giovedì 29 marzo 2012

Ridere o Piangere ?



The Obama Administration this morning unveiled details about its Big Data R&D Initiative, committing more than $200 million in new funding through six agencies and departments to improve “our ability to extract knowledge and insights from large and complex collections of digital data.” The effort, spearheaded by the White House Office of Science and Technology Policy (OSTP) and National Science Foundation [...]

Il finanziamento dello stato italiano per i progetti di ricerca in TUTTI i settori dell'ingegneria industriale e dell'informazione (meccanica, civile, elettrica, etc etc etc) per l'anno 2012 è di circa $25M (cosiddetti programmi "PRIN", per l'esattezza 19.125.369 euro).

Poi si sente tanta gente blaterare di innovazione...

("big data" sono le applicazioni di machine learning, data mining e simili, le cose di cui ci occupiamo nel nostro lab)

mercoledì 21 marzo 2012

Vulnerabilità software (lezione Reti di Calcolatori I)

Video dimostrativo visto in classe:

Tutorial: Find and Exploit a Vulnerability (Nessus and Python)

This video shows how to use the Nessus vulnerability scanner to scan for a vulnerability, then exploit the flaw using a Python script I wrote as that uses the vulnerability "DD-WRT HTTP Daemon Metacharacter Injection Remote Code Execution" for a Proof-of-Concept DoS (denial of service) attack. The script uses the vulnerability to force the router to reboot, in essence creating DoS for all users who rely on the router for network access.

The vulnerability itself is a flaw which allows any attacker who is connected to the router to run a command of his choosing using "/cgi-bin/;[command]" appended to the URL. The attacker can also use this vulnerability to force the router to spawn a remote shell on a port of his choosing, then connect to it using a client such as Putty. Free root access. It's pretty bad.

Vulnerabilità del router:

Produttore del router:


mercoledì 14 marzo 2012

Onore alla ciurma

Ieri sera abbiamo ricevuto la notifica di accettazione di un nostro lavoro su Genetic Programming ad un importante congresso scientifico internazionale (Automatic Generation of Regular Expressions from Examples with Genetic Programming, ACM Genetic and Evolutionary Computation Conference 2012).
E' un risultato che mi rende "orgoglioso" per motivi che mi sembra opportuno rendere pubblici.

  1. Il lavoro è il risultato di TUTTI i componenti del laboratorio: Andrea, Enrico, Eric, Giorgio, Marco (ordine alfabetico). E' la prima volta che mi succede. Ognuno ha contribuito in base alle proprie competenze specifiche. Credo che la mancanza anche di uno solo dei componenti non ci avrebbe permesso di raggiungere questo risultato (i contributi non sono stati quantitativamente uniformi, ma ciò è irrilevante da questo punto di vista).
  2. L'idea iniziale non è venuta da me. Per molto tempo, inoltre, sono stato molto scettico sulla rilevanza del problema e sulla possibilità di ottenere soluzioni praticamente applicabili e scientificamente rilevanti. Non è la prima volta che mi succede: era già accaduto un paio di volte (se non vado errato), ma sempre per congressi di livello meno elevato di questo.
Sono quindi molto soddisfatto.
Per chi fosse interessato, questo è l'abstract:

We propose a system based on genetic programming (GP) for the automatic generation of regular expressions. The user describes the desired task by providing a set of labeled examples, in the form of text lines. The system uses these examples for driving the evolutionary search for a regular expression suitable for the specified task. The result may be used with common engines such as those that are part of Java, PHP, Perl and so on. Usage of the system requires neither familiarity with GP nor with regular expressions syntax. In our GP implementation each individual represents a syntactically correct regular expression and the fitness consists of a linear combination of two objectives to be minimized: the edit distance between each detected string and the corresponding examples, the size of the individual.  We performed an extensive experimental evaluation on 10 different extraction tasks applied to real-world datasets. We obtained very good results in terms of precision and recall, even in comparison to earlier state-of-the-art proposals.



e questa è una tabella con le regular expressions generate per vari problemi (generate con Genetic Programming, cioè in modo completamente automatico a partire da molte regular expressions generate in modo del tutto casuale).



giovedì 8 marzo 2012

Cloud Storage


Da un pò di tempo uso molto i servizi di cloud storage (directory locali sincronizzate automaticamente su di un sito web).

Hanno per me moltissimi vantaggi, tra i quali quelli che descrivo qui:
Se qualcuno decidesse di provarli, gli consiglio di provare Sugar Sync. Per me è decisamente il migliore di tutti.

Se poi lo prova seguendo questo link, c'è un vantaggio sia per me sia per chi prova (entrambi abbiamo 500 MB in più rispetto alla dotazione standard)

https://www.sugarsync.com/referral?rf=kbmrokr2bjix&utm_source=txemail&utm_medium=email&utm_campaign=referral

venerdì 2 marzo 2012

Esami o provette ?

Percentuale di promossi alle provette di Reti di Calcolatori
  • Circa la metà di quelli che si presentano alla prima provetta supera l'esame con le due provette.


Percentuale di promossi alle provette di Reti di Calcolatori II
  • Circa i tre quarti di quelli che si presentano alla provetta (ma si presentano molti di meno che a Reti I).
Meglio esami o provette ?
  • La percentuale di promossi agli appelli ufficiali è molto più bassa rispetto alla percentuale di promossi alle provette
I dati in realtà non sono omogenei: i risultati per le provette sono quelle di Reti I, quelli per gli appelli ufficiali comprendono tutti gli insegnamenti. La sostanza però è evidente.

Perché voglio che gli studenti si iscrivano per tempo agli esami ?

Basta notare:

  • il numero assoluto (varie centinaia ogni anno)
  • la quantità di colori diversi

Inoltre, i 5 colori di ogni barra---che sono già molti---sono in realtà il raggruppamento di molte altre varianti che richiedono esami diversi: Reti di Calcolatori da 3 cfu, 6 cfu, 9 cfu; Complementi di Reti di Calcolatori e Reti di Calcolatori II; Fondamenti di Informatica I e Fondamenti di Informatica II.

Gestire questa situazione è molto complicato.




Frode nella registrazione degli esami


Come dico sempre, l'elemento principale è la motivazione dell'attaccante; se la motivazione è adeguata, allora si può fare (quasi) tutto.

Speriamo bene...

Palermo:
Le accuse a loro carico sono accesso abusivo a sistema informatico, frode informatica e falsità ideologica in atto pubblico.... I due dipendenti, infatti, avevano accesso al sistema informatico Gedas in dotazione all'Ateneo per la registrazione degli esami sostenuti dagli studenti. Dal confronto incrociato tra la documentazione cartacea...e quella informatica, infatti, è emersa la divergenza dei dati registrati...In tutto sono 200 i casi di falsi esami accertati e numerose sono le persone indagate....casi sono stati riscontrati anche ...Ingegneria.

giovedì 1 marzo 2012

Ipotesi 1: "le chiavi private sono davvero private"

Chiunque abbia seguito uno dei miei corsi sulle applicazioni pratiche della crittografia a chiave pubblica ha:
  1. sentito ripetere fino alla nausea che tutte si basano su tre ipotesi, che se le ipotesi non sono verificate allora non c'è nessuna garanzia, che soddisfare una ipotesi può essere difficile o meno ma è sempre un atto di fede etc etc etc.
  2. certamente pensato: "Bartoli è un pò fissato con queste cose".
Rivest, la "R" di RSA ed uno dei tre inventori della crittografia a chiave pubblica, ha sottolineato di recente più o meno le stesse cose con le quali martello gli studenti da anni:
Rivest, a professor at MIT and one of the inventors of the RSA algorithm, said that keeping the corresponding secret keys secret can be just as hard. The assumption that secret keys could be kept private is one of the underlying principles of public-key cryptography, and if it can't be done properly, then the cryptosystems that rely on it can fail.
"The assumption that people can keep their secrety keys safe is one of those assumptions that I think we need to go back and examine more carefully," Rivest said. "In fact, it's been shown to be a bad assumption in many ways. We can't keep keys safe."
(notizia completa qui)
Sottolineo questo solo per dire che se sono così fissato un motivo c'è.

Tra l'altro, Rivest parla anche di un aspetto di cui ho iniziato a parlare anch'io, ma non con l'enfasi e l'importanza che merita: dobbiamo chiederci cosa fare se le cose vanno male; occorre cioè partire dal presupposto che le cose possono andare male (invece di dare per scontato che se vanno male è proprio un evento singolare e sfortunato).