lunedì 22 ottobre 2012

Why Google is Google

In una delle ultime lezioni di Reti di Calcolatori II ho accennato ad uno dei miei temi preferiti (sui quali però non ho voglia di dilungarmi; ormai il pessimismo ha preso il sopravvento): i prodotti della ricerca sono le persone. Non sono algoritmi, idee, prototipi, etc. Sono le persone.

Ho fatto l'esempio di Kerberos, per il quali sono occorsi più di dieci anni per passare dalla pubblicazione del protocollo al suo utilizzo su larga scala. Ho poi accennato al fatto che Google non è Google solo perché Page&Brin hanno avuto un'idea brillante e ne hanno mostrato la fattibilità pratica; lo è perché loro si sono trovati in un ambiente con centinaia di persone in grado di padroneggiare lo stato dell'arte della tecnologia e della ricerca.

La lettura di questo bellissimo articolo pubblicato su Wired farà capire meglio cosa intendo.

mercoledì 17 ottobre 2012

Why isn't everyone hacked every day ?

Alcuni ricercatori Microsoft Research hanno pubblicato lo scorso anno una bellissima ricerca che spiega in modo efficace e convincente un fenomeno molto semplice e misterioso:

  • Le vulnerabilità software sono tantissime ed aumentano di continuo, gli utenti scelgono password pessime, non aggiornano i propri software, non usano antivirus etc etc etc.
  • Allora perché mai le vittime di attacchi informatici sono così poche ? Com'è possibile ?
Loro forniscono una spiegazione basata su un modello di carattere economico. Modello che ha delle implicazioni molto importanti e per vari aspetti sorprendenti. Ad esempio, non è vero che l'attaccante deve superare l'anello più debole delle difese: deve superare la somma di tutte le difese esistenti (il che è, appunto, sorprendente; è come dire che quando un ladro entra in un condominio con 12 appartamenti, ognuno con porta blindata, deve superare tutte le porte invece che solo una). Altro esempio: quando un numero elevato di bersagli si difende in modo adeguato il beneficio è di tutti i bersagli, anche di quelli che non si difendono. Pertanto un bersaglio può anche decidere di non difendersi, tanto si difendono gli altri anche per lui. Tra l'altro, questo punto mi ha suggerito una analogia interessante con il pagamento delle tasse in Italia...

Ho preparato delle slide (circa 60) al fine di trattare questi argomenti a Reti II. Non sono leggere ma sono, a mio parere, di fondamentale importanza per comprendere la dinamica delle problematiche di sicurezza informatica odierne. In particolare, per comprendere le radicali differenze tra attacchi indiscriminati su larga scala ed attacchi mirati su un particolare bersaglio.

E' stata una faticaccia. La faccenda in apparenza è relativamente semplice, in realtà è complicata. Inoltre, ho inserito nelle slide l'analisi degli attacchi mirati (non presente nel lavoro citato) effettuata con lo stesso formalismo, terminologia ed impostazione degli attacchi indiscriminati su larga scala.

Ancora non mi è chiaro se, nonostante tutta questa fatica, ne parlerò a Reti II già quest'anno. Il programma è già pesante e non so se conviene tagliare qualcosa. Quest'anno deciderò sul momento, l'anno prossimo ne parlerò certamente, eventualmente tagliando altri argomenti.

Se qualcuno fosse interessato a vedere queste slide mi invii un mail.