Alberto Bartoli - Blog

Quando parlo di crittografia a Reti di Calcolatori I descrivo in modo intuitivo ed informale un requisito di base di ogni algoritmo: la conoscenza del testo cifrato non deve fornire nessuna informazione sul corrispondente testo in chiaro o sulla chiave utilizzata. La macchina cifrante Enigma non aveva questa proprietà. Anche per questo motivo gli Alleati hanno vinto la seconda guerra mondiale. Ed anche per questo motivo, i padri ed i nonni di alcuni di noi sono andati incontro ad una tragedia terribile, la battaglia navale di Capo Matapan . Immaginate di essere a bordo di una nave militare in tempo di guerra, in mezzo alle acque gelide del Mar Mediterraneo. Su di una nave impossibilitata a muoversi. Di notte e al buio. Immaginate poi di attendere per ore i soccorsi, senza sapere se arriveranno prima i soccorsi o il nemico. Immaginate poi di sentire arrivare un convoglio navale e di vedere la vostra nave che lancia un razzo di segnalazione pensando che siano i soccorsi. Immaginate p...

Nell' ultimo post  e nelle ultime lezioni di Reti II abbiamo parlato del problema della mutua autenticazione tra "dispositivi" generici, diversi da PC o smartphone, in WiFi. Nei prossimi anni vedremo certamente moltissimi esempi di dispositivi, anche in ambito domestico, da collegare via WiFi al proprio access point: cardiofrequenzimetri, frigoriferi, macchine fotografiche, ripetitori WiFi, game console, elettrodomestici vari... Il problema di fondo consiste nell'inserire una forma di password in un dispositivo che non ha una tastiera o che non è stato concepito per inserirvi del testo. Come discusso nell'ultimo post, esiste uno standard per risolvere questo problema in modo semplice: si preme un bottone sul dispositivo ed un bottone sull'access point (ovviamente predisposti per questo standard); i due dispositivi si autenticano mutuamente per sempre. Questo procedimento assume che al momento in cui si preme il bottone non ci siano dispositivi " m...

Anche oggi, come nell' ultimo post di qualche settimana fa, dopo la lezione di Reti di Calcolatori II ho trovato una notizia proprio sull'argomento della lezione: autenticazione su reti Wi-Fi e, in particolare, come indovinare la password tramite dictionary attack offline: A new, free, open-source tool called Reaver exploits a security hole in wireless routers and can crack most routers' current passwords with relative ease. Here's how to crack a WPA or WPA2 password, step by step, with Reaver—and how to protect your network against Reaver attacks. http://lifehacker.com/5873407/how-to-crack-a-wi+fi-networks-wpa-password-with-reaver Il tool non opera come abbiamo ipotizzato a lezione---osservando il traffico di challenge e response tra access point e nodi che si autenticano---ed utilizza invece una componente di WPA che non abbiamo visto per stimolare l'access point a generare traffico. In questo modo il tool riesce ad avere a disposizione una quantità ...

Proprio nella lezione di oggi, a Reti di Calcolatori II, abbiamo parlato di ipotesi sugli attacchi ("threat model"), credenziali che viaggiano in chiaro, errori software ed altre amenità del genere. Appena tornato in ufficio ho letto questa notizia sul "Corriere della Sera", esattamente ciò di cui abbiamo parlato pochi minuti fa: Truccare il registro? Se è elettronico si può Il software scelto da 1.300 scuole ha una falla: le credenziali dei prof viaggiano in chiaro, gli studenti possono rubarle http://www.corriere.it/scuola/13_ottobre_07/truccare-registro-elettronico-software-ministero-falla-658b2454-2f5a-11e3-bfe9-e2443a6320c1.shtml Questa descrizione, peraltro, è discutibile: quando si parla di "falla" di solito si intende che la soluzione ad un certo problema è stata realizzata in modo imperfetto. I progettisti si sono preoccupati del problema, hanno individuato e realizzato delle soluzioni, ma hanno lasciato qualche scenario non prev...

Sono usciti i risultati della valutazione della didattica per lo scorso anno 2012/2013. I risultati non sono consultabili facilmente in quanto l'applicativo web ha una interfaccia pessima. Le domande secondo me più importanti sono D7, D8 e D15: "Docente stimola e motiva interesse ?", "Spiega in modo chiaro ?", "Soddisfatto del corso ?". Nelle valutazioni aggregate per corso di studio il corso di laurea magistrale in Ingegneria Informatica è stato il migliore di tutti i corsi del Dipartimento per D8 e D15  ed è ai vertici tra i corsi dell'intero ateneo ( dettagli ). La mia valutazione personale è stata ottima, come gli anni scorsi. Sono molto contento di questo risultato e ringrazio gli studenti che sono stati così "benevolenti" nei miei confronti. Reti di Calcolatori II  10/10 di media, quindi tutti gli studenti hanno fornito una valutazione massima (anche in D4 e D5): Programmazione Distribuita 10/10 in D8 e D15, 9.33 i...

Venerdi scorso si è tenuta la cosiddetta " Notte Europea dei Ricercatori (NEAR) " simultaneamente in varie città europee, tra le quali Trieste. Il Machine Learning Lab ha partecipato con uno stand in cui veniva mostrato un applicativo web, sviluppato da Eric Medvet , in grado di indovinare l'età della persona seduta di fronte al calcolatore. L'applicativo, pur essendo strutturato sotto forma "scherzosa e di gioco", incorporava tecnologie ed algoritmi all'avanguardia. Lo stand ha riscosso notevole successo ed interesse di pubblico. Desidero ringraziare pubblicamente Eric Medvet ed Andrea De Lorenzo per il loro impegno ed entusiasmo. Desidero anche sottolineare che io non ho alcun merito in questa attività, dal momento che non ho fatto nulla di nulla: non ho partecipato all'implementazione dell'applicativo, non li ho incoraggiati...non sono neanche riuscito a passare dallo stand. Nulla di nulla, solo ed esclusivamente merito loro. L'unica...

E' stata effettuata recentemente una valutazione della qualità della ricerca di tutti gli atenei italiani. Ogni docente ha dovuto selezionare 3 prodotti recenti (chi è docente da pochi anni solo 1). Una commissione centrale ha valutato ognuno di questi prodotti secondo la scala seguente: Erano possibili anche valutazioni negative, in caso di plagio o di prodotti mancanti. La valutazione dei miei prodotti è stata la seguente. Per inciso, l'area dell'Ingegneria Industriale e dell'Informazione non ha avuto un risultato lusinghiero. Il motivo principale consiste nel fatto che l'aggregazione dei risultati aveva lo scopo di penalizzare la presenza di ricercatori poco produttivi. Nella valutazione precedente, di pochi anni fa, la nostra area era stata classificata al primo posto a livello nazionale. In quel caso l'aggregazione era fatta in modo completamente diverso e la presenza di ricercatori poco produttivi era sostanzialmente ininfluente.

Fino a qualche anno fa ogni testo o corso di Reti di Calcolatori iniziava immancabilmente con la descrizione del cosiddetto " modello ISO/OSI ". Per molti, molti anni chiunque avesse a che fare con il networking si trovava a che fare con la cosiddetta "pila dei 7 livelli ISO/OSI": Oggi del modello OSI non se ne parla più, giustamente. Quando ho iniziato a tenere il corso di Reti ne ho parlato anch'io molto brevemente, se non ricordo male solo per le prime due edizioni. Poi ho smesso completamente di farlo---e devo dire di sentirmi orgoglioso per avere smesso di trattarlo così presto. Un recente articolo su IEEE Spectrum racconta la storia del modello OSI in modo molto ameno e leggibile (" The Internet that wasn't ", accessibile solo dalla rete di ateneo). Io sono, diciamo così, passato attraverso tutte le fasi del modello. Quando ero uno studente dell'ultimo anno di Ingegneria Elettronica (1988/89) il modello OSI ci veniva present...

E' appena uscita una notizia secondo me importantissima ma che, ancora secondo me, passerà del tutto inosservata. Hacking attacks present a bigger risk to the operation of UK banks than problems caused by the ongoing eurozone crisis, according to a senior Bank of England director. Andrew Haldane, the Bank of England's director of financial stability, told parliament's Treasury Select Committee that representatives of Britain's top banks are telling him that cyber attacks have become their biggest threat over recent months. Rileggere lentamente, un paio di volte. Impossibile esprimerlo in modo più chiaro e più diretto. Fonte:  http://www.theregister.co.uk/2013/06/13/hackers_biggest_banking_threat/

Lasciatemi dire che è una piccola soddisfazione...nonché un altro esempio di  sfera di cristallo . Pochi giorni fa  hanno accettato un nostro lavoro ad una importante conferenza internazionale di sicurezza informatica: we developed a methodology for detecting fraudulent pages within trusted sites , that is, pages created by attackers within web sites of trusted organizations and placed at URLs at which no page is supposed (by the administrators of those sites) to exist.  ... The problem is highly relevant for many reasons, including: HTTPS does not provide any defense in this respect (the fraudulent pages are hosted on sites that, from HTTPS point of view, are authenticated and with content integrity); Pochi minuti fa, un grande Internet provider inglese, probabilmente il più grande provider al mondo, ha pubblicato un  blog post  in cui informa che sul sito della Polizia della Malesia è in corso un attacco di phishing  proprio del genere indica...

Nella lezione di ieri abbiamo descritto HTTPS, il protocollo utilizzato comunemente per accedere a servizi autenticati (GMail, Facebook, banche, acquisti on line, etc). Abbiamo evidenziato che di norma il web server espone il form nel quale inserire le credenziali attraverso HTTPS. Ciò sembra inutile, in quanto non c'è nessun vantaggio nell'imporre che la richiesta di prelievo del form e lo stesso form viaggino con garanzia di riservatezza. La riservatezza è necessaria solo per la richiesta inviata subito dopo avere prelevato il form, cioè per la richiesta che contiene le credenziali. Questa slide sintetizza il motivo per il quale prelevare il form su HTTPS sembra inutile ma non lo è: Secondo molti esperti, nel 2011 il governo della Tunisia ha forzato tutti gli Internet provider del paese a modificare i form esposti su HTTP dai servizi "importanti" (GMail, Facebook etc). Nelle pagine contenenti i form venivano aggiunte, durante il transito dal server al browser,...

Un esempio semplice ed istruttivo. Prima: Utente che: ha una versione non aggiornata di Adobe Acrobat, oppure Adobe Reader, oppure Java visita  http://www.federalnewsradio.com  oppure  http://www.wtop.com/   Dopo: Utente ha in esecuzione un nuovo programma, senza saperlo ; Questo programma, che può fare tutto ciò che può fare l'utente ,  riceve comandi da un attaccante esterno. Prima di procedere nella lettura leggere e rileggere questi due punti in modo da comprenderne le implicazioni (tragedia !!!) Spiegazione: Federal News Radio 1500 AM and FederalNewsRadio.com comprise the key source of breaking news, information and analysis for the individuals responsible for carrying out and supporting the missions of federal agencies . Federal News Radio addresses federal agency managers, policy makers and contractors. ... We cover both the federal government and those who do business with the government concentrating on management, defense...

Crittografia quantica, un passo avanti significativo Ricercatori dell'agenzia spaziale tedesca aprono la strada per una rete mondiale di comunicazioni satellitari supersicure. ...La  crittografia quantistica  è una specie di santo Graal per i crittografi, in quanto dovrebbe permettere di rendere inattaccabili le comunicazioni. Essa permetterebbe infatti ai due soggetti della comunicazioni di rendersi immediatamente conto di un eventuale intruso... ( link ) Premessa: Non sono un esperto di crittografia. Tutto ciò che so della notizia indicata qui sopra è contenuto nella notizia stessa (anche se ho letto varie riflessioni, in passato, sulla crittografia quantistica e cose di questo genere) Tutto quanto segue è implicitamente preceduto da "secondo me". E' bene rendersi conto che cose di questo genere in pratica servono a molto poco. Se un ladro desidera entrare in un appartamento al piano terra che ha pareti spesse due metri e porte superblindate, ma ha ...

In una recente lezione di Reti abbiamo detto che alla frontiera di ogni organizzazione c'è un firewall che analizza tutto il traffico entrante ed uscente. Abbiamo anche detto che: I firewall moderni sono del tipo "tutto proibito"; ad ogni pacchetto sono applicate le regole specificate dall'amministratore; se il pacchetto non soddisfa nessuna di queste regole, allora il pacchetto è buttato via; le regole cioè specificano il traffico permesso . In precedenza i firewall erano del tipo "tutto permesso": le regole specificano gli attacchi , invece del traffico lecito; se il pacchetto soddisfa una regola allora è buttato via. L'approccio "tutto proibito" è più difficile da configurare ma è preferibile a "tutto permesso", in quanto per usare "tutto permesso" è necessario 1) conoscere tutti gli attacchi; 2) aggiornare rapidissimamente le regole per rilevare gli attacchi, in quanto questi cambiano di continuo. Un modo indire...

sono un suo studente del corso di Reti I e la crittografia mi ha sempre affascinato. Credo che sia un mondo parecchio vasto e purtroppo in rete si trovano un sacco di informazioni sparse.  Visto che oggi a lezione abbiamo ne abbiamo accennato vorrei chiederle se può consigliarmi dei testi, oppure uno in particolare, di riferimento sul quale iniziare a studiare (o approfondire) questi aspetti.  Per iniziare ad approfondire, questo è un ottimo testo disponibile online (molto interessante ma secondo me non scritto in modo "scorrevole"): Security Engineering — The Book L'autore è Ross Anderson, dell'Università di Cambridge. E' una persona che certamente le banche di mezzo mondo vorrebbero rinchiudere da qualche parte buttando via la chiave. Non perché sia un ladro, ma perché è quello che ha dimostrato che: Le truffe via Bancomat esistono veramente---prima le banche ne negavano l'esistenza, dicendo "hai scritto il PIN su un foglietto e te l...

Io stimo più il trovar un vero, benché di cosa leggiera, che 'l disputar lungamente delle massime questioni senza conseguir verità nissuna. Galileo Galilei (altre "WordsOfWisdom":  http://reti-inginf-units.blogspot.it/search/label/WordsOfWisdom )

Questo è uno degli attacchi più belli e più istruttivi degli ultimi anni: Stealthy, malware-spewing server attack not limited to Apache someone is replacing legitimate web server software with binaries containing the Cdorked backdoor, but exactly how they're doing it remains a mystery. In parole poverissime, il codice sorgente di alcuni tra i web server più diffusi è stato modificato in modo fraudolento; adesso contiene del codice che: effettua, in modo nascosto, redirection verso siti che tentano di iniettare malware; è controllabile , in modo nascosto, da remoto; Questo attacco è "bello" perché nessuno ha ancora capito come faccia l'attaccante a modificare il codice del web server, e perché il funzionamento del codice fraudolento incorpora numerose tecniche per renderne complicata la rilevazione. Sono elencate nell'articolo: solo alcuni utenti subiscono la redirection, secondo un pattern "inexplicable"; un utente che è stato rediretto p...

Questo è complicato da leggere ma ne vale la pena (per aggiornarsi). IBM takes a big new step in cryptography: practical homomorphic encryption In breve, i servizi di cloud storage (come Dropbox, Box, Google Drive, Microsoft Skydrive etc etc etc) memorizzano i dati degli utenti "in chiaro", cioè senza crittarli. Ciò è un problema enorme per molte categorie di utenti ed organizzazioni. Dati potenzialmente sensibili, o comunque rilevanti per l'organizzazione, diventano accessibili al provider del servizio e soprattutto possono diventare accessibili se un attaccante riesce a "bucare" il servizio. In altre parole, la difesa principale nei confronti del furto dei dati (crittare i dati) non può essere applicata nei servizi di cloud. In linea di principio l'utente potrebbe crittare i propri file con una chiave nota solo a lui, e poi potrebbe memorizzare sul cloud i dati crittati. In questo modo però il servizio di cloud non potrebbe effettuare nessuna operazio...

La notizia riportata qui sotto descrive in modo interessante un dato di fatto ben noto: Il vero problema non è prendere il controllo di un conto corrente; il problema è riuscire a spostare i soldi senza generare trasferimenti anomali. Da un altro punto di vista: il vero problema non è superare le difese tecnologiche dell'Internet Banking; il problema è superare i controlli tradizionali, effettuati in background e a posteriori. Il che dice molto sulla vera natura delle tecnologie moderne per la sicurezza informatica. Organized hackers in Ukraine and Russia stole more than $1 million from a public hospital in Washington state earlier this month. roughly $133,000 of the lost funds have been recovered so far,.... ...the attack occurred on Apr. 19, and moved an estimated $1.03 million out of the hospital’s payroll account into 96 different bank accounts,...  ..."Take the $9,180 just deposited into his account and send nearly equal parts via Western Union and ...

Da oggi non sono più il presidente del corso di studi in Ingegneria Informatica. Ho ricoperto questo ruolo ininterrottamente dal 2001, solo per spirito di servizio (= ne avrei fatto molto, ma molto volentieri a meno). Adesso sono stato obbligato alle dimissioni. Una delle infinite norme ministeriali sull'ordinamento universitario impone a chi ha ricoperto questo ruolo per due mandati (sei anni complessivi) di essere "squalificato a vita". Questa norma era sempre stata interpretata in modo molto soft---eufemismo per dire "all'italiana"---ma adesso è diventata cogente per tutta una serie di motivi che è inutile riassumere. Il nuovo coordinatore è Eric Medvet. Eric è una persona che non solo ha grandi capacità ma è anche piena di entusiasmo. Spero che le immersioni nei moduli, norme, leggi, decreti, tabelle, convalide, transitori, piani di studio, etc etc etc non gli tolgano questo entusiasmo. Per gli studenti questo cambio di coordinatore non avrà alcu...

La visualizzazione di ogni singola "pagina web" non è il risultato del prelievo di un documento HTML ed una manciata di file JPG. E' il risultato del prelievo di molti documenti da più server, e dell' elaborazione nel browser di molti programmi Javascript prelevati da più server. In un post di un pò di tempo fa ho anche riportato statistiche molto interessanti calcolate da Google: in media, la visualizzazione di una pagina richiede il prelievo di più di 40 documenti da 7 server diversi. Ho trovato un servizio web molto interessante per evidenziare questo fenomeno. Si tratta di urlquery.net . E' stato sviluppato per fare analisi relative al malware diffuso via web, ma è molto interessante anche per capire com'è realizzata una pagina "vera". Gli ho chiesto di analizzare www.gazzetta.it . Dopo qualche decina di secondi ha fornito un report molto dettagliato, con alcuni aspetti di non facile interpretazione ma molto istruttivo: Eseguiti 194 (...

Qualche giorno fa uno studente mi ha inviato un mail chiedendomi chiarimenti su una notizia comparsa su Wired.it:  L'attacco a Spamhaus che sta rallentando Internet  Un'offensiva senza precedenti che potrebbe mettere in ginocchio tutta la rete. Nei giorni successivi tutti i siti della zona inginf.units.it sono diventati irraggiungibili (problema risolto pochi minuti fa). Il secondo fenomeno è stato una conseguenza del primo. Cerco di spiegare brevemente la faccenda in questo post. Se qualcuno avesse dubbi o curiosità mi chieda a lezione. Premessa: l'articolo su Wired.it secondo me è incomprensibile dal punto di vista tecnico. Non si capisce minimamente cosa sia successo. Per capire cosa sia successo, consiglio questo articolo: Massive DDoS attack against anti-spam provider impacts millions of internet users In brevissimo: Una organizzazione A ha deciso di lanciare un attacco "Distributed Denial of Service" nei confronti di una organizzazione B. Denial ...

Nelle lezioni di Reti di Calcolatori ho insistito molto, per la prima volta, sul fatto che clickare su di un link può essere sufficiente per prendere un virus. Da ciò discende, tra le altre cose, che prima di clickare su link contenuti in email ricevuti è bene pensarci molto, ma molto, ma molto bene. E se possibile è meglio evitare di farlo. Non avevo mai insistito su questo punto perché mi sembrava ovvio, ma ho cominciato a pensare che sia meglio dirlo esplicitamente. Ne abbiamo parlato pochi giorni fa. Proprio oggi la Polizia Slovena ha arrestato 5 persone coinvolte in una truffa basata proprio su meccanismi di questo genere e che ha coinvolto trasferimento di denaro su conti bancari per circa due milioni di euro (forse questa tempistica vi sembra sospetta...comunque no, non sono coinvolto...). Alcune frasi di questa notizia riportano esattamente quanto ho detto:  ... shows how damaging clicking on links that appear in spoofed messages can be... When in doubt, don't click....

Research often pays off in unanticipated ways – we can’t predict what the biggest impact will be. Ed Lazowska PS Ogni tanto a lezione accenno al fatto che i mezzi di informazione descrivono la ricerca in modo completamente fuorviante. Uno dei motivi è proprio questo evidenziato da Lazowska. Un altro è evidenziato dallo stesso Lazowska al link indicato, subito prima di questa frase. Gli esempi nella storia dell'informatica sono moltissimi.

"Internet voting is harder than almost any other kind of activity on the internet including banking – and the only reason we can do banking and other activity online is because of cross-checks and the willingness to accept a level of fraud that’s not possible with voting" Jeremy Epstein

Il funzionamento del Web dietro le quinte---a livello HTTP---è cambiato molto negli ultimi anni. Una delle componenti più importanti di questo cambiamento è il protocollo SPDY ("speedy"). L'articolo indicato più sotto descrive molto, molto bene la faccenda. E' molto tecnico, ma è scritto in modo chiaro e (abbastanza) facile da seguire. Consiglio caldissimamente la lettura a chiunque abbia interesse a capire il funzionamento e l'evoluzione di Internet a livello HTTP-e-simili. In particolare l'ultima sezione, Future SPDY Gateways, contiene considerazioni molto interessanti sulle forze in gioco, anche a livello economico e di incentivi, e sulle ulteriori (radicali) evoluzioni possibili. an experimental low-latency application-layer protocol  designed by Google and introduced in 2009 as a drop-in replacement for HTTP on clients and servers. SPDY retains the semantics of HTTP, allowing content to remain unchanged on servers while adding request multiplex...