Passa ai contenuti principali

Post

Visualizzazione dei post da settembre, 2012

Chiavi private e firma digitale: davvero private ?

Ci risiamo... Adobe security chief Brad Arkin has warned that hackers have managed to create malicious files with Adobe's digital code-signing signature. According to a blog post published on Thursday, the issue appears to have been the result of hackers compromising a vulnerable build server Adobe plans next week to revoke the certificate for all code signed before July 10, 2012... (più precisamente: butta via la propria chiave privata e chiave pubblica, poi chiede alla propria CA di revocare il certificato che associa Subject=Adobe a quella chiave pubblica) However, even when a CA (Certificate Authority) revokes a certificate for an abused private key, any digital signature made before the revocation date will remain valid. Ogni volta che parlo di queste cose non manco di evidenziare questi problemi.  Vedi anche questo post .

Contenuto nascosto nei siti web e altro...

Due parole su pubblicazioni recenti del nostro lab (non sia mai che a qualcuno venga la voglia di fare una tesi su questi temi). Faccio un pò di cut-and-paste, spero che sia chiaro ed interessante... A Look at Hidden Web Pages in Italian Public Administrations Preventing illegitimate modifications to web sites offering a public service is a fundamental requirement of any e-government initiative. Unfortunately, attacks to web sites resulting in the creation of fraudulent content by hackers are ubiquitous. In this work we attempted to assess the ability of Italian public administrations to be in full control of the respective web sites. We examined several thousands sites , including all local governments and universities, and found that approximately 1.16% of the analyzed sites serves contents that admittedly is not supposed to be there. This result is not very encouraging and somewhat surprising. To place this result in perspective...

Valutazione della didattica

Anche quest'anno è andata bene. La posta interna di ateneo, peraltro, sta diventando sempre meno affidabile. La busta con la valutazione del corso di Reti di Calcolatori mi dicono non sia mai arrivata all'ufficio del nucleo di valutazione...(no, non l'ho buttata via io; non avrei avuto nessun interesse a farlo).

Quanto guadagnano gli hackers ?

Nei mesi scorsi ho tenuto un corso di Sicurezza Informatica in Area di Ricerca . Nelle prime lezioni ho cercato di convincere i partecipanti che ormai gli attacchi informatici sono un vero e proprio business e quindi non devono essere considerati come una attività ludica-o-quasi. A tale scopo ho esposto i risultati di alcuni studi recenti molto interessanti sulla "underground economy" del settore. Si trovano nella mia raccolta bibliografica online , associati ai tag crime oppure webmalware o cose del genere. In una delle ultime lezioni del corso di Reti di Calcolatori ho detto che se qualcuno era interessato all'argomento gli avrei passato le slide corrispondenti. Uno studente me le ha chieste ed io, mea culpa, ho impiegato molte settimane per renderle pubbliche...so che avrei dovuto farlo prima perché adesso sono tutti sotto esami...sorry. Le slide sono queste: Pay-per-install Market Underground IRC (Internet Chat) Market Ho inserito anche alcune slide (legge...