggio di programmazione, possibili attacchi che permettono di corrompere una sessione Web introducendo contenuto o comandi manomessi. Il lavoro è stato presentato a IEEE CSF 2020.

# Obiettivi futuri

Intendiamo continuare l'attività di ricerca sulle tematiche elencate sopra investigando i seguenti temi:

1. Nuove tecniche per la sicurezza delle password in termini di resistenza ad attacchi per forza bruta;

2. Estensione delle tecniche su firewall per la gestione automatica di intervalli multi-dimensionali (IP sorgente/destinazione, porte, etc.) e utilizzo di linguaggi di specifica basati sul livello di sicurezza delle aree da proteggere;

3. Studio di tecniche avanzate di estrazione di firmware basate sul consumo di corrente e analisi di trade-off memoria/spazio per la crittanalisi che permettano di precomputare e utilizzare in modo efficace tabelle di decifratura;

4. Analisi automatica delle configurazioni di Hardware Security Modules (HSMs) reali;

5. Sperimentazione e analisi di Physical Unclonable Functions (PUFs) su Field Programmable Gate Array (FPGA);

6. Studio di tecniche per il reverse-engineering semi-automatico di protocolli crittografici nei dispositivi embedded.

Altri prodotti scientifici

Dal 2016 al 2019 è stato direttore del IFIP Working Group 1.7 Theoretical Foundations of Security Analysis and Design

Relazioni invitate presso convegni o workshops

- Automated Analysis of PUF-based Protocols. Presentato al 33rd IEEE Computer Security Foundations Symposium (IEEE CSF)

- Neural-Cryptanalysis of Classical Ciphers. Presentato alla 19th Italian Conference on Theoretical Computer Science (ICTCS 2018)

Seminari su invito tenuti presso altre Università, Centri di Ricerca, Aziende, etc.

Relatore alla International NeCS PhD Winter School 2019, Fai della Paganella, 2019.

Altre attività scientifiche

Partecipazione program committee:

- European Symposium on Research in Computer Security (ESORICS 2017)
- IEEE Computer Security Foundations Symposium (IEEE CSF). Anni 2019, 2021
- Italian Conference on Cybersecurity (ITASEC). Anni 2018, 2019, 2020, 2021

Altre attività didattiche

- Corso di dottorato "Advances in Autonomous, Distributed and Pervasive Systems", Università Ca' Foscari, Venezia (anni 2017, 2018, 2019).

NOTA: Il corso compare nel sistema informatico tra i corsi tenuti solo nell'anno 2019/20 ma è stato tenuto anche gli anni precedenti.

Componente di Collegi didattici, Comitati e Commissioni di Dipartimento, Commissioni di Ateneo

- fino al 09/2019: Coordinatore del Dottorato di Ricerca in Informatica dell'Università Ca' Foscari, Venezia

Attività e incarichi esterni

10Sec è uno spin-off dell'Università Ca 'Foscari co-fondato da Riccardo Focardi, assieme a Francesco Palmarini e Flaminia Luccio, nel gennaio 2020. 10Sec commercializza soluzioni per sistemi IoT sicuri. In particolare, lo spin-off propone meccanismi all'avanguardia per proteggere l'IP del dispositivo in termini di estrazione e clonazione del firmware. Le soluzioni proposte si basano su tecniche di offuscamento, Funzioni fisiche non clonabili (PUF) e, più in generale, fingerprinting del dispositivo, in modo che copie identiche di un dispositivo e del suo firmware vengano tracciate e riconosciute dal produttore.