Passa ai contenuti principali

Post

Visualizzazione dei post da 2012

Ancora sui 36 milioni di euro...

... sottratti dal "bellissimo" malware che opera sui PC ed intercetta i codici di autorizzazione alla transazione inviati via SMS: mi chiedo spesso come facciano i nostri telegiornali a non parlare di queste faccende. 16 delle banche coinvolte sono italiane (40% del totale) 12000 utenti ai quali è stato sottratto del denaro sono italiani (39% del totale) 16.380.000 (sedici milioni e trecentoottantamila) euro che si sono volatilizzati sono di italiani (45% del totale) Siamo primi in tutte le tre classifiche. Germania al secondo posto e Spagna al terzo posto. Fonte: "A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware"  (spiega molto bene ed in modo molto semplice il funzionamento di questo malware).

Trentasei milioni di euro, trentamila utenti, trenta banche (poi dite che sono "fissato"...)

Dal Corriere della Sera , che riporta una notizia del Financial Times : Oltre 36 milioni di euro, sui conti di 30 banche europee. Una cifra da capogiro. Rubata da un gruppo di hacker anche di clienti italiani... questa frode ha sfruttato un ... virus che rimaneva inizialmente dormiente sui PC degli utenti, e da lì si trasferiva sui loro smartphone....avendo infettato entrambi i terminali, poteva registrare i codici di verifica che venivano inviati sui cellulari e utilizzarli per creare una sessione di online banking in parallelo . Con quest'ultima venivano effettuati trasferimenti su altri conti. Neanche due settimane fa ho fatto un post su  queste cose (no, io non c'entro con questa truffa...).

Come creare malware senza sforzo

Basta procurarsi un kit di sviluppo. SophosLabs ha appena pubblicato una descrizione molto carina di un kit di questo genere. Si tratta di Citadel:  " It comes as a kit that includes a malware builder tool and a collection of server-side components "  (servono per controllare i malware distribuiti in giro per il mondo e per raccoglierne i risultati) .  " The builder is used to create the bot malware (an EXE file) that is sent out to spread infection ". Ha anche un  " built-in Customer Relationship Management (CRM) system so that problems are addressed quickly and effectively. ".  Gli sviluppatori del kit sono molto attivi: " Citadel has been through several significant releases, most recently an upgrade to version 1.3.5.1 in October 2012. ". Occorre abbandonare la visione degli attacchi informatici come attività ludica ed estemporanea. Sono una vera e propria professione: per i pochi che sviluppano kit di questo genere, ma soprattutto ...

Furto di "un" numero di carta di credito

Una delle cose che dico da anni, temo da almeno una decina, ahimé, è che preoccuparsi della riservatezza del numero della nostra carta di credito mentre è in transito su Internet ha poco senso. Non perché non sia facile vederlo, ma perché nessun attaccante perderebbe il proprio tempo attendendo di vedere passare un numero di carta di credito quando basta penetrare un server scelto opportunamente per acchiapparne centinaia o migliaia. Proprio in questi giorni hanno scoperto un gruppo di hacker che dalla Romania hanno preso circa mezzo milione di numeri di carta di credito australiane, prelevando in media 1000 $ da trentamila di esse. Ovviamente non si sono messi in attesa di vedere passare i numeri giusti, ma sono entrati in una manciata di "piccoli rivenditori" (che avevano abilitato il Remote Desktop Protocol di Windows ma non lo avevano configurato opportunamente; probabilmente non sapevano neanche di averlo abilitato). http://nakedsecurity.sophos.com/2012/11/30/roma...

What is "research" ?

http://gcn.com/Articles/2007/06/02/Rick-Rashid--Innovation-pipeline.aspx?Page=2&p=1 A lot of times, when people talk about applied research, they're really talking about advanced product development. That's not really research. Research is something you can publish in a peer-reviewed conference or journal. It needs to stand up to the best people in your field. Rick Rashid, Director of Microsoft Research

Malware per fare transazioni bancarie

Talvolta mi capita di affermare che i moderni malware sono in grado di: Installarsi nel browser e rimanere nascosti. Quando l'utente si collega con un sito per il quale il malware è stato preparato (tipicamente un sito di e-banking): Attendere che l'utente si autentichi, eventualmente anche con un marchingegno one-time password, smartcard o cose del genere. Eseguire transazioni non richieste dall'utente, inviando autonomamente messaggi HTTP al sito (ad esempio bonifici verso un conto corrente predefinito di un money launder). Nascondere queste transazioni dagli estratti conto visualizzati dal browser. Esistono numerosi casi emersi alla cronaca di recente ( https://www.evernote.com/pub/bartolialberto/news e poi cercare nella search box 'tag:banking tag:malware'). Quello che probabilmente non è chiaro è quanto sia semplice realizzare il punto 2. Un articolo del 2007 scritto da dei ricercatori di Stanford (nota: cinque anni fa) mostra esempi di codice pe...

What can the attacker do ?

Tutte le volte che parlo di sicurezza dico sempre che il punto di partenza fondamentale è chiedersi cosa può fare l'attaccante e da quali tipologie di attacco ci si vuole difendere (o si ritiene che valga la pena difendersi, o ci si possa permettere di difendersi). Questa stessa considerazione è stata fatta da una persona di altissimo livello nell'analizzare il recentissimo scoop della love (o sex) story tra il capo della CIA ed una sua amante: "Understanding the threat is always the most difficult part of security technology ,” said Matthew Blaze, an associate professor of computer and information science at the University of Pennsylvania and a security and cryptography specialist. “If they believed the threat to be a government with the ability to get their login records from a service provider, not just their spouse, they might have acted differently.” ( link )

Studiare il flow control di TCP (qualche volta) può servire...

Un ex studente mi ha inviato un mail che mi ha fatto molto piacere. Ha risolto un grosso problema pratico grazie al fatto di avere studiato TCP...ci è riuscito anche perché lui è molto in gamba, ma se non avesse saputo come funziona TCP il problema sarebbe stato completamente oscuro... Buondi' Alberto! Non ho mai avuto il tempo di raccontarti un aneddoto del lavoro, accaduto ormai diversi anni fa, dove quanto studiato nel corso "reti di calcolatori" e' stato fondamentale per risolvere un problema. Oggi ti racconto solo il caso, senza la soluzione... Il nostro collegamento internet e', ovviamente, una linea dedicata ad alta velocita' che arriva fino a noi, una serie di routers (alcuni del provider, altri nostri), una serie di passaggi tra firewalls, antivirus, proxy...  Insomma, la piu' tipica delle configurazioni per un uso "professionale". Un bel giorno decidono di sostituire il proxy con una macchina piu' nuova . La macchina vecc...

How to defend against a determined attacker ?

In un post precedente mi riferivo a recenti ricerche che spiegano come mai gli attacchi informatici sono, sostanzialmente, così pochi, nonostante le vulnerabilità software siano tantissime, gli utenti non sappiano nulla di sicurezza etc etc. Le slide di cui parlo in quel post terminano con un dato di fatto fondamentale: Cioè, mettiamoci l'animo in pace, se qualcuno ha motivazioni e risorse sufficienti allora, in pratica, non c'è nulla da fare. Questa notizia recente su una intrusione alla Coca Cola ne è una dimostrazione.

Why Google is Google

In una delle ultime lezioni di Reti di Calcolatori II ho accennato ad uno dei miei temi preferiti (sui quali però non ho voglia di dilungarmi; ormai il pessimismo ha preso il sopravvento): i prodotti della ricerca sono le persone. Non sono algoritmi, idee, prototipi, etc. Sono le persone. Ho fatto l'esempio di Kerberos, per il quali sono occorsi più di dieci anni per passare dalla pubblicazione del protocollo al suo utilizzo su larga scala. Ho poi accennato al fatto che Google non è Google solo perché Page&Brin hanno avuto un'idea brillante e ne hanno mostrato la fattibilità pratica; lo è perché loro si sono trovati in un ambiente con centinaia di persone in grado di padroneggiare lo stato dell'arte della tecnologia e della ricerca. La lettura di questo bellissimo articolo pubblicato su Wired farà capire meglio cosa intendo.

Why isn't everyone hacked every day ?

Alcuni ricercatori Microsoft Research hanno pubblicato lo scorso anno una bellissima ricerca che spiega in modo efficace e convincente un fenomeno molto semplice e misterioso: Le vulnerabilità software sono tantissime ed aumentano di continuo, gli utenti scelgono password pessime, non aggiornano i propri software, non usano antivirus etc etc etc. Allora perché mai le vittime di attacchi informatici sono così poche ? Com'è possibile ? Loro forniscono una spiegazione basata su un modello di carattere economico . Modello che ha delle implicazioni molto importanti e per vari aspetti sorprendenti. Ad esempio, non è vero che l'attaccante deve superare l'anello più debole delle difese: deve superare la somma di tutte le difese esistenti (il che è, appunto, sorprendente; è come dire che quando un ladro entra in un condominio con 12 appartamenti, ognuno con porta blindata, deve superare tutte le porte invece che solo una). Altro esempio: quando un numero elevato di bersagli ...

Chiavi private e firma digitale: davvero private ?

Ci risiamo... Adobe security chief Brad Arkin has warned that hackers have managed to create malicious files with Adobe's digital code-signing signature. According to a blog post published on Thursday, the issue appears to have been the result of hackers compromising a vulnerable build server Adobe plans next week to revoke the certificate for all code signed before July 10, 2012... (più precisamente: butta via la propria chiave privata e chiave pubblica, poi chiede alla propria CA di revocare il certificato che associa Subject=Adobe a quella chiave pubblica) However, even when a CA (Certificate Authority) revokes a certificate for an abused private key, any digital signature made before the revocation date will remain valid. Ogni volta che parlo di queste cose non manco di evidenziare questi problemi.  Vedi anche questo post .

Contenuto nascosto nei siti web e altro...

Due parole su pubblicazioni recenti del nostro lab (non sia mai che a qualcuno venga la voglia di fare una tesi su questi temi). Faccio un pò di cut-and-paste, spero che sia chiaro ed interessante... A Look at Hidden Web Pages in Italian Public Administrations Preventing illegitimate modifications to web sites offering a public service is a fundamental requirement of any e-government initiative. Unfortunately, attacks to web sites resulting in the creation of fraudulent content by hackers are ubiquitous. In this work we attempted to assess the ability of Italian public administrations to be in full control of the respective web sites. We examined several thousands sites , including all local governments and universities, and found that approximately 1.16% of the analyzed sites serves contents that admittedly is not supposed to be there. This result is not very encouraging and somewhat surprising. To place this result in perspective...

Valutazione della didattica

Anche quest'anno è andata bene. La posta interna di ateneo, peraltro, sta diventando sempre meno affidabile. La busta con la valutazione del corso di Reti di Calcolatori mi dicono non sia mai arrivata all'ufficio del nucleo di valutazione...(no, non l'ho buttata via io; non avrei avuto nessun interesse a farlo).

Quanto guadagnano gli hackers ?

Nei mesi scorsi ho tenuto un corso di Sicurezza Informatica in Area di Ricerca . Nelle prime lezioni ho cercato di convincere i partecipanti che ormai gli attacchi informatici sono un vero e proprio business e quindi non devono essere considerati come una attività ludica-o-quasi. A tale scopo ho esposto i risultati di alcuni studi recenti molto interessanti sulla "underground economy" del settore. Si trovano nella mia raccolta bibliografica online , associati ai tag crime oppure webmalware o cose del genere. In una delle ultime lezioni del corso di Reti di Calcolatori ho detto che se qualcuno era interessato all'argomento gli avrei passato le slide corrispondenti. Uno studente me le ha chieste ed io, mea culpa, ho impiegato molte settimane per renderle pubbliche...so che avrei dovuto farlo prima perché adesso sono tutti sotto esami...sorry. Le slide sono queste: Pay-per-install Market Underground IRC (Internet Chat) Market Ho inserito anche alcune slide (legge...

Perché la ricerca è importante

Un blog post (moderatamente interessante) di Robert Graham (personaggio molto interessante) contiene due considerazioni molto interessanti e molto importanti: Perché la ricerca è importante A mio parere quasi tutto ciò che viene scritto e pensato sui giornali, leggi nazionali, regionali etc sul finanziamento alla ricerca è totalmente campato in aria. Chi pensa che dando X ad un ente di ricerca riceverà entro un tempo Y (dell'ordine dei mesi) un prodotto o qualcosa del genere non ha capito nulla (secondo me). La storia, almeno quella dell'informatica, dimostra che non è vero per nulla. Ci sono tantissime dimostrazioni di questo fatto, a volte ne racconto qualcuna a lezione. Dovrei fare un'analisi sistematica e diffonderla ma non ne ho voglia. E poi il mio pessimismo, o forse dovrei dire realismo, mi dice che tanto sarebbe tempo perso. Divagazioni a parte, Robert Graham---uno che ha fatto tante cose di impatto nella tecnologia informatica--esprime questo concett...

Come fare soldi con Internet

Il capitale cresce di 16 (sedici) volte . Ovviamente il metodo è  illegale . Ho letto proprio oggi una ricerca molto interessante sugli aspetti tecnici ed economici della pornografia su Internet. Per inciso, qualche anno fa uno degli autori della ricerca ha ospitato nel proprio laboratorio per qualche mese il peggior calciatore  del nostro laboratorio . La ricerca descrive, oltre a molte altre cose, una tecnica che permette di incassare circa 2600$ a fronte di un investimento di soli 160$. In estrema sintesi il tutto funziona in questo modo. Si mette su un sito web, ad un URL U. Si contatta un traffic broker specializzato in pornografia. In pratica, si paga il broker per inviarci richieste HTTP. Il traffic broker è un sito web specializzato nell'attrarre traffico di utenti interessati alla pornografia. Pagando il broker ed indicandogli un nostro URL U, il broker garantisce di inviarci utenti all'url U da noi indicato.  Quando un utente contatta il broker, quest...

Revoca di certificati e update di sistema

L'update di Windows di stamani contiene una revoca di certificati ( "update to the certificate revocation list" ). Questo update è anche necessario al fine di "keep your systems certificate list up to date" . Questa frasetta in apparenza innocua ("vabbé, uno dei soliti aggiornamenti") nasconde in realtà qualcosa di molto delicato ed importante. L'update infatti serve a rimuovere dal TrustSet alcuni Issuer Microsoft (!). Ripeto: serve a rimuovere dal TrustSet alcuni Issuer Microsoft. Spero sia chiaro a tutti cosa significhi. L'update riferisce un articolo della Knowledge Base Microsoft identificato con KB2718704. Cercando questo identificatore su Google si trova un security advisory emesso da Microsoft proprio ieri: Microsoft is aware of active attacks using unauthorized digital certificates derived from a Microsoft Certificate Authority. An unauthorized certificate could be used to spoof content, perform phishing attacks, or perf...

Sfera di cristallo (e verbalizzazione online)

Mi è accaduto più volte di descrivere un rischio in una lezione di sicurezza informatica e poi, pochi giorni dopo, vedere una notizia che dimostra la concretizzazione proprio di quel rischio. In questi giorni ho corretto gli esami del corso che ho tenuto al " Master in gestione della privacy e del rischio ICT nella pubblica amministrazione ". L'esame consisteva di una elaborazione sul tema "Verbalizzazione online degli esami universitari". Tra le osservazioni collettive che ho fatto c'erano queste: ... 3) Quasi nessuno ha dimostrato di essere consapevole delle potenziali conseguenze di malware, virus e cose del genere (solo per dirne una, la possibilità di verbalizzare esami all'insaputa del docente; magari verbalizzandone uno o due in più proprio quando il docente sta verbalizzando una sessione d'esame).  Anche in questo caso valuto negativamente il mio operato: non essere riuscito a trasmettere la nozione basilare che il pc può fare ciò c...

Concorso di poesia

La scorsa settimana ho partecipato alla 22-esima edizione di un concorso di poesia. Mi sono classificato secondo. Il tema di quest'anno era "la responsabilità". Segue il mio componimento... Democrazia Et voilà, ecco qua, chi l’avrebbe mai detto, salta fuori un altro furbetto, solo perché è stato eletto, gli par normale farsi un bel tesoretto Anche i suoi amici ed i suoi figli brillanti, rimborsi e regali, diplomi e diamanti, paghette mensili euro cinquemila per incassare facevan la fila Degna sequela di un altro cammeo di quella casetta al Colosseo “non so proprio come l’abbia avuta, certamente comprata a mia insaputa” Certo, certo, anche gli altri, lo so bene, tutti assai scaltri si urlano insulti di tutti i colori poi tutti insieme ad intascare i valori Pensioni, prebende e rimborsi a milioni regalati da noi, come tanti "oioni", a noi ogni giorno togliete qualcosa, ma per voi la vita non è mai faticosa Dovreste mostrare responsabilità ma pensate solo alla...

Ma chissene degli hacker...

Consiglio caldissimamente la lettura a chiunque abbia a che fare anche solo lontanamente con la sicurezza informatica, anche da un punto di vista non tecnico. Every Major US Company Already Compromised by Chinese Hackers, Says Former Official   "Every major company in the United States has already been penetrated by China." That's the claim being made by  Richard A. Clarke , the former top US government counterterrorism official at the White House, in  a long interview about cyber security  (or lack thereof) in the April issue of Smithsonian magazine. Nortel Penetrated by Hackers Since at Least 2000 There is a long but fascinating  story  about hacking in today's  Wall Street Journal  that should send a cold chill into every corporate board room. It concerns the infiltration of  Nortel Networks'  computer systems by suspected Chinese-based hackers since at least the year 2000. According to the WSJ, the hack...

Su quale sito sono "collegato" ?

E' ben noto, come sottolineo spesso a "Reti di Calcolatori I", che: una pagina web è composta da molti documenti; questi documenti possono essere prelevati da molti host; gli host spesso non hanno nulla a che vedere con il sito dal quale si sta prelevando la pagina. L'immagine seguente mostra questo fenomeno in modo interessante. Il server DNS del nostro lab ogni tanto "perde" le richieste (ne stiamo installando uno nuovo) il che, ogni tanto, impedisce il prelievo di qualche documento web. Quando ciò succede, Chrome visualizza un avviso nello spazio in cui avrebbe dovuto visualizzare il documento (clickare per ingrandire e vedi colonna di destra): uno crede di contattare solo www.corriere.it  ma in realtà contatta anche rcspfm.simply.com . Questo meccanismo è utilizzato per molti motivi leciti, ad esempio la delega della gestione delle pubblicità, del conteggio delle visite etc. E' utilizzato anche per motivi meno leciti, quali la diffusione d...

Ridere o Piangere ?

Obama Administration Unveils $200M Big Data R&D Initiative The Obama Administration this morning unveiled details about its Big Data R&D Initiative, committing more than $200 million in new funding through six agencies and departments to improve “our ability to extract knowledge and insights from large and complex collections of digital data.” The effort, spearheaded by the White House Office of Science and Technology Policy (OSTP) and National Science Foundation [...] Il finanziamento dello stato italiano per i progetti di ricerca in TUTTI i settori dell'ingegneria industriale e dell'informazione (meccanica, civile, elettrica, etc etc etc) per l'anno 2012 è di circa $25M (cosiddetti programmi "PRIN", per l'esattezza 19.125.369 euro). Poi si sente tanta gente blaterare di innovazione... (" big data " sono le applicazioni di machine learning, data mining e simili, le cose di cui ci occupiamo nel nostro lab )

Vulnerabilità software (lezione Reti di Calcolatori I)

Video dimostrativo visto in classe: Tutorial: Find and Exploit a Vulnerability (Nessus and Python) http://www.youtube.com/watch?v=e38ho-rk6Es   This video shows how to use the Nessus vulnerability scanner to scan for a vulnerability, then exploit the flaw using a Python script I wrote as that uses the vulnerability "DD-WRT HTTP Daemon Metacharacter Injection Remote Code Execution" for a Proof-of-Concept DoS (denial of service) attack. The script uses the vulnerability to force the router to reboot, in essence creating DoS for all users who rely on the router for network access. The vulnerability itself is a flaw which allows any attacker who is connected to the router to run a command of his choosing using " /cgi-bin/;[command] " appended to the URL. The attacker can also use this vulnerability to force the router to spawn a remote shell on a port of his choosing, then connect to it using a client such as Putty. Free root access. It's pretty bad. Vuln...

Onore alla ciurma

Ieri sera abbiamo ricevuto la notifica di accettazione di un nostro lavoro su Genetic Programming ad un importante congresso scientifico internazional e ( Automatic Generation of Regular Expressions from Examples with Genetic Programming, ACM Genetic and Evolutionary Computation Conference 2012 ). E' un risultato che mi rende "orgoglioso" per motivi che mi sembra opportuno rendere pubblici. Il lavoro è il risultato di TUTTI i componenti del laboratorio: Andrea, Enrico, Eric, Giorgio, Marco (ordine alfabetico). E' la prima volta che mi succede. Ognuno ha contribuito in base alle proprie competenze specifiche. Credo che la mancanza anche di uno solo dei componenti non ci avrebbe permesso di raggiungere questo risultato (i contributi non sono stati quantitativamente uniformi, ma ciò è irrilevante da questo punto di vista). L'idea iniziale non è venuta da me. Per molto tempo, inoltre, sono stato molto scettico sulla rilevanza del problema e sulla possibilità di o...

Cloud Storage

Da un pò di tempo uso molto i servizi di cloud storage (directory locali sincronizzate automaticamente su di un sito web). Hanno per me moltissimi vantaggi, tra i quali quelli che descrivo qui: http://procone.blogspot.com/2011/01/due-trucchettiniforse-interessano.html Se qualcuno decidesse di provarli, gli consiglio  di provare Sugar Sync. Per me è decisamente il migliore di tutti. Se poi lo prova seguendo questo link, c'è un vantaggio sia per me sia per chi prova (entrambi abbiamo 500 MB in più rispetto alla dotazione standard) https://www.sugarsync.com/ referral?rf=kbmrokr2bjix&utm_ source=txemail&utm_medium= email&utm_campaign=referral

Esami o provette ?

Percentuale di promossi alle provette di Reti di Calcolatori Circa la metà di quelli che si presentano alla prima provetta supera l'esame con le due provette. Percentuale di promossi alle provette di Reti di Calcolatori II Circa i tre quarti di quelli che si presentano alla provetta (ma si presentano molti di meno che a Reti I). Meglio esami o provette ? La percentuale di promossi agli appelli ufficiali è molto più bassa rispetto alla percentuale di promossi alle provette I dati in realtà non sono omogenei: i risultati per le provette sono quelle di Reti I, quelli per gli appelli ufficiali comprendono tutti gli insegnamenti. La sostanza però è evidente. Perché voglio che gli studenti si iscrivano per tempo agli esami ? Basta notare: il numero assoluto (varie centinaia ogni anno) la quantità di colori diversi Inoltre, i 5 colori di ogni barra---che sono già molti---sono in realtà il raggruppamento di molte altre varianti che richiedono ...

Frode nella registrazione degli esami

Come dico sempre, l'elemento principale è la motivazione dell'attaccante; se la motivazione è adeguata, allora si può fare (quasi) tutto. Speriamo bene... Palermo: Le accuse a loro carico sono accesso abusivo a sistema informatico, frode informatica e falsità ideologica in atto pubblico.... I due dipendenti, infatti, avevano accesso al sistema informatico Gedas in dotazione all'Ateneo per la registrazione degli esami sostenuti dagli studenti. Dal confronto incrociato tra la documentazione cartacea...e quella informatica, infatti, è emersa la divergenza dei dati registrati...In tutto sono 200 i casi di falsi esami accertati e numerose sono le persone indagate....casi sono stati riscontrati anche ...Ingegneria. Falsi esami all'università di Palermo, 3 arresti

Ipotesi 1: "le chiavi private sono davvero private"

Chiunque abbia seguito uno dei miei corsi sulle applicazioni pratiche della crittografia a chiave pubblica ha: sentito ripetere fino alla nausea che tutte si basano su tre ipotesi, che se le ipotesi non sono verificate allora non c'è nessuna garanzia, che soddisfare una ipotesi può essere difficile o meno ma è sempre un atto di fede etc etc etc. certamente pensato: "Bartoli è un pò fissato con queste cose". Rivest, la "R" di RSA ed uno dei tre inventori della crittografia a chiave pubblica, ha sottolineato di recente più o meno le stesse cose con le quali martello gli studenti da anni: Rivest, a professor at MIT and one of the inventors of the RSA algorithm, said that keeping the corresponding secret keys secret can be just as hard. The assumption that secret keys could be kept private is one of the underlying principles of public-key cryptography, and if it can't be done properly, then the cryptosystems that rely on it can fail. "The assumptio...

Intrusioni in Verisign (!)

Notizia Reuters VeriSign Inc, the company in charge of delivering people safely to more than half the world's websites, has been hacked repeatedly by outsiders who stole undisclosed information from the leading Internet infrastructure company. Commento di Bruce Schneier :  The problem for all of us, naturally, is if the certificate system was hacked, allowing the bad guys to forge certificates. (This has, of course,  happened   before .) Are we finally ready to accept that the certificate system is completely broken?

Vulnerabilità nelle implementazioni di RSA (?)

UPDATE: le conseguenze ci sono, ma sono meno gravi di quanto pensavano... ( http://www.theregister.co.uk/2012/02/21/rsa_crypto_analysis/ ) Fino a qualche anno fa, nel corso di Reti I spiegavo qualche cenno di RSA, il sistema di crittografia a chiave pubblica usato "ovunque", per Internet banking, firma digitale etc. Da quando ho cercato di alleggerire un pò il corso non lo faccio più. Qui si trovano le slide che facevo. Il sistema è strutturato in questo modo : per generare una coppia chiave privata - chiave pubblica si genera una coppia di numeri primi random e molto grandi; questa coppia è nota solo al possessore della chiave privata; la chiave pubblica è il prodotto di questi numeri. In parole poverissime, la sicurezza del marchingegno si basa sul fatto che 1) dato un numero molto grande che sia il prodotto di due numeri primi, trovare questi numeri primi è computazionalmente "exceedingly expensive"; e 2) i numeri primi sono generati in modo sufficientemente ...