FOCARDI Riccardo

Qualifica: Professore Ordinario

Telefono: 041 234 8438

E-mail: focardi@unive.it

SSD: INFORMATICA [INF/01]

Sito web: www.unive.it/persone/focardi (scheda personale)
http://www.dsi.unive.it/~focardi

Struttura: Dipartimento di Scienze Ambientali, Informatica e Statistica
Sito web struttura: https://www.unive.it/dais
Sede: Campus scientifico via Torino (edificio Alfa)
Stanza: studio Z.B07 (edificio Zeta B)

Dati relazione

Periodo di riferimento	01/09/2017 - 01/09/2020
Afferenza	Dipartimento di Scienze Ambientali, Informatica e Statistica
Ruolo	Professori ordinari

Attività didattica

A.A.	Insegnamento	Codice	Voto	Voto medio area
2017/2018	SECURITY	CM0475	3.6	3.2
2017/2018	SISTEMI OPERATIVI	CT0125	3.5	3.2
2018/2019	SECURITY	CM0475	3.4	3.2
2018/2019	SISTEMI OPERATIVI	CT0125	3.3	3.2
2019/2020	ADVANCES IN AUTONOMOUS, DISTRIBUTED AND PERVASIVE SYSTEMS	PHD136
2019/2020	SECURITY	CM0475	9.3	7.9
2019/2020	SICUREZZA	CT0539	8.8	7.9
2019/2020	SISTEMI OPERATIVI	CT0125	8.4	7.9

Tesi

Anno solare	Tipologia	Tesi Relatore
2017	Corso di laurea	2
2017	Corso di laurea magistrale	1
2018	Corso di dottorato	1
2018	Corso di laurea	2
2018	Corso di laurea magistrale	4
2019	Corso di dottorato	2
2019	Corso di laurea	2
2019	Corso di laurea magistrale	3

Finanziamenti

ADAPT: Accessible Data for Accessible Proto-types in Social Sector
ADditive Manifacturing and INdustry 4.0 as innovation Driver (ADMIN4D)
Client-side Security Enforcement for Mobile and Web Applications
EUTYPES - 2016
FilieraSicura: security of national infrastructures
Formal Specification for Secured Software System
Sistema domotico IoT integrato ad elevata sicurezza informatica per smart building

Ricerche sviluppate e in corso

Analisi di Protocolli Crittografici
Crittografia
Security APIs
Sicurezza Web
Sicurezza delle reti
Sicurezza di smartcard e dispositivi RFID

Pubblicazioni realizzate nel triennio

Calzavara S.; Conti M.; Focardi R.; Rabitti A.; Tolomei G. (2020), Machine Learning for Web Vulnerability Detection: The Case of Cross-Site Request Forgery in IEEE SECURITY & PRIVACY, vol. 18, pp. 8-16 (ISSN 1540-7993) (Articolo su rivista)
Calzavara S.; Focardi R.; Rabitti A.; Soligo L. (2020), A hard lesson: Assessing the HTTPS deployment of Italian university websites , CEUR Workshop Proceedings in CEUR WORKSHOP PROCEEDINGS, CEUR-WS, vol. 2597, pp. 93-104, Convegno: 4th Italian Conference on Cyber Security, ITASEC 2020, 2020 (ISSN 1613-0073) (Articolo in Atti di convegno)
Riccardo Focardi; Flaminia Luccio (2020), Automated Analysis of PUF-based Protocols , Proceedings of the 33rd IEEE Computer Security Foundations Symposium, IEEE, pp. 304-317, Convegno: 33rd IEEE Computer Security Foundations Symposium, June 22-25, 2020 (Articolo in Atti di convegno)
Calzavara S.; Focardi R.; Grimm N.; Maffei M.; Tempesta M. (2020), Language-Based Web Session Integrity , Proceedings - IEEE Computer Security Foundations Symposium in PROCEEDINGS IEEE COMPUTER SECURITY FOUNDATIONS SYMPOSIUM, IEEE Computer Society, vol. 2020-, pp. 107-122, Convegno: 33rd IEEE Computer Security Foundations Symposium, CSF 2020, 2020 (ISBN 978-1-7281-6572-1) (ISSN 1940-1434) (Articolo in Atti di convegno)
Das, Shantanu; Focardi, Riccardo; Luccio, Flaminia L.*; Markou, Euripides; Squarcina, Marco (2019), Gathering of robots in a ring with mobile faults in THEORETICAL COMPUTER SCIENCE, vol. 764, pp. 42-60 (ISSN 0304-3975) (Articolo su rivista)
Claudio Bozzato, Riccardo Focardi, Francesco Palmarini (2019), Shaping the Glitch: Optimizing Voltage Fault Injection Attacks in IACR TRANSACTIONS ON CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS, vol. 2019, pp. 199-224 (ISSN 2569-2925) (Articolo su rivista)
Focardi R.; Luccio F.L.; Wahsheh H.A.M. (2019), Usable security for QR code in JOURNAL OF INFORMATION SECURITY AND APPLICATIONS, vol. 48 (ISSN 2214-2126) (Articolo su rivista)
Stefano Calzavara; Mauro Conti; Riccardo Focardi; Alvise Rabitti; Gabriele Tolomei (2019), Mitch: A machine learning approach to the black-box detection of CSRF vulnerabilities , Proceedings - 2019 IEEE European Symposium on Security and Privacy, Institute of Electrical and Electronics Engineers Inc., pp. 528-543, Convegno: 4th IEEE European Symposium on Security and Privacy (Articolo in Atti di convegno)
Stefano Calzavara; Riccardo Focardi; Matus Nemec; Alvise Rabitti; Marco Squarcina (2019), Postcards from the post-HTTP world: Amplification of HTTPS vulnerabilities in the web ecosystem , Proceedings - 2019 IEEE Symposium on Security and Privacy, Institute of Electrical and Electronics Engineers Inc., vol. 1, pp. 948-965, Convegno: 40th IEEE Symposium on Security and Privacy (Articolo in Atti di convegno)
Bodei, Chiara; Degano, Pierpaolo; Focardi, Riccardo; Galletta, Letterio; Tempesta, Mauro; Veronese, Lorenzo (2018), Firewall management with FireWall synthesizer , CEUR Workshop Proceedings, CEUR-WS, vol. 2058, pp. 1-7, Convegno: 2nd Italian Conference on Cyber Security, ITASEC 2018, 2018 (Articolo in Atti di convegno)
Chiara Bodei, Pierpaolo Degano, Letterio Galletta, Riccardo Focardi, Mauro Tempesta, Lorenzo Veronese (2018), Language-Independent Synthesis of Firewall Policies , Proceedings of 3rd IEEE European Symposium on Security and Privacy, IEEE Press, pp. 92-106, Convegno: IEEE Euro S&P (ISBN 978-153864227-6) (Articolo in Atti di convegno)
R. Focardi, F. Palmarini, G. Steel, M. Squarcina, M. Tempesta (2018), Mind Your Keys? A Security Evaluation of Java Keystores , Proceedings of the Network and Distributed System Security Symposium, The Internet Society, pp. 1-15, Convegno: NDSS 2018 (Articolo in Atti di convegno)
Riccardo Focardi ; Flaminia Luccio (2018), Neural-Cryptanalysis of Classical Ciphers , Proceedings of the 19th Italian Conference on Theoretical Computer Science (ICTCS 2018), CEUR, pp. 104-115, Convegno: 19th Italian Conference on Theoretical Computer Science (ICTCS 2018), 18-20 September 2018 (Articolo in Atti di convegno)
Chiara Bodei, Pierpaolo Degano, Riccardo Focardi, Letterio Galletta, Mauro Tempesta (2018), Transcompiling Firewalls , Proceedings of 7th International Conference on Principles of Security and Trust in LECTURE NOTES IN COMPUTER SCIENCE, Springer, pp. 303-324, Convegno: POST 2018 (ISBN 978-331989721-9) (ISSN 0302-9743) (Articolo in Atti di convegno)
Focardi, Riccardo; Luccio, Flaminia; Wahsheh, Heider (2018), Usable Cryptographic QR Codes , Proceedings of the IEEE International Conference on Industrial Technology (ICIT - IEEE 2018), IEEE, pp. 1664-1669, Convegno: IEEE International Conference on Industrial Technology (IEEE - ICIT 2018), February 20-22, 2018 (ISBN 978-1-5090-5948-5) (Articolo in Atti di convegno)
Stefano Calzavara, Riccardo Focardi, Matteo Maffei, Clara Schneidewind, Marco Squarcina, Mauro Tempesta (2018), WPSE: Fortifying Web Protocols via Browser-Side Security Monitoring , Proceedings of the 27th USENIX Security Symposium, USENIX Association, pp. 1493-1510, Convegno: USENIX Security (ISBN 978-1-931971-46-1) (Articolo in Atti di convegno)
Calzavara S.; Focardi R.; Squarcina M.; Tempesta M. (2018), Surviving the Web: A Journey into Web Session Security , The Web Conference 2018 - Companion of the World Wide Web Conference, WWW 2018, Association for Computing Machinery, Inc, pp. 451-455, Convegno: 27th International World Wide Web, WWW 2018, 2018 (ISBN 9781450356404) (Abstract in Atti di convegno)
Focardi, Riccardo; Luccio, Flaminia; Wahsheh, Heider (2017), Security Threats and Solutions for Two-Dimensional Barcodes: A Comparative Study in Kevin Daimi, Computer and Network Security Essentials, Springer, pp. 207-219 (ISBN 978-3-319-58424-9) (Articolo su libro)

Partecipazione come referee di progetti di ricerca nazionali ed internazionali

È membro del Scientific Advisory Board Internazionale dello Strategic CyberSecurity Research Program in Flanders (https://cybersecurity-research.be/). Review con cadenza annuale.

Partecipazione a comitati editoriali di riviste/collane scientifiche

Journal of Computer Security (JCS) - IOS Press - member of the Editorial Board (fino al 2019)

Descrizione dell'attività di ricerca svolta nel triennio e gli obiettivi futuri

La ricerca in questo periodo si è focalizzata sui seguenti temi:

# Crittografia applicata

Abbiamo continuato la rierca su crittografia aaplicata. In un recente lavoro presentato a NDSS'18 abbiamo trovato vulnerabilità critiche nei keystore Java che hanno portato a tre CVE di Oracle:

- CVE-2018-2794, Oracle Java, punteggio base CVSS 3.0 7.7 (HIGH)
- CVE-2017-10356, Oracle Java, punteggio di base CVSS 3.0 6.2 (MEDIO)
- CVE-2017-10345, Oracle Java, punteggio base CVSS 3.0 3.1 (BASSO)

Inoltre, il nostro lavoro sull'analisi della sicurezza TLS "in the wild" è stato presentato a IEEE S&P 2019 (il più importante convegno di sicurezza informatica mondiale) ed è apparso anche su wired (https://www.wired.com/story/https-isnt-always-as-secure-as-it-seems/).

Abbiamo infine studiato la sicurezza di QR code in termini di qualità della crittografia utilizzata al loro interno. Un limite dei QR code è la loro dimensione che impedisce di utilizzare tecniche crittografiche con chiavi particolarmente grandi (es. RSA). I risultati sono stati presentati a IEEE ICIT 2018 e sono apparsi sul Journal of Information Security and Applications (2019).

# Sicurezza di rete

Mignis è uno strumento basato sulla semantica per la configurazione del firewall. Permette semplici specifiche dichiarative del firewall che vengono compilate in regole reali di Netfilter (iptables). Un teorema garantisce che la traduzione preserva la semantica. I nostri recenti risultati sull'analisi dei firewall sono stati presentati in venue internazionali, tra cui IEEE Euro S&P 2018.

# Sicurezza dei sistemi embedded

L'iniezione di anomalie di tensione è un attacco potente di tipo side-channel che modifica il flusso di esecuzione di un dispositivo creando disturbi sulla linea di alimentazione. Abbiamo proposto una nuova tecnica di iniezione di anomalie di tensione che genera forme d'onda arbitrarie utilizzando apparecchiature standard a basso costo. Per mostrare l'efficacia della nostra tecnica, abbiamo presentato nuovi attacchi di estrazione del firmware inediti su sei microcontrollori di tre principali produttori: STMicroelectronics, Texas Instruments e Renesas Electronics. I risultati sono stati pubblicati in IACR TCHES 2019.

Abbiamo inoltre analizzato la sicurezza di protocolli basati su Physical Unclonable Functions (PUFs), funzioni il cui risultato dipende dalle caratteristiche fisiche del silicio che permettono di ottenere un'impronta unica per ogni dispositivo embedded. L'analisi è stata effettuata tramite tool di verifica automatica e i risultati sono stati presentati a IEEE CSF 2020.

Abbiamo infine studiato algoritmi per robot autonomi in modelli che prevedono un agente malevolo "mobile", in grado di spostarsi assieme ai robot ed intenzionato a impedirne il successo. Il lavoro è stato pubblicato su Theoretical Computer Science (2019).

# Sicurezza Web

Abbiamo introdotto un modello formale per l'integrità delle sessioni Web. Il modello permette di individuare a livello del linguaggio di programmazione, possibili attacchi che permettono di corrompere una sessione Web introducendo contenuto o comandi manomessi. Il lavoro è stato presentato a IEEE CSF 2020.

# Obiettivi futuri

Intendiamo continuare l'attività di ricerca sulle tematiche elencate sopra investigando i seguenti temi:

1. Nuove tecniche per la sicurezza delle password in termini di resistenza ad attacchi per forza bruta;

2. Estensione delle tecniche su firewall per la gestione automatica di intervalli multi-dimensionali (IP sorgente/destinazione, porte, etc.) e utilizzo di linguaggi di specifica basati sul livello di sicurezza delle aree da proteggere;

3. Studio di tecniche avanzate di estrazione di firmware basate sul consumo di corrente e analisi di trade-off memoria/spazio per la crittanalisi che permettano di precomputare e utilizzare in modo efficace tabelle di decifratura;

4. Analisi automatica delle configurazioni di Hardware Security Modules (HSMs) reali;

5. Sperimentazione e analisi di Physical Unclonable Functions (PUFs) su Field Programmable Gate Array (FPGA);

6. Studio di tecniche per il reverse-engineering semi-automatico di protocolli crittografici nei dispositivi embedded.

Altri prodotti scientifici

Dal 2016 al 2019 è stato direttore del IFIP Working Group 1.7 Theoretical Foundations of Security Analysis and Design

Relazioni invitate presso convegni o workshops

- Automated Analysis of PUF-based Protocols. Presentato al 33rd IEEE Computer Security Foundations Symposium (IEEE CSF)

- Neural-Cryptanalysis of Classical Ciphers. Presentato alla 19th Italian Conference on Theoretical Computer Science (ICTCS 2018)

Seminari su invito tenuti presso altre Università, Centri di Ricerca, Aziende, etc.

Relatore alla International NeCS PhD Winter School 2019, Fai della Paganella, 2019.

Altre attività scientifiche

Partecipazione program committee:

- European Symposium on Research in Computer Security (ESORICS 2017)
- IEEE Computer Security Foundations Symposium (IEEE CSF). Anni 2019, 2021
- Italian Conference on Cybersecurity (ITASEC). Anni 2018, 2019, 2020, 2021

Altre attività didattiche

- Corso di dottorato "Advances in Autonomous, Distributed and Pervasive Systems", Università Ca' Foscari, Venezia (anni 2017, 2018, 2019).

NOTA: Il corso compare nel sistema informatico tra i corsi tenuti solo nell'anno 2019/20 ma è stato tenuto anche gli anni precedenti.

Componente di Collegi didattici, Comitati e Commissioni di Dipartimento, Commissioni di Ateneo

- fino al 09/2019: Coordinatore del Dottorato di Ricerca in Informatica dell'Università Ca' Foscari, Venezia

Attività e incarichi esterni

10Sec è uno spin-off dell'Università Ca 'Foscari co-fondato da Riccardo Focardi, assieme a Francesco Palmarini e Flaminia Luccio, nel gennaio 2020. 10Sec commercializza soluzioni per sistemi IoT sicuri. In particolare, lo spin-off propone meccanismi all'avanguardia per proteggere l'IP del dispositivo in termini di estrazione e clonazione del firmware. Le soluzioni proposte si basano su tecniche di offuscamento, Funzioni fisiche non clonabili (PUF) e, più in generale, fingerprinting del dispositivo, in modo che copie identiche di un dispositivo e del suo firmware vengano tracciate e riconosciute dal produttore.

Tiplogia	Nome	Fornitore (Dominio)	Descrizione	Durata	Informativa
Necessario	_ga	Google (unive.it)	Registra un ID univoco utilizzato per generare dati statistici su come il visitatore utilizza il sito internet.	2 anni	Informativa
Necessario	_gid	Google (unive.it)	Questi cookie permettono di monitorare e analizzare i dati di traffico e servono a tener traccia del comportamento dell'Utente, al fine di migliorare l'esperienza utente.	1 giorno	Informativa
Necessario	_gat[*]	Google (unive.it)	Utilizzato da Google Analytics per limitare la frequenza delle richieste	1 giorno	Informativa
Necessario	_shibsession[], _shibsstate[]	Unive.it (www.unive.it)	Mantiene i dati di sessione del SingleSignOn	Sessione	Informativa
Necessario	PHPSESSID	Unive.it (www.unive.it)	Identificatore univoco dell'utente per gli applicativi del sito	Sessione	Informativa
Necessario	_Secure-3PSIDCC	Google (google.com)	consentono di contare le visite e le fonti di traffico in modo da poter misurare e migliorare le prestazioni del Sito. Aiutano a sapere quali sono le pagine più e meno popolari e vedere come i visitatori si muovono all'interno del Sito. Con questi cookie non vengono raccolte informazioni sull'identità dell'utente, né alcun dato personale. Le informazioni sono trattate in forma aggregata e anonima.	1 anno	Informativa
Necessario	SIDCC	Google (google.com)	Cookie di sicurezza usato per proteggere i dati degli utenti da accessi non autorizzati	1 anno	Informativa
Necessario	__Secure-3PAPISID	Google (google.com)	consentono di contare le visite e le fonti di traffico in modo da poter misurare e migliorare le prestazioni del Sito. Aiutano a sapere quali sono le pagine più e meno popolari e vedere come i visitatori si muovono all'interno del Sito. Con questi cookie non vengono raccolte informazioni sull'identità dell'utente, né alcun dato personale. Le informazioni sono trattate in forma aggregata e anonima.	2 anni	Informativa
Necessario	SSID	Google (google.com)	Cookie utilizzati per raccogliere informazioni sull’utilizzo del sito da parte dei visitatori ogni volta che vengono visitate pagine web contenenti servizi di Google	2 anni	Informativa
Necessario	__Secure-3PSID	Google (google.com)	consentono di contare le visite e le fonti di traffico in modo da poter misurare e migliorare le prestazioni del Sito. Aiutano a sapere quali sono le pagine più e meno popolari e vedere come i visitatori si muovono all'interno del Sito. Con questi cookie non vengono raccolte informazioni sull'identità dell'utente, né alcun dato personale. Le informazioni sono trattate in forma aggregata e anonima.	2 anni	Informativa
Necessario	SID; HSID	Google (google.com)	Cookie usati per autenticare gli utenti, contribuendo ad assicurare che soltanto l'effettivo proprietario di un account possa accedervi. I cookie chiamati "SID" e "HSID" contengono record con firma digitale e criptati relativi all'ID dell'Account Google di un utente e alla sua data di accesso più recente. La combinazione di questi cookie ci permette di bloccare molti tipi di attacchi, ad esempio i tentativi di carpire i contenuti dei moduli inviati nei servizi Google.	2 anni	Informativa
Necessario	SAPISID	Google (google.com)	Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google	2 anni	Informativa
Necessario	APISID	Google (google.com)	Memorizza le preferenze e le informazioni dell’utente ogni volta che visita pagine web contenenti servizi di Google	2 anni	Informativa
Necessario	cookie[*]	Unive.it (www.unive.it)	Memorizza le preferenze dell'utente sui cookie	1 mese	Informativa
Necessario	cookie	idp.unive.it	Memorizza le preferenze dell'utente sui cookie	1 mese	Informativa
Necessario	_idp[*]	Unive.it (idp.unive.it)	Gestione autenticazione e SingleSignOn	sessione	Informativa
Necessario	fe_typo_user	Unive.it (www.unive.it)	Identificatore univoco dell'utente per l'area riservata del sito	sessione	Informativa
Necessario	g_UA_45500906_8	Google (unive.it)	Cookie utilizzati per raccogliere informazioni sull’utilizzo del sito da parte dei visitatori ogni volta che vengono visitate pagine web contenenti servizi di Google	sessione	Informativa
Necessario	JSESSIONID	Unive.it (www.unive.it)	Utilizzato per creare le sessioni in area riservata	sessione	Informativa
Necessario	ADMCMD_prev	Unive.it (www.unive.it)	Utilizzato per la gestione degli accessi al cms typo3	sessione	Informativa
Necessario	socialpix	Unive.it (www.unive.it)	servono a registrare le preferenze sui cookies	1 mese	Informativa
Necessario	unive.it	Unive.it (www.unive.it)	servono a registrare le preferenze sui cookies	1 mese	Informativa
Necessario	noiframe	Unive.it (www.unive.it)	servono a registrare le preferenze sui cookies	1 mese	Informativa
Google - Youtube	__Secure-1PAPISID	Google (google.com)	Utilizzato per finalità di targeting per costruire un profilo degli interessi dei visitatori del sito web al fine di mostrare pubblicità Google pertinente e personalizzata.	1 mese	Informativa
Google - Youtube	CONSENT	Google (google.com)	Utilizzato da google per memorizzare le preferene dell'utente	17 anni	Informativa
Google - Youtube	NID	Google (google.com)	Utilizzato da google per memorizzare le preferene dell'utente	6 mesi	Informativa
Facebook - Pixel	_fbp	Facebook Pixel (facebook.com)	Pubblicità, suggerimenti, dati statistici e misurazione	3 mesi	Informativa