Alberto Bartoli - Blog

Tratto da un articolo che descrive il funzionamento della tecnologia di rilevazione dei phishing websites sviluppata ed utilizzata quotidianamente da Google: Gartner estimates that phishers stole $1.7 billion in 2008, and the Anti-Phishing Working Group identified roughly twenty thousand unique new phishing sites each month between July and December of 2008 Articolo: Large-Scale Automatic Classification of Phishing Pages . NDSS 17-th Annual Network and Distributed System Security Symposium (2010).

Un articolo leggero ma ben fatto: In 1998, a hacker told Congress that he could bring down the Internet in 30 minutes by exploiting a certain flaw that sometimes caused online outages by misdirecting data. In 2003, the Bush administration concluded that fixing this flaw was in the nation's "vital interest." Fast forward to 2010, and very little has happened to improve the situation. The flaw still causes outages every year. Molto interessante perché la faccenda è una conseguenza diretta di alcuni aspetti fondamentali di Internet: routing dinamico, sistema aperto, assenza di autorità centrale unica, assenza di meccanismi di autenticazione. Just how fragile is the internet? http://skunkpost.com/news.sp?newsId=2327

Durante il corso abbiamo parlato (brevemente) di questo tema molto importante. Un attacco può essere tecnicamente fattibile; ciò però non implica che prima o poi arriverà un attaccante con risorse e motivazioni adeguate per eseguire proprio quell'attacco. Difendersi da ogni possibile attacco è troppo costoso. Ergo, nella pratica occorre determinare gli attacchi possibili e decidere quali solo gli attacchi dai quali ci si vuole difendere. Occorre poi incrociare le dita e sperare che gli attacchi possibili dai quali abbiamo deciso di non difenderci non si verifichino. Nessuno può garantire che la decisione sia corretta. La decisione deve essere fatta in termini di costi e benefici. L'analisi è complicata per molti motivi, tra i quali il fatto che alcuni aspetti sono difficilmente quantificabili (come quantifico gli effetti di un verbale online falsificato ?) ed altri aspetti sono solo potenziali (quanto mi costerebbe un attacco da cui ho scelto di non difendermi se si verificasse...

Una delle mie fissazioni è quella bellissima frase di Roger Needham : "se qualcuno dice che un problema è risolto facilmente dalla critttografia, dimostra che non ha capito il problema" . (per inciso: difficile spiegare in modo sintetico la rilevanza scientifica di Needham; basta forse un aneddoto: era professore all'Università di Cambridge; Microsoft voleva assumerlo in Microsoft Research, che all'epoca aveva solo una sede negli Stati Uniti; lui non voleva andarsene da Cambridge; Microsoft Research decise allora di creare una sede fuori dagli Stati Uniti, appunto a Cambridge) In questi giorni ho letto un paper che fornisce un ulteriore esempio di questa verità manifesta: Deploying Cryptography in Internet-Scale Systems: A Case Study on DNSSEC. IEEE Transactions on Dependable and Secure Computing http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=5444890&tag=1> (disponibile nella rete di ateneo) DNSSEC è una cosa potenzialmente meravigliosa: The goal of D...

Tra pochissimo metterò i risultati in bacheca al DEEI. Info e spiegazioni: Il voto proposto può essere registrato senza orale, in uno degli appelli ufficiali. Chi lo desidera può fare l'orale. In tal caso il voto finale potrà aumentare, rimanere immutato, diminuire. Ad alcuni ho scritto "orale suggerito". Ciò significa che, secondo me, è probabile che facendo l'orale il voto finale aumenti. Ovviamente, non posso garantirlo. Tutti quelli ai quali ho proposto un voto devono confermarmi per email se: accettano il voto, senza orale; desiderano fare l'orale (in uno degli appelli ufficiali). Assenza di conferma entro 7-10 giorni equivale a provetta non sostenuta. Chi desidera visionare la propria provetta venga nel mio ufficio, previo appuntamento email. I "ritirati" e gli "insufficienti" possono partecipare ad al più due dei 3 appelli previsti per giugno e luglio. Alcuni commenti: Errore di quasi nessun conto: nello scenario B alcuni hanno fornito l...